官方微信
物联网安全:我该拿你怎么办
信息技术在演进中,而安全未能与之保持同步。从汽车到工控系统再到冰箱彩电……这些全新的前沿联网设备直接或间接地影响着企业安全。赶在物联网安全风暴大规模侵袭前筑好防御之堤无疑是明智的,毕竟:
不保证安全,物联网始终逃不出"看上去很美"的囹圄。
不速之客:物联网风险
物联网(IoT)的概念正在迅速遍及整个社会,它几乎可以改善每个人的生活和每个企业的运作。这给企业创造了巨大的机会来开发新的服务和产品,从而为其客户提供更多的便利,并提高他们的满意度。
企业移动管理就是一个很好的例子。想象一下,快递到企业的每个包裹附带内置RFID芯片,该芯片可以连接到企业的网络,并关联到相关物流系统。或者在医疗环境,检查室的每台仪器都连接到网络,并传输传感器收集到的病人数据。在养殖业方面也有优势,试想一下,对每个动物进行数字化跟踪,以监视其位置、健康情况和行为。IoT的潜能是无限的,可连接到互联网上的设备数量也是无限的。
但是,在IoT带来优势的同时,也同样带来了很多风险。连接到互联网的任何设备都有嵌入式操作系统部署在其固件中,由于嵌入式操作系统通常没有将安全性作为首要考虑的因素,因此几乎所有这种操作系统都存在这样或那样的漏洞,针对Android设备的恶意软件数量之多就是最好的例子,而类似的威胁也可能在IoT设备间传播。
企业和用户必须准备好应对IoT的诸多风险问题,在本文中,Ajay Kumar列出了物联网领域必将面临的七个风险问题,并提出了可以帮助企业应对这些风险的建议。
是时候部署安全计划了
物联网不仅仅是关于汽车、钟表和咖啡机,而是全新前沿的联网设备,这些设备直接和间接地影响着企业安全。很长一段时期内,企业的讨论焦点一直围绕在一般企业网络是否能够处理物联网的带宽要求,不可否认这的确是值得思考的问题,但相较而言,不可避免的安全问题似乎来得更为重要。
企业一直在艰难地保持其传统网络系统的安全性,很多人不知道其系统的位置,特别是敏感数据的位置。还有一些人则不清楚当前的安全状态或者在特定时间里网络在发生什么。毫无疑问,由IT和安全人员组成的最大群体难以让管理层和普通用户群保持安全性。对于保护物联网安全,这些问题变得更具挑战性,我们将遇到前所未有的安全问题。
如果系统有IP地址或者URL,并且它以任何方式接触业务网络或处理敏感信息的话,那么它就可能成为攻击目标。而且它也应该归在现有安全管理计划的范围内。移动设备、即时通讯、社交媒体等同样是如此,我们无法阻止物联网的发展,它应该成为你的安全讨论的前沿和中心。
物联网时代已经来临,那么,你的安全计划部署到位了吗?如果还没有,现在是时候开始进行规划了……
每个人都应为其作出贡献
在未来几年,数以亿计的设备都有望连接到互联网上,也就是这所谓的物联网(IoT),它激起了一场数据生成和共享的革命。然而目前还比较模糊的是,那些生产出新的连接到网络的设备厂家是否有考虑到安全性。
在2014美国黑帽大会上,各方面研究人员都谈到了与物联网有关事物的安全问题,包括容易被破解的汽车、智能恒温器和卫星通信设备。
安全行业的大师级人物Dan Geer(In-Q-Tel公司的首席信息安全官),用一个警告为会议定下了基调:由于一大波连入网络的新设备来袭,互联网的攻击面正在扩大,所以我们必须做一些准备。正如Geer过去所做的那样,他这次强调了那些大量推出IoT设备的公司应该选择是否定期对嵌入系统进行补丁,而且除了补丁支持之外,需再为这些设备创建一个报废日期,也就是他们基本停止运作的时间,这些都是非常有必要的。
这位在安全行业诞生时就进入该行业的专家都感到要被物联网压倒,Geer说:"没有人经历过我们现在所谈到的这样大规模的威胁。当你将所有事物相连接时,没有人知道会发生什么……"
现阶段我们能够做到的是……
信息技术在演进中,而安全未能保持同步。从汽车到工控系统再到冰箱,所有事物互联起来,它们发送或接收着来自移动应用与云服务的数据,计算机技术的应用在我们的日常生活中变得更为普遍。而我们需要整体安全方案来跟上成长中的物联网(IoT)。
新的安全模型和标准对物联网防护至为关键。我们现有PC及智能手机的安全模型不适用物联网设备。大多数物联网设备处理和存储能力有限。工业控制系统通常安装在关键的运营环境中。许多"智能"产品在消费者手中落入"安装即忘记"的搁置状态。我们现有的定期更新安全补丁、安装和更新防病毒软件以及配置主机防火墙等安全模型,对这些类型的物联网设备而言都不可行。
除了新的安全模型,新的标准对于确保物联网设备的安全性及互操作性也至关重要。消费者物联网市场监管松散并且缺乏安保与安全标准。诸如医药、制造、汽车以及运输等其他市场已有的安保与安全标准都必须更新,将物联网设备补充进去。……
那么,在新的安全模型和标准出现之前,我们能够做什么用以改进物联网安全?
