物聯(lián)網(wǎng)安全迫在眉睫 如何讓物聯(lián)網(wǎng)攻不可破?
如今,快速發(fā)展的物聯(lián)網(wǎng)設(shè)備確實(shí)能夠在日常生活中為人們提供幫助,通過提供連接和智能服務(wù),可以使人們的生活更輕松。然而,當(dāng)人們進(jìn)入這個新的技術(shù)階段時,必須集中精力提高所有新設(shè)備和支持應(yīng)用的安全性,需要保護(hù)自己免受網(wǎng)絡(luò)安全威脅。
物聯(lián)網(wǎng)(IoT)繼續(xù)呈增長勢頭。根據(jù)近期的研究表明,從2014年到2020年物聯(lián)網(wǎng)設(shè)備的數(shù)量將以23.1%的年復(fù)合增長率增長,到2020年將達(dá)到510億臺。在未來3年內(nèi),連接到互聯(lián)網(wǎng)的設(shè)備數(shù)量是否達(dá)到這么高的水平還有待時間來證明,顯然,傳感器和小工具的增長是爆炸性的。問題是如果物聯(lián)網(wǎng)設(shè)備繼續(xù)快速發(fā)展,那么所有這些數(shù)據(jù)將如何保持保護(hù)、私有和安全?
消費(fèi)者對于便捷,永遠(yuǎn)在線和無處不在的訪問似乎是永不滿足。例如,當(dāng)購物者忘記了雜貨清單時,現(xiàn)在可能通過冰箱的通知了解是否需要雞蛋或牛奶。這種類型的物聯(lián)網(wǎng)設(shè)備的能力增長高于人們的預(yù)期,而為了保持一切正常運(yùn)行,增加了數(shù)據(jù)中心基礎(chǔ)設(shè)施,人員,流程和技術(shù)的壓力。可以看出,這些物聯(lián)網(wǎng)設(shè)備的新用途正在網(wǎng)絡(luò)上開辟了新端點(diǎn),從而轉(zhuǎn)化為潛在的安全問題。在某些情況下,這些設(shè)備正在傳播信息,這為網(wǎng)絡(luò)犯罪分子尋找漏洞提供了主要目標(biāo)。
為了保持這些平臺的安全性,首當(dāng)其沖的責(zé)任將在于這些物聯(lián)網(wǎng)生產(chǎn)商,這些企業(yè)擔(dān)負(fù)著保護(hù)物聯(lián)網(wǎng)和虛擬基礎(chǔ)設(shè)施的責(zé)任,并保護(hù)物聯(lián)網(wǎng)平臺上的動態(tài)數(shù)據(jù)和信息的蓬勃發(fā)展。當(dāng)許多人在考慮相關(guān)的安全風(fēng)險時,大多數(shù)人并不知道這些廠商和技術(shù)只能解決其中的一部分問題。為確保物聯(lián)網(wǎng)數(shù)據(jù)安全,基礎(chǔ)設(shè)施,人員,以及流程也很重要。
與物聯(lián)網(wǎng)有關(guān)的風(fēng)險有很多。事實(shí)上根據(jù)行業(yè)媒體的報道,2016年的網(wǎng)絡(luò)攻擊的數(shù)量達(dá)到9000萬次,這意味著每分鐘400次。隨著數(shù)據(jù)通過虛擬生態(tài)系統(tǒng)傳播時,其安全性必須超出設(shè)備本身。這意味著,保持信息和物理安全,以及部署合適的人員監(jiān)控和主動測試安全性的過程對于維護(hù)安全的環(huán)境至關(guān)重要。因此,各級部門必須采取各種保護(hù)和控制措施,將安全性“最強(qiáng)”的數(shù)據(jù)中心與較弱或更加脆弱的數(shù)據(jù)中心設(shè)施和系統(tǒng)分開。
物聯(lián)網(wǎng)的技術(shù)保障
到物聯(lián)網(wǎng)管理系統(tǒng)和設(shè)備的網(wǎng)絡(luò)路由:到物聯(lián)網(wǎng)管理界面以及設(shè)備本身的路由可能會打開額外的安全漏洞。物聯(lián)網(wǎng)設(shè)備按定義進(jìn)行通信;它們可以向管理系統(tǒng)推送數(shù)據(jù),或者可以輪詢數(shù)據(jù)。API的開放端口都是惡意黑客查看協(xié)議運(yùn)行并暴露弱點(diǎn)的機(jī)會。
1. 物聯(lián)網(wǎng)平臺的管理人員
在某些情況下,攻擊可能是發(fā)送給系統(tǒng)管理員請求的結(jié)果,該系統(tǒng)管理員意外點(diǎn)擊它,從而使黑客進(jìn)入系統(tǒng)。
2. 更新物聯(lián)網(wǎng)設(shè)備固件
這可能聽起來很簡單,但檢查和更新固件可以讓企業(yè)比那些想要利用物聯(lián)網(wǎng)設(shè)備的人領(lǐng)先一步。如果物聯(lián)網(wǎng)設(shè)備存在可以利用的漏洞,生產(chǎn)制造商通常會在黑客訪問設(shè)備的環(huán)境之前識別并修復(fù)問題。
3. 默認(rèn)密碼
默認(rèn)密碼是物聯(lián)網(wǎng)設(shè)備不安全的區(qū)域。物聯(lián)網(wǎng)設(shè)備通常會帶有默認(rèn)密碼,大多數(shù)人認(rèn)為這是非威脅性的,這意味著那些不具有敏感的詳細(xì)信息(如家庭智能恒溫器)。然而,可能并不是這樣,因為這些設(shè)備可能有與物聯(lián)網(wǎng)管理平臺進(jìn)行通信的一種方式。
4. 回到基礎(chǔ)
將設(shè)備放在網(wǎng)絡(luò)上的概念不一定是一個新的想法,開發(fā)人員多年來已經(jīng)解決了這個設(shè)計挑戰(zhàn)。回想一下,軟件架構(gòu)已經(jīng)進(jìn)化和改變。例如,回顧過去25年來人們看到的各種軟件體系結(jié)構(gòu),例如胖客戶端,客戶端服務(wù)器,瘦客戶機(jī),以及服務(wù)器。回到人們用于其他平臺的基本安全原則,也適用于物聯(lián)網(wǎng)平臺。
咨詢企業(yè)的物聯(lián)網(wǎng)設(shè)備供應(yīng)商:在許多情況下,這意味著企業(yè)需要詢問先前使用的平臺架構(gòu)提出的所有問題,并對“漏洞”進(jìn)行“測試”。這些包括:設(shè)備如何捕獲,存儲,以及傳輸數(shù)據(jù)?設(shè)備數(shù)據(jù)是否加密?設(shè)備上的數(shù)據(jù)是否被推送到物聯(lián)網(wǎng)的管理界面?
基礎(chǔ)設(shè)施+人員+流程
數(shù)據(jù)中心設(shè)施(如門禁,監(jiān)控攝像頭和簽到表)的物理安全功能是至關(guān)重要的,但這些措施本身可能會受到影響。這就是為什么必須部署通過適當(dāng)培訓(xùn)的工作人員和控制措施來維護(hù)一個能夠支持所有這些平臺的安全數(shù)據(jù)中心的原因。所有數(shù)據(jù)中心員工必須每年進(jìn)行安全意識培訓(xùn),以便能及時了解最新的威脅和潛在問題。
培訓(xùn)人員必須超越那些管理數(shù)據(jù)中心的人員。重要的是讓訪問數(shù)據(jù)中心的每個人(從運(yùn)營,IT,甚至銷售和營銷人員)了解這些安全風(fēng)險及其對他們的意義。每個接觸數(shù)據(jù)中心的員工都有可能危及基礎(chǔ)設(shè)施,人員和流程。在物聯(lián)網(wǎng)平臺上培訓(xùn)員工至關(guān)重要,這樣他們才能對技術(shù)方面有一個很好的理解,從而更好地了解他們應(yīng)該尋找的東西。
這些揮之不去的威脅需要采取積極措施。人們將看到諸如ISO 27001之類的信息安全標(biāo)準(zhǔn)變得越來越普遍,以確保不僅僅是工具,還有更多的信息。該認(rèn)證是使整個企業(yè)參與安全和合規(guī)計劃的一個很好的例子,并確保進(jìn)行額外的控制,以幫助測試其信息安全管理系統(tǒng)(ISMS)的整體有效性。
基礎(chǔ)設(shè)施,人員,流程和技術(shù)是可以加強(qiáng)存放物聯(lián)網(wǎng)數(shù)據(jù)的數(shù)據(jù)中心安全性的關(guān)鍵重點(diǎn)。但是讓人們不要忘記關(guān)于物聯(lián)網(wǎng)的其他一些風(fēng)險因素。
物聯(lián)網(wǎng)正在改變?nèi)藗儗υO(shè)備和應(yīng)用程序的思考方式。它迫使越來越多的設(shè)備在公共網(wǎng)絡(luò)(即互聯(lián)網(wǎng))上相互連接。將設(shè)備放在網(wǎng)絡(luò)上并不是一個新穎的概念,在許多情況下,如果在普通網(wǎng)絡(luò)接入大量輸入設(shè)備,這可能意味著為黑客大開門戶。這些設(shè)備中有許多是由公司和人員建立和管理的,他們把功能放在首位,而不是安全性。
企業(yè)需要采取積極主動的方式來處理物聯(lián)網(wǎng)安全,以確定他們有適當(dāng)?shù)目刂坪驼摺U呤菫榱吮Wo(hù)企業(yè),幫助確保一切順利,并且“正常運(yùn)行”,這樣數(shù)據(jù)中心內(nèi)的客戶就可以放心地支持基礎(chǔ)設(shè)施、人員、流程和技術(shù)來支持這些平臺。安全處理程序,如事件響應(yīng)、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃,應(yīng)該是處理大量物聯(lián)網(wǎng)數(shù)據(jù)的業(yè)務(wù)的首要任務(wù)。
雖然這些新設(shè)備的設(shè)計使人們的工作和生活更加容易,但總是存在威脅,很多因素可能會導(dǎo)致物聯(lián)網(wǎng)設(shè)備成為黑客利用的工具。而這些只是在涉及物聯(lián)網(wǎng)安全風(fēng)險時需要考慮的一些想法。
