制定IOT的防御安全实践
你还记得那个时候买了SUV,以其汽车安全而闻名,然后决定没有必要戴安全带?或者你决定不安装烟雾报警,因为房子里有一个灭火器?
这些不要听起来像熟悉的场景,因为它们是不切实际的。当涉及保持人们和我们关心安全的东西时,我们申请了一系列防止共同威胁的保障措施。在损失的影响很高的情况下,我们避免了单一的失败。在我们的个人生活中,我们通常纳入了从房屋火灾,汽车事故和盗窃损失的保护层。
无论是保护一个家庭还是一个企业,多层多样的保护共同作用,在我们所关心的事物和危害它们的威胁之间形成一个强大的屏障。军事战略家和信息安全专家都呼吁,应用多种重叠防御层来防范和应对威胁辩护。在安全分层防御力量潜在的攻击者克服多重挑战获得访问他们的目标。
深度防御,一个经过考验的真正的安全方法
任何系统的深度防御的有效性是关于力量和。保护您的家免受盗窃损失,您有一个前门和锁定锁和一个警报器和一个保险政策。你甚至可能有一只狗或动作感应灯。防盗警报——或者你的宠物吠叫——能够保护你的家,即使入侵者没有被你的灯亮起并能够破门而入。
同样,在企业界,to保护数据您可以应用身份和访问管理控制来定义谁可以访问网络的哪些部分和信息权限管理来控制对敏感文件和文档的访问和威胁保护协议,以检测和调查违反,破坏身份和其他恶意活动。
尽管在物理和信息安全方面,深度防御和其他基本安全最佳实践都是经过历史证明的安全实践,但它们并没有被普遍应用。无数的公司都在犯同样的错误。大多数物联网设备仍然是基于简单的处理器,这些处理器充其量都经过了少量安全措施的改造,可能会让买家安心,但对减缓攻击者的速度几乎没有帮助。这是在累积风险,一个一个无担保的芯片。
连接的设备继续构成安全风险
我们带入我们家或工作区的每个连接设备都有可能打开新攻击表面并将弱点引入我们生活中日益个人化的领域。我们赖以保障自身安全的设备和基础设施将越来越多地与外界联系在一起:探测并警告空气中有毒物质的一氧化碳监测仪;远程生命体征监测设备,帮助医疗提供者密切关注患者的健康状况;以及用于监视和提醒房主可疑活动的家庭安全系统。这些产品的连接版本今天已经在市场上。
联网设备的数量不断扩大,加上每周都有关于被黑客攻击的物联网设备的头条新闻,使得企业和消费者对更可靠的设备安全的兴趣大增。虽然有几个新兴的行业和监管机构努力推动联网设备的通用安全标准,但对于风险和如何解决它,人们还没有统一的认识。这让每个制造商或供应商选择自己的方法。物联网产品可能会销售一长串安全特性,但在大多数情况下,添加多个安全特性并不等同于深度防御。
使用大多数现有的物联网设备未能应用即使是安全、消费者、企业和现代社会的基本原则也容易受到日益增长的网络威胁的影响。与此同时,你仍然可以采取负责任的步骤,确保你推向市场的产品是建立在深度防御的基础上的。
大规模市场部署的设备安全
在设备设计概念阶段的早期证明中,您可能无法考虑整体设备安全性。但是,在规模运输时,防御深度安全是保护您的客户和底线的要求。发展保安实务要对抗攻击者,需要一种考虑到不断演变的威胁的方法,并建立在“按设计安全”的平台上。通过利用最聪明的安全头脑的最佳实践,以及各种深思熟虑的分层安全机制,您增加了连接设备对可能发生的入侵事件进行加固的机会。
物联网S.生态m保单。深度防御设备安全实践始于这样一种心态:每一个连接设备,无论其应用程序或类型,都是为了防御一系列全面的威胁而构建的。仅仅因为一个连接的设备只管理鱼缸里的水的温度,并不意味着安全措施不应该像一个连接的胰岛素泵一样是有意为之,它管理着向糖尿病患者释放胰岛素。在这两种情况下,设备漏洞不仅会导致设备的预期功能被篡改,还会让用户访问它所连接的更大的系统。当你操作的假设部分连接装置将突破,无论它是一个国家安全风险或雨水监控,不过更有可能的是,第二,第三和第四层的保护开发,以阻止,挑战和迷惑攻击者,发现入口和违约的影响最小化。
设备安全策略。识别基于物理位置,通信通道和设备能力的可能的攻击路径是设备安全策略的关键组件。如果您可以通过深入了解业界的专家团队,为24/7漏洞监测的专用带宽以及快速代码和释放紧急安全更新的能力,您可以自己完成此操作。然而,持续的安保人才短缺这使得大多数组织几乎不可能实施和维持这种方法。全面安全策略的一个有效捷径是构建基于设计的安全平台。安全平台的使用有助于确保设备的关键安全性得到安全专业人员生态系统的深厚知识和专业知识的支持,并通过持续的安全改进可靠地开发、监视和更新威胁。
设备S.生态m机械。一个有效的设备安全行动计划包括多个连锁的安全特性和技术层,以解决每个潜在的威胁。就像保护一个家不被小偷偷走需要一扇门一样和一个锁和作为警报,我们必须在保护连接设备时应用多种防御类型。使用分层硬件的组合和分层的软件和安全通信可确保IOT设备的各种和多层混合的安全策略。
就像许多安全特性的列表不等于深度防御一样,默认情况下没有激活的安全特性会给制造商和产品开发人员一种错误的安全感。当安全特性内置并在默认情况下激活时,发生人为错误的机会就会最小化。您可以通过选择使安全产品开发变得容易和自动化的解决方案来帮助您的团队做正确的事情。
现在是时候使用防御深入的严谨来确保连接的设备。在IOT时代,当设备嵌入我们生活的面料中时;当他们娱乐,告知甚至保护我们的物理健康,施加力量和设备安全是确保物联网未来安全的有效途径。
物联网是深度防护特点
关于物联网安全有许多发表的观点。它们的范围从基线安全性需求到规定性的操作模型。不管您的组织最终选择采用的安全原则、模型或平台供应商是什么,这个基本框架都可以作为涉及物联网的深度安全防御的基础。
点击放大图像。图像来源:微软
在升级安全练习时,请询问自己和您的团队:您是否遵循防御深入的方法或保护有限的保护?
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。