QQ在线
企业微信
资讯
544关于物联(lián)网使用安(ān)全的注意事项
企业的(de)安全团队应该采取一些(xiē)措(cuò)施和步骤,为2020年物联网面临不断(duàn)发展的安全威胁(xié)做好准备。
在新的(de)一年到来的时候(hòu),安全行业(yè)的人士总在问这些问题:在未来一年面临的安全挑战是(shì)否与往(wǎng)年有所不同?企业是否应该改变防御(yù)策略,尤其是(shì)在运营(yíng)技术(OT)、物联网(IoT)和(hé)关键基础设施组(zǔ)件方面?
安全厂(chǎng)商Nominet公(gōng)司网络安全副总裁StuartReed表(biǎo)示:“在网络安全的总体趋(qū)势(shì)中,我们看到的是,这里一(yī)直都是一个充满活力的地方,但现在网络攻击没(méi)有界限。”他解释说,那(nà)些针对运营技(jì)术(OT)跨越(yuè)边界的网络攻击(jī)可(kě)能会产(chǎn)生超出IT系统之外,甚至(zhì)对(duì)人类的生命和(hé)安全(quán)产生(shēng)直接影响。
运营技术(OT)和(hé)物联(lián)网(IoT)设备的安全性(xìng)工作很复(fù)杂,而运(yùn)营(yíng)技术(OT)和(hé)物联网(wǎng)(IoT)的设计安全性目(mù)前不是IT系统的标准。Reed说:“许多控制系统和运营技术(OT)基础设施(shī)从来没有设计过以数(shù)字方式连接到其他任何地方。”他解(jiě)释(shì)说,但是数字化的持续发展趋(qū)势意味着很少有运营技术(OT)系统(tǒng)可以长(zhǎng)期隔离网络攻击(jī)。
随着网络犯罪分子和激进国家的网络威胁不断发展,安(ān)全(quán)团队应(yīng)采取(qǔ)哪些步骤来保护其(qí)组织拥有(yǒu)的(de)运营技术(shù)(OT)和物(wù)联网(IoT)系统?网络安全专家对如何应对2020年物联(lián)网(wǎng)威(wēi)胁提出(chū)了一些建议。他们希望(wàng)在未(wèi)来一年无论威胁环(huán)境如何(hé)变化,都(dōu)确保(bǎo)其运营技术(OT)系(xì)统尽可能安全。以下是网络安全专家提(tí)出的七个安全注意事(shì)项:
1.注意边
nVisium公司首席执行官JackMannino说:“随着(zhe)边缘计算(suàn)和分布式传感器网络的增(zēng)长,云计算基础设施和(hé)边(biān)缘(yuán)设备成为网络攻击者越来越关(guān)注(zhù)的目标。使边(biān)缘(yuán)设备(bèi)不(bú)受攻(gōng)击者控制的关键是采用混合方法来解决问题。”
Mannino说,“边缘计(jì)算(suàn)需要采用混合云方法,其(qí)中边缘设备和云(yún)计算(suàn)服务必须在每一层建立信(xìn)任(rèn)。用户决(jué)定如何建(jiàn)立信任并成为(wéi)业(yè)务流程的(de)一部分(fèn),首先要详(xiáng)细分析边缘设备如(rú)何生成数据、生成(chéng)什么类型(xíng)的数据,以及将(jiāng)数据传输(shū)到应用程序基础架构的其余部分的过程。”
就像传统(tǒng)的IT攻击者(zhě)通常选择用户(hù)作为进入网络的方(fāng)式一样,那些想要破坏(huài)企业物联(lián)网设备(bèi)的网络攻击者可能(néng)会看到边缘设备托管最简单的进入端口,这使用户将注意力集(jí)中在网络中心上,忽视了边缘上比较脆弱的设备。
2.安(ān)全培训
Reed说,尽管(guǎn)恶意软(ruǎn)件和基于物(wù)联网(wǎng)的攻击变得越来越复杂,但成(chéng)功进(jìn)行攻击(jī)并不(bú)需要高度复(fù)杂的技术。他(tā)解释说:“如(rú)果人们不了解自己在良(liáng)好(hǎo)的网络卫生中所(suǒ)扮(bàn)演的(de)角色(sè)和责任,那(nà)么可能(néng)会(huì)发生(shēng)一些非常基(jī)本的攻击。”
这(zhè)些角(jiǎo)色和职责包括一些显(xiǎn)而易见的要点(diǎn),比如不(bú)要(yào)点击来自未知或意外来源的附件(jiàn),但它们远远超(chāo)出了这些基本要(yào)求。毕(bì)竟,保护重要(yào)的数据和基础(chǔ)设(shè)施(shī),InformationSecurityForum常务董事(shì)SteveDurbin表示(shì):“首先要求最(zuì)终用户接受数(shù)据需要保护的理念。由于有着不同(tóng)的社会规范(fàn),涉(shè)及数据的(de)公认价值(zhí),因此需(xū)要保护数据(jù),以及谁应该首(shǒu)先(xiān)负责保护(hù)数据。”
Reed说,最大限度(dù)地(dì)降低员工行为风险的关键(jiàn)是安全教育和(hé)培训。他解释说:“除了培训课程,我认为安(ān)全教育可以采(cǎi)取(qǔ)多种不同的形式。例(lì)如(rú)在线媒(méi)体在更广阔网络安全教育(yù)方面扮演(yǎn)着(zhe)非常关键的角色。”
3.物联网(wǎng)的可见性
与安全专家进(jìn)行对话时,一个共同(tóng)的主(zhǔ)题是需要更好地了解用户的(de)网络和基础(chǔ)设施(shī)。这种需求不会(huì)随着(zhe)传统IT和物联(lián)网(wǎng)设备之(zhī)间的划分而(ér)停止。
ThycoTIc公司首(shǒu)席安全(quán)科学家Carson说:“如果没有物联网设备及其带来的风险,就(jiù)无法确定物联网数据的潜(qián)在安全和隐(yǐn)私风(fēng)险。要了解物联网设备(bèi)的风(fēng)险,用户首先想知(zhī)道其功(gōng)能(néng)或用途,例如是数据收集器、数据处理器还是(shì)数(shù)据相关器。在(zài)确定作为基础(chǔ)设施的(de)一部分(fèn)的设(shè)备(bèi)之(zhī)后,了解功能是第二步。”
安全专业人员在提(tí)高其整体基础(chǔ)设施的物联网的(de)可见性方(fāng)面(miàn)应该(gāi)做些什么?nVisium公司Mannino说,“这项工作应该从对(duì)物联网设备等(děng)资产的(de)架(jià)构蓝图进行一致的安全分析,以找出缺失和设计错误的架构控制,并(bìng)在允许的(de)情况下采(cǎi)用一致(zhì)的安全代码分析。”
4.消费者设备问题
如果用户有(yǒu)一(yī)个网络,则很有可能将消费类设(shè)备连接到基础设施。企业员(yuán)工已(yǐ)将消费类设(shè)备作为日常(cháng)生(shēng)活的(de)一部(bù)分,大多数员工都不愿意放弃(qì)这些设备的优势。Durbin说(shuō),“当(dāng)这些消费者工(gōng)作时,他们也希望将这(zhè)些功能(néng)强大(dà)的设(shè)备用于业务应用,而在过去的几年中,这(zhè)导致组织(zhī)与(yǔ)个(gè)人之间,个人(rén)信息(xī)与公(gōng)开可(kě)用的详细信息之间(jiān)的界(jiè)限越来越模糊。”
在许多情况下(xià),问(wèn)题并非始于员工使用自(zì)己的(de)设(shè)备,而是始于(yú)许多消费(fèi)类设备在设计之初就(jiù)并未被设计(jì)为安全的业务(wù)设备。此外,Dubirn说,“这些设备的使(shǐ)用方式模糊了个人(rén)和企业使用与行为之间的界限。其潜在(zài)的风险包括滥用设备(bèi)本身、外部利用软件漏洞(dòng),以及部署未(wèi)经测试(shì)的、不可靠的业务应用程序。”
在处理整个物联网环境中可能涉及的云计算服务和物联网设(shè)备时,安全(quán)专业人员需要积极与他们的(de)供应商和合作伙伴互(hù)动,以确保基本组件能够安全使用。例如,Acceptto公司首席安全架构师FaustoOliveira表(biǎo)示,物联网设备(bèi)必须具有更改默认用户(hù)名和密码的能(néng)力,以及与网络中上(shàng)游和下(xià)游(yóu)系统进行(háng)加密(mì)通信的能(néng)力。Oliveira说:“企业需要供应商提供强有力的指导,并确保在选择过程中,安全是一项明确定义的功能。”他(tā)表示,这符合(hé)供应商及其用户的最大利益,以确保整个系统尽可能安(ān)全。
5.物联网连接安全性(xìng)
当然会有一些(xiē)小型组织(以及高(gāo)度安全(quán)的政(zhèng)府或军事(shì)机构)的物联网设备不包含互(hù)联网连(lián)接。但是对于大多数组织而言,移动(dòng)、分析(xī)和使用其边缘设(shè)备中的数(shù)据(jù)意味着将设备连接到全球互(hù)联网和一个或(huò)多个云计算(suàn)服(fú)务。nVisium公司的(de)Mannino指出,“随着边(biān)缘计算和分(fèn)布式传感器网络的增(zēng)加,云计算(suàn)基础设施和边缘设备已成为一种(zhǒng)趋势。而(ér)这对于网络攻击(jī)者来说越来(lái)越(yuè)有吸引力。”
Vectra公司安全(quán)分析主管ChrisMorales简洁地解释了这(zhè)一点。他说,“与传统的桌面系(xì)统不同,物(wù)联网设备需要确保存储和锁定(dìng)的数据(jù)不会被窥(kuī)视,物(wù)联网(wǎng)设(shè)备被设计(jì)为(wéi)彼此共享信息,并共享到远(yuǎn)程存储位置进行分析(xī),并为企业提供(gòng)对其数据的(de)远程访(fǎng)问。这通(tōng)常需(xū)要物联网(wǎng)设备制(zhì)造商托管的云存储。”
在处理可能(néng)涉(shè)及整(zhěng)个(gè)物(wù)联网(wǎng)环境的云计算(suàn)服务和物(wù)联网设备(bèi)时,安全专业人员需要积极与其供应商和(hé)合作伙伴接洽,以确保基本组(zǔ)件能够安全使用。例如,Acceptto公司首席安全(quán)架构师FaustoOliveira表示,设备(bèi)必须(xū)能(néng)够更改默认用(yòng)户(hù)名(míng)和(hé)密码,以及与(yǔ)网络上下游系统进行加密通信的(de)能力。他说,“组(zǔ)织需要(yào)向供应商(shāng)提供强有力(lì)的指(zhǐ)导,并确保在选择过程(chéng)中,安全性是一个明确定义(yì)的(de)特性,是(shì)不(bú)可选(xuǎn)择的,确保整个系统尽可能安全符合供应商和客户的最大(dà)利(lì)益(yì)。”
6.专注于物联网设备敏捷性
物(wù)联网(wǎng)的两个特点使(shǐ)扩展(zhǎn)运营技术(OT)变得如(rú)此脆弱(ruò),这就是大量物联网(wǎng)设备的不可改变(biàn)的特性。易受攻击、静态和持久性并不是大多数专业(yè)人员在安全基础设施中需要的特性。
Acceptto公(gōng)司的Oliveira说(shuō):“需(xū)要取(qǔ)消默认用户名和密码以及(jí)不安全的协议(yì)(如telnet),并采(cǎi)用更好的方法来实现可管理性,而无需使用易于妥协(xié)的(de)默认帐户和不安全的协议(yì)。”他坚持认为,仅向供(gòng)应商强调他们(men)的设备必须允(yǔn)许更改默认凭据和协议是不够的。用户必须将这些(xiē)作为购买设备的要求。
Oliveira说:“物联(lián)网设备(bèi)需要被视为任何安全资(zī)产,因此需要(yào)定期管理和审(shěn)核漏洞。”Nominet的Reed也对(duì)此表(biǎo)示认同,他说,“全面的从业人员必(bì)须确保他们具有(yǒu)正确的审核、控制、政(zhèng)策,以便能够放心地了解与他们(men)合作的(de)第三方,并且采取更好的安(ān)全措施。”
他们都(dōu)承认,如(rú)果无(wú)法重新配置基础(chǔ)设施中(zhōng)的设备来解(jiě)决漏洞(dòng),那么可靠的审核(hé)和监视的影响将(jiāng)会非常有(yǒu)限。
7.无情数据
物联网的数据生(shēng)成能力需要符合欧盟的《通用(yòng)数据保(bǎo)护条例》和最(zuì)新的《加州消费者隐(yǐn)私法》等法规(guī)的(de)要求。因此,Vectra公司(sī)的Morales说,“企业需(xū)要更加注意设备收集的数据(jù)类型以及如何(hé)使用这些数(shù)据。”他指出(chū),在摄像头(tóu)、GPS跟踪系统和传感器跟踪业务的每个阶段(duàn)生(shēng)成(chéng)数(shù)据的时代,保(bǎo)护个(gè)人隐私对于保护用户信息自由至关重要。
Morales说:“物(wù)联(lián)网设备旨在相互共(gòng)享(xiǎng)信息(xī),并(bìng)共享给远程存储位置以(yǐ)进行分析(xī),并为企(qǐ)业提供对其数据的远程访(fǎng)问。而且,数据必须(xū)在设(shè)备(bèi)中以及从业务流(liú)程的一(yī)个阶(jiē)段转移到另一个阶段时(shí)都(dōu)受到(dào)保护。”
Acceptto公司的Oliveira说,“与设备之间的所有通信都必须加密(mì),并且(qiě)在理想情况(kuàng)下(xià),数据(jù)流量必须受(shòu)基于(yú)场景和基于(yú)角色的访问控(kòng)制,除非(fēi)在特殊的情况下,否则(zé)没有理由让设备(bèi)可以通过全球互联网进行连接。”
要了解如何将(jiāng)“无情数据”应用到物联网的各个部(bù)分,首先要了解基础(chǔ)设施及其启(qǐ)用的业务流程。ThycoTIc公司的Carson说(shuō):“如果没(méi)有物联网设备带来的风险,就无法确定其(qí)数据的潜在安(ān)全性和隐私风险(xiǎn)。在(zài)了解物联网设备的作(zuò)用以及与之相(xiàng)关的数据(jù)后(hòu),就可以评估采用物(wù)联(lián)网设备带来的风险。”
