万物互联时代,如何构建牢不可破的物联网安全?
如今,快速发展的物联网设备确实能够在日常生活中为人们提供帮助,通过提供连接和智能服务,可以使人们的生活更轻松。然而,当人们进入这个新的技术阶段时,必须集中精力提高所有新设备和支持应用的安全性,需要保护自己免受网络安全威胁。
物联网(IoT)继续呈增长势头。根据近期的研究表明,从2014年到2020年物联网设备的数量将以23.1%的年复合增长率增长,到2020年将达到510亿台。在未来3年内,连接到互联网的设备数量是否达到这么高的水平还有待时间来证明,显然,传感器和小工具的增长是爆炸性的。问题是如果物联网设备继续快速发展,那么所有这些数据将如何保持保护、私有和安全?
消费者对于便捷,永远在线和无处不在的访问似乎是永不满足。例如,当购物者忘记了杂货清单时,现在可能通过冰箱的通知了解是否需要鸡蛋或牛奶。这种类型的物联网设备的能力增长高于人们的预期,而为了保持一切正常运行,增加了数据中心基础设施,人员,流程和技术的压力。可以看出,这些物联网设备的新用途正在网络上开辟了新端点,从而转化为潜在的安全问题。在某些情况下,这些设备正在传播信息,这为网络犯罪分子寻找漏洞提供了主要目标。
为了保持这些平台的安全性,首当其冲的责任将在于这些物联网生产商,这些企业担负着保护物联网和虚拟基础设施的责任,并保护物联网平台上的动态数据和信息的蓬勃发展。当许多人在考虑相关的安全风险时,大多数人并不知道这些厂商和技术只能解决其中的一部分问题。为确保物联网数据安全,基础设施,人员,以及流程也很重要。
与物联网有关的风险有很多。事实上根据行业媒体的报道,2016年的网络攻击的数量达到9000万次,这意味着每分钟400次。随着数据通过虚拟生态系统传播时,其安全性必须超出设备本身。这意味着,保持信息和物理安全,以及部署合适的人员监控和主动测试安全性的过程对于维护安全的环境至关重要。因此,各级部门必须采取各种保护和控制措施,将安全性“最强”的数据中心与较弱或更加脆弱的数据中心设施和系统分开。
物联网的技术保障
到物联网管理系统和设备的网络路由:到物联网管理界面以及设备本身的路由可能会打开额外的安全漏洞。物联网设备按定义进行通信;它们可以向管理系统推送数据,或者可以轮询数据。API的开放端口都是恶意黑客查看协议运行并暴露弱点的机会。
(1)物联网平台的管理人员
在某些情况下,攻击可能是发送给系统管理员请求的结果,该系统管理员意外点击它,从而使黑客进入系统。
(2)更新物联网设备固件
这可能听起来很简单,但检查和更新固件可以让企业比那些想要利用物联网设备的人领先一步。如果物联网设备存在可以利用的漏洞,生产制造商通常会在黑客访问设备的环境之前识别并修复问题。
(3)默认密码
默认密码是物联网设备不安全的区域。物联网设备通常会带有默认密码,大多数人认为这是非威胁性的,这意味着那些不具有敏感的详细信息(如家庭智能恒温器)。然而,可能并不是这样,因为这些设备可能有与物联网管理平台进行通信的一种方式。
(4)回到基础
将设备放在网络上的概念不一定是一个新的想法,开发人员多年来已经解决了这个设计挑战。回想一下,软件架构已经进化和改变。例如,回顾过去25年来人们看到的各种软件体系结构,例如胖客户端,客户端服务器,瘦客户机,以及服务器。回到人们用于其他平台的基本安全原则,也适用于物联网平台。
咨询企业的物联网设备供应商:在许多情况下,这意味着企业需要询问先前使用的平台架构提出的所有问题,并对“漏洞”进行“测试”。这些包括:设备如何捕获,存储,以及传输数据?设备数据是否加密?设备上的数据是否被推送到物联网的管理界面?
基础设施+人员+流程
数据中心设施(如门禁,监控摄像头和签到表)的物理安全功能是至关重要的,但这些措施本身可能会受到影响。这就是为什么必须部署通过适当培训的工作人员和控制措施来维护一个能够支持所有这些平台的安全数据中心的原因。所有数据中心员工必须每年进行安全意识培训,以便能及时了解最新的威胁和潜在问题。
培训人员必须超越那些管理数据中心的人员。重要的是让访问数据中心的每个人(从运营,IT,甚至销售和营销人员)了解这些安全风险及其对他们的意义。每个接触数据中心的员工都有可能危及基础设施,人员和流程。在物联网平台上培训员工至关重要,这样他们才能对技术方面有一个很好的理解,从而更好地了解他们应该寻找的东西。
这些挥之不去的威胁需要采取积极措施。人们将看到诸如ISO 27001之类的信息安全标准变得越来越普遍,以确保不仅仅是工具,还有更多的信息。该认证是使整个企业参与安全和合规计划的一个很好的例子,并确保进行额外的控制,以帮助测试其信息安全管理系统(ISMS)的整体有效性。
基础设施,人员,流程和技术是可以加强存放物联网数据的数据中心安全性的关键重点。但是让人们不要忘记关于物联网的其他一些风险因素。
物联网正在改变人们对设备和应用程序的思考方式。它迫使越来越多的设备在公共网络(即互联网)上相互连接。将设备放在网络上并不是一个新颖的概念,在许多情况下,如果在普通网络接入大量输入设备,这可能意味着为黑客大开门户。这些设备中有许多是由公司和人员建立和管理的,他们把功能放在首位,而不是安全性。
企业需要采取积极主动的方式来处理物联网安全,以确定他们有适当的控制和政策。政策是为了保护企业,帮助确保一切顺利,并且“正常运行”,这样数据中心内的客户就可以放心地支持基础设施、人员、流程和技术来支持这些平台。安全处理程序,如事件响应、灾难恢复和业务连续性计划,应该是处理大量物联网数据的业务的首要任务。
虽然这些新设备的设计使人们的工作和生活更加容易,但总是存在威胁,很多因素可能会导致物联网设备成为黑客利用的工具。而这些只是在涉及物联网安全风险时需要考虑的一些想法。