資訊技術在演進中,而安全未能保持同步。從汽車到工控系統再到冰箱,所有事物互聯起來,它們發送或接收着來自移動應用與雲服務的資料,計算機技術的應用在我們的日常生活中變得更為普遍。而我們需要整體安全方案來跟上成長中的物聯網(IoT)。
盡管一次針對智能調溫器的攻擊似乎微不足道,但涉及7千多萬客戶資訊洩露的Target資料洩露事件,正是由于公司門店的加熱與通風管理控制系統安全性較 差所緻。而其他引人注目的物聯網攻擊也已浮出水面,從Carna嵌入式裝置僵屍網絡與TRENDnet網絡攝像頭攻擊代碼,到Linux.Darlloz 蠕蟲,以及由Proofpoint發現的Thingsbot攻擊。Proofpoint是一家安全即服務(SaaS)提供商。
物聯網裝置的多樣性急劇增加攻擊代碼及惡意軟體的攻擊面。HP安全研究的一份報告提供了10大消費者裝置名單,并發現了數量驚人的漏洞(未進行傳輸加密、不安全的Web界面、授權與軟體防護問題)及隐私問題。
糟糕的物聯網安全主要由兩個問題導緻:
· 新裝置搶占市場意味着其設計階段未包含安全、或安全考慮存在嚴重局限性,或糟糕的實作。
· 制造或運輸等領域的舊有嵌入式系統,其開發者沒有考慮安全控制,因為這些系統最初是與IP網絡隔離的且采取了氣隙安全措施。随着工業控制系統日益網絡化以及可遠端管理,這些實體隔離正在快速消失。
HP研究表明,即使是已經教育了20多年的基本安全原則,如使用強密碼,也沒有用于産品開發周期中。為改進物聯網安全,我們可以做什麼?
新的安全模型和标準對物聯網防護至為關鍵。我們現有PC及智能手機的安全模型不适用物聯網裝置。大多數物聯網裝置處理和存儲能力有限。工業控制系統通常安 裝在關鍵的營運環境中。許多”智能”産品在消費者手中落入”安裝即忘記”的擱置狀态。我們現有的定期更新安全更新檔、安裝和更新防病毒軟體以及配置主機防火 牆等安全模型,對這些類型的物聯網裝置而言都不可行。
除了新的安全模型,新的标準對于確定物聯網裝置的安全性及互操作性也至關重要。消費者物聯網市場監管松散并且缺乏安保與安全标準。諸如醫藥、制造、汽車以 及運輸等其他市場已有的安保與安全标準都必須更新,将物聯網裝置補充進去。有幾個小組正在探索物聯網标準,包括工業網際網路聯盟、Thread、 AllJoyn,以及開放互聯聯盟。開放互連聯盟由Broadcom、戴爾、英特爾和三星等企業建立于7月。未來哪項标準将占到上風且最為廣泛使用将是有 趣的話題。
在新的安全模型和标準出現之前,物聯網裝置最低限度應實施以下安全實踐:
使用安全開發實踐。OWASP物聯網Top 10提供了良好的安全控制基線。如強認證與安全的Web界面等基本控制,原本應可以解決HP Foritfy在消費者物聯網裝置中識别到的衆多安全問題。
保護資料。物聯網領域,資料是移動的而網絡邊界是模糊的。為確定隐私,必須對靜止的和傳輸過程中的資料都加以保護。
披露對個人身份資訊(PII)的處理機制。廠商應該披露正收集和共享的PII,以及對它是如何進行保護的。
加密、加密還是加密。加密是物聯網安全的關鍵部件。當資料周遊于裝置間、裝置與移動應用間以及移動應用間或裝置與諸如雲這樣的其他網絡間時,必須對之加密。此外,對裝置的軟體更新也應該進行加密處理。
進行安全評估。IT安全人員應該進行他們自己的産品安全評估,檢查裝置、應用及通信是否安全。
組織如何能改進物聯網安全?目前新的标準和安全模型以及安全裝置尚在開發中,有這樣一些措施可供安全專家用于改進現有物聯網裝置的安全:
· 風險管理以及持續監控戰略中應包括物聯網裝置
· 将用于網絡與移動裝置的相同安全方法充分利用于保護物聯網裝置
· 為那些由防火牆保護及入侵防禦系統監控的裝置以及一個已劃分的網絡,建立一份資産清單
· 通過更改預設設定、建立強密碼,盡可能多的啟用端點安全
· 對新裝置執行主動掃描
· 為物聯網裝置建立更新檔政策
使用消費者物聯網裝置的員工,應該啟用可用的安全特性,如加密、更改預設設定以及啟用強密碼。
企業應該購買安全内置的産品,包括那些對資料及軟體更新進行加密的産品。我們的計算需求正在發生變化,而安全必須是主動的而非被動的。盡管某些物聯網裝置比較新奇,但許多裝置對人、财産和資源的安全至關重要。一旦出現缺口,生命和安全處于風險中,那就說什麼都太晚了。
原文釋出時間為: 2014年10月30日
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。
![初談驗證碼與驗證碼設計[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)