墨水 - stock.adobe.com
通过物联网数据保护策略加强安全性
攻击者针对物联网数据只是时间问题。组织必须准备好IoT数据安全最佳实践,包括数据加密和可见性。
尽管硬件,软件和网络组件的集合构成了物联网,但该连接的生态系统的实际价值是其生成,移动,分析和响应数据的能力。
但是,根据安全专家和物联网领导者的说法,许多组织没有实施足够的足够安防措施保护其物联网部署中的数据。
最近的研究证实了此类评估。
安全软件公司Tripwire和Dimensional Research的IoT和IIOT安全调查在2021年初进行了调查。民意调查发现99%的受访者面临挑战,例如跟踪物联网设备库存,验证对安全策略的遵守并确定其组织的物联网和工业物联网设备时。53%的受访者担心与这些设备相关的风险。
这些数字说明了数据流的整体环境的安全性。这表示许多用户的潜在麻烦。
“似乎有一个共同点,因为组织对物联网环境中固有的危险和风险没有基本的了解,而且他们接受的风险比应有的。”在信息技术研究小组。
有什么危险?
到目前为止,对物联网生态系统的攻击旨在禁用设备本身,目的是业务中断或使用网络访问中央系统和数据存储。
还没有对物联网生态系统中数据的显着攻击……
Constellation Research Inc的副总裁兼首席分析师Andy Thurai说:“坏演员还没有弄清楚如何使物联网数据获利。一旦他们找出了一种利用机制,他们将来会追随物联网数据。”。
数据安全在物联网中很重要,因为它是最有价值的资产,甚至比设备本身更重要。 ABI Research数字安全研究主管Michela Menting
其他人则同意,解释说,尽管端点设备生成的一些数据似乎平凡,但对企业很有用,因此很有价值。反过来,这对黑客来说很有价值。
ABI Research的数字安全研究总监Michela Menting说:“数据安全在物联网中很重要,因为它是最有价值的资产,甚至比设备本身更重要。”
物联网数据的值根据用例而变化。例如,某些物联网部署定期生成杂货供应链中农产品的温度数据。随着时间的推移,更复杂的实现(例如IoT Analytics)可能会监视和调整物联网设备车队的操作。医疗IOT经常处理关键的患者数据。组织还必须考虑隐私法和其他法规Menting说,这可能会保护某些类型的物联网数据。
她解释说:“对于威胁参与者,物联网数据的价值是合法用户(或该物联网设备的运算符)归因于它的价值。这就是使其成为威胁参与者的有吸引力的目标。”“因此,数据安全非常重要,因为该数据的干扰或盗窃可能会产生重大影响:业务损失[或]声誉,事件响应的成本和更危险的有时对物理系统和操作的影响。”
Beecham Research Ltd.首席执行官Robin Duke-Woolley说,即使在物联网数据看起来似乎普通的用例中,组织或攻击者也可以使用该信息来实现有关甚至是邪恶的目的。。例如,组织可以侵犯个人的隐私权。不好的参与者可以研究保险公司收集的远程信息处理数据或医疗设备的健康数据,如果没有足够的数据保护政策,则可以跟踪甚至伤害个人。
介绍认为在其他情况下可能会产生更大的后果,并解释说:“干扰关键基础设施数据可能会导致关键服务的关闭 - 发电厂,水处理厂,医院。这也可能影响人类的生活。干扰来自连接的汽车或连接的运输基础设施的数据可能会带来致命的后果。”
如何保护物联网数据
保护物联网数据依赖于多步,多层方法,就像确保企业数据一般情况一样。组织应在其物联网部署中应用许多已建立的企业数据安全最佳实践。
强大的物联网数据保护策略必须包括六个关键组件。
- 可见性数据流。组织可以采用设备发现,监视和访问控制工具以捕获恶意数据使用或查找可以黑客入侵的漏洞。
- 数据分类系统。企业高管应基于关键性,灵敏度和价值对物联网数据进行排序和优先级。首席信息安全官兼首席技术专家乔治·杨(George Young)表示,安全资源必须与需要最大保护的数据保持一致,智能优势和网络的首席技术专家CB Technologies。
- 数据的加密。Young说,组织必须在休息和运输中对所有数据进行加密,而不管物联网环境是否使用有线或无线通信。
- 设计安全性。安全团队必须早期参与物联网部署,以确保从一开始就将数据隐私和保护策略和其他安全协议纳入。华纳说,他们可以在一开始就可以最有效地制定安全措施,而不是事后思考和螺栓固定。
- 安全组件。杜克·伍尔利(Duke-Woolley)说,组织应确保他们在可用的情况下实施安全组件(例如PSA认证硬件),以证明他们已经满足了一定的安全性和互操作性标准,并将发展以满足新兴的风险和威胁。
- 治理计划。Warner说,程序必须包括日志管理,以确保对设备和IoT环境的可见性,强大的密码策略和补丁管理程序,以确保及时实施更新。其他人建议在可能的情况下将自动化添加到治理政策中,以提高合规性并为这些过程增加速度和效率。
物联网数据保护的挑战
组织在设计和实施数据保护计划时面临挑战。物联网环境还会造成他们必须克服的其他障碍。
Thurai说:“如果不正确设计和实施,IT(IT和运营技术)的每一层可能会很脆弱。”
物联网部署的庞大性质,数据来自不同网络上的各种设备,并且通常大量的数据在设计安全策略时会造成其他困难,并补充说。
她说:“很容易失去从何处进来的内容,并有效地保护每个设备和传输。”
这就是为什么企业领导者必须将其物联网数据保护策略与他们的物联网数据保护策略联系起来物联网设备和网络安全过程然后将它们分配到组织的整体网络安全和风险管理计划中。这种方法可以创建最全面,最凝聚的数据保护程序。
“理想情况下,组织应进行彻底的风险评估并为其物联网设备制定全面的安全计划。当商业世界中的市场时间如此强大时,这通常很难从安全性和数据保护的角度来看,将有助于最大程度地降低风险和部署物联网的相关成本。”“了解这些风险,数据的价值以及安全和事件响应计划的创建将有很长的路要走,以确保可以最大限度地提高物联网及其派生数据的价值。”
