物联网世界的安全

物联网安全的四个要素

1.物理设备的安全

这是什么。这是一些小的社交活动。大事情就要来了。

库里说，现在有一些“非常不错”的防篡改技术可用。一个例子是一种技术，一旦设备被入侵，它将立即破坏设备的互联网连接和其中的任何数据。“到那时，它将只是一大块塑料，”他说。

另一个例子是安全引导(secure boot)，这是一种来自芯片供应商的防篡改技术，它可以查看签名，确定设备上的任何东西自上次开机以来是否被修改过。库里说:“如果修改或添加了任何东西，它就无法启动。”

其他选项包括授权控制，它允许设备只在特定的位置或区域内工作，或只对服务器进行特定类型的回调。它也将是必要的设置远程服务软件管理设备。

Curry说道:“即使是在移动设备上，这些事情也会变得非常复杂。“当你要处理成千上万的设备时，这变得非常困难。”

2.数据安全

库里表示:“关于数据安全，最重要的事情是了解数据是什么。”设备上是否有个人识别信息(PII) ?是可以识别服务器上隐藏控件的数据吗?当然，对于一些数据，是否有人看到并不重要，Curry说，所以政策应该根据数据类型和企业的风险状况来制定。

他表示:“这又回到了那个商业等式，即我能承担多大的风险?”

在首席信息官处理敏感信息的情况下，Curry强烈建议使用端到端加密。

迈克尔咖喱

如果你只是做[a]传输层，你可能已经缓存在设备上，(或者)你可能有缓存在服务器上，你将结束一些曝光，”Curry警告说。

应用层策略非常重要。“你需要检查内容;事实上，你需要检查这个结构，才能知道这就是你期待得到的数据。”Curry说。注入攻击可以用来将代码附加到数据消息，目的是利用安全漏洞并在服务器上产生不同的结果。

咖喱建议使用数据屏蔽为PII或其他类型的敏感数据创建结构相似但不真实的数据版本的行为。他说，有时候，数据会在你意料之外的时候溜走，所以从一开始就要隐藏。“这样，你就不必担心数据会进入错误的地方，或落入错误的人手中。”

3.网络安全

松一口气。“这是人们最了解的(领域)，可能也是最像普通互联网和移动技术的领域，”库里说。例如，Thurai说，“等式两边”的授权策略将有助于防止违反。

“我需要授权一台设备能在服务器上做什么，我还需要授权一台服务器能对设备做什么，”他说。因此，双向授权是给定的，以及尽可能细粒度的策略。

保护免受互联网攻击的工具，如拒绝服务，通常也适用于物联网。“问题是这些设备本身——传感器库里说:“这是一个很容易被拒绝服务的问题。比如仪表等，也容易受到拒绝服务的影响，所以你也必须考虑为它们辩护。”

4.事件监察及反应

公司往往会犯错误，没有往最坏的方面想。库里说，在物联网中，你需要“知道你会被攻破”。一旦这种心态站稳脚跟，很明显，一个健全的物联网安全战略将会重点关注事件监察及反应。

公司需要能够持续地、实时地监控网络中发生的事情。一旦检测到问题，必须通过关闭特定的传感器(例如使受影响的服务器脱机)来将其关闭和隔离。“你要做的是在问题产生更大影响之前把它孤立起来，”库里说。

Curry说，为了进行实时监控，公司需要安全分析，可以将不同攻击点发生的事情联系起来，描述正在发生的事情，并显示这些活动是否与正常模式不同。

他说，他的公司IBM现在可以在30秒内识别和隔离漏洞，并希望随着“我们在这方面做得更好”，缩短响应时间。

附录:隐私辩护

公司在设计时必须考虑可选性。虽然目前没有法律要求公司这么做，但库里表示，让客户选择不让他们的数据被收集，这在商业上是明智的。通过提供优惠，如折扣和降低服务费，或其他高级服务，吸引他们加入。

另外,立法是现在，公司不需要收集所有的PII。“把它剥掉，”他建议道。“我们不需要随身携带个人识别信息，就可以进行各种分析。”他说，对于世界上那些想要出售PII的搜索引擎来说，让他们有选择加入的政策。对那些只对建模感兴趣的人来说?"尽快摆脱PII "

让我们知道你对这个故事的看法;电子邮件克里斯汀·李，特写作家或者在推特上找到她@Kristen_Lee_34。