引领物联网安全雷区的五大挑战
我今天收到一封保安摄像头供应商的邮件。该产品的主要卖点是,“你可以在任何地方、任何设备上、任何时间访问视频。”换句话说,“我们把你的数据存储在云端。”只需在其网站上快速浏览一下,就会发现没有第三方审计或真正的安全框架的证据。取而代之的是一堆空洞的声明,比如“我们会小心保护客户数据的隐私。”
不用说,我不会在短期内使用它们。然而,这揭示了一个更大的问题,困扰着整个并不新鲜的物联网行业:您如何管理和充分保护所有这些设备?集中式web门户已成为首选解决方案,使客户可以方便地插入设备、在门户中注册并从世界上任何地方访问设备。
不幸的是,这种便利是要付出代价的。如果没有适当的安全控制,黑客可以从任何地方访问这些设备,就像终端用户一样。黑客不仅可以访问和利用个人数据(如多达120天的视频,存储由上述供应商),这些设备也可以轻松扩展,以帮助有针对性的攻击,包括分布式拒绝服务攻击来cryptocurrency矿业。考虑到大多数设备运行Linux,它们在某些任务中特别容易受到攻击,例如Mirai恶意软件。
尽管存在明显的风险,但对大多数物联网供应商来说,安全是一个事后考虑的问题。在利用web门户进行设备管理时,组织必须考虑许多最佳实践,包括密码恢复和帐户锁定过程。但物联网的安全问题远远超出了门户网站。有时,这感觉就像在雷区航行。我将范围缩小到物联网供应商目前面临的五大安全挑战:
不幸的是,这些问题并没有简单的解决方案。与任何其他有互联网存在的产品或平台一样,安全性需要从一开始就纳入管理和开发过程——一旦产品或平台建立起来,就很难解决这个问题。适当的安全性还需要在所有级别的业务上做出承诺,而不仅仅是在开发级别。因此,强烈建议采用安全框架,例如COSO或NIST,并利用第三方审计员来验证控制确实被遵循。
在本系列的下一篇文章中,我将更深入地研究与在IoT中使用web门户相关的安全问题,包括如何建立强大的安全策略、确保安全控制在适当位置的方法以及保护客户的最佳实践。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。