物聯網安全合規性是否有必要?
如此眾多的物聯網設備籠罩著市場,人們想知道物聯網設備的安全性。如果考慮到網絡攻擊在2017年給美國受到攻擊的企業造成了平均130萬美元的損失。
預計到2022年,將有大約290億臺聯網設備應用,其中約有180億臺與物聯網有關。有了這些數字,就可以輕松想象擁有安全的物聯網設備的重要性。實際上,有70%的物聯網設備具有嚴重的安全漏洞。當有如此多的設備通過不安全的平臺相互連接時,數據安全性和網絡安全性受到損害的可能性非常之高。例如,雪佛蘭公司報道其聯網汽車的數據使用量增加了200%。盡管有其優點,但這也使汽車面臨安全隱患的可能性。正如人們想像的那樣,如果黑客能夠遠程控制其中一輛車輛的剎車和轉向系統,那么這種侵入物聯網設備和產品的影響是巨大的。除了企業喪失品牌忠誠度、支付索賠,產品召回以外,這種攻擊還可能導致人員傷亡和財產損失。例如,已經有研究表明,黑客可以入侵醫療設備,導致病人死亡。考慮到現實生活中的影響是令人恐懼的。因此,這是創建物聯網安全合規性檢查表時必須考慮的所有重要點的檢查表。
1.產品/設備生命周期
安全性需要從產品生命周期的初始階段開始考慮。在物聯網設備的設計和功能中應考慮安全問題。同樣,組織中使用的設備的生命周期也需要監控。例如,以前的員工不能訪問當前數據,并且在訪問要求結束后,設備不能留在網絡上。健全的安全合規性框架必須密切監視誰可以訪問特定設備以及允許設備執行哪些操作。
2.授權與認證
這是每個安全評估清單中必須存在的兩個關鍵字。授權意味著對物聯網產品功能的基于角色的訪問控制。這不僅限制了多用戶產品中的訪問,而且還有助于減輕設備或產品的安全性帶來的影響。物聯網設備通過與其他物聯網設備和網絡進行通信來發揮其較大的潛力。這就像一把雙面劍。有時,威脅可能會超過收益。與不安全的設備或網絡通信會由于惡意應用程序而導致安全漏洞。因此,安全框架必須只允許經過身份驗證的設備彼此連接。
3.數據保護
所有物聯網產品都必須限制其收集的數據,以減少數據泄露的可能性。存儲有關消費者的不必要數據會導致數據暴露給未授權方的可能性更高。制造組織還需要提供有關所收集數據及其重要性的可見性。此外,應盡可能有選擇退出的選項。
4.測試
測試是確保所選安全框架效率的重要組成部分。測試必須包括物理測試、數字測試和第三方測試。對于安全的物聯網合規性框架,必須進行連續測試,然后進行相關修補。
5.靈活性
安全框架必須足夠靈活,以適應行業中的新工具和指南。這樣做的一種基本方法是使軟件更新盡可能自動化。允許這樣做意味著當發現新的威脅時,可以在所有設備上更新處理漏洞的機制,而無需等待用戶驗證。
6.遠程修補
所有物聯網產品都必須具有遠程修補功能。這可以幫助節省數千美元的產品召回或供應商服務費用。使用此功能可以使安全管理容易得多,并且還可以改善客戶用戶體驗。
7.入侵檢測
除非物聯網合規性框架可以檢測到入侵并實時發送適當的警報,否則任何功能都是無用的。檢測入侵的主要挑戰是大多數平臺都無法處理數據和進行分析。由于從物聯網解密的數據非常龐大,因此用于處理此類數據的平臺必須與大量數據兼容。該必須能夠提供諸如流量模式異常、惡意行為等洞察,以提供行為分析。任何與正常行為的差異都可能觸發對所需方的警報,從而為他們提供所需操作的適當線索。
