物聯網安全合規審核清單
經常發生網絡攻擊案例,如2016年的Dyn拒絕服務攻擊和2014年的Jeep黑客入侵,表明了任何物聯網設備都需要一個強大的物聯網安全框架來避免安全問題。任何入侵物聯網網絡的行為都可能使企業陷入停滯狀態,這可能會導致品牌忠誠度下降、收入損失,以及更多取決于攻擊的性質和嚴重性。實際上,2017年網絡攻擊使美國企業平均損失了130萬美元。考慮到企業遭受網絡攻擊的平均成本從2016年的120萬美元增長到2017年的130萬美元,這是一個巨大數字,這也是中小企業違規成本11.7萬美元的10倍。
物聯網安全合規審核清單應該考慮的因素
一些企業傾向于將他們的物聯網安全合規外包給第三方機構,以確保業內最優秀的人才能夠維護企業的物聯網安全和設備安全。然而,僅僅將您的安全合規框架委托給外部機構并不能降低您遭受網絡攻擊和物聯網安全違規的風險。您需要確保合規框架的安全審核清單中考慮以下因素:
1. 產品/設備生命周期
從產品生命周期的初始階段就需要適當考慮安全性,而且安全注意事項應嵌入設計以及物聯網設備的功能中。還需要監控組織中使用的設備的生命周期,例如,員工訪問當前數據后,設備不能留在網絡上。健全的安全合規框架必須密切監控誰可以訪問特定設備,以及允許設備執行哪些操作。
2. 授權和認證
這是每個安全評估清單中必須存在的兩個關鍵詞。授權意味著對物聯網產品的功能進行基于角色的訪問控制,這不僅限制了多用戶產品中的訪問,而且還有助于在設備或產品的安全性受到損害時減輕影響。物聯網設備通過與其他物聯網設備和網絡相互通信,以發揮最大潛力,這就像一把雙刃劍,威脅有時會超過其中的好處。與不安全的設備或網絡通信會因惡意應用程序而引發安全漏洞,因此,安全框架必須只允許經過身份驗證的設備相互連接。
3. 數據保護
所有物聯網產品必須限制其收集的數據,以降低數據泄露的可能性。存儲關于消費者的不必要數據會導致數據暴露給未授權方的可能性增加。制造企業還需要提供關于他們收集的數據的可見性,以及為什么是至關重要的。此外,只要有可能,應該有選擇退出的選項。
4. 測試
測試是確保安全框架有效的重要組成部分。測試必須包括物理測試、數字測試和第三方測試。對于安全的物聯網安全合規框架,必須進行持續測試,然后進行相關修改。
5. 靈活性
安全框架必須足夠靈活,以適應行業中出現的新工具和指導方針。這樣做的一個基本方法是使軟件更新盡可能自動化。允許這樣做意味著,當發現新威脅時,可以在所有設備上更新處理漏洞的機制,而無需等待用戶驗證。
6. 遠程更新
您的所有物聯網產品都必須具有遠程更新功能,這有助于節省數千美元用于產品召回或供應商服務。使用此功能可以更輕松地進行安全管理,而且還可以改善用戶體驗。
7. 入侵監測
除非物聯網合規性框架能夠監測入侵并實時發送適當警報,否則再多功能也是無用的。監測入侵的主要挑戰是大多數平臺無法處理大量數據。由于需要從物聯網中分析的數據量非常龐大,因此用于處理此類數據的平臺必須兼容處理如此大量的數據。該平臺必須能夠提供洞察,例如流量模式中的異常、惡意行為,以提供行為分析。任何與正常行為的差異都可以觸發警報,從而提供所需行動的適當線索。
以上只是開發安全框架時必須考慮的主要因素,企業必須投資于詳細的物聯網安全合規框架,并采取足夠的安全措施,以確保物聯網安全。
