Kitson - Fotolia.
如何为您的企业提供正确的IOT安全策略
当涉及到您公司的物联网安全战略时,经常遇到障碍吗?我们知道这是多么具有挑战性,但是有了这些技巧,你可以避免一些最常见的错误。
企业架构师需要重新思考他们的安全策略,因为他们开始利用东西互联网......
继续阅读本文
享受这篇文章以及我们所有的内容,包括电子指南,新闻,提示和更多。
(物联网)。利用嵌入式系统连接的功能取决于将企业基础架构开放到更大的设备集,所有这些都有可能引入新的IoT安全漏洞。
“很多物联网即将部署的设备和应用程序,不会使用安全的开发最佳实践来设计,留下可以利用捕获敏感数据的漏洞,“专注于网络安全解决方案的工程师Brian Russell说Leidos该公司是一家国家安全、健康和工程解决方案公司云安全联盟的安全物联网倡议。“重要的是,物联网制造商开始获得所需的专业知识,以确保整个产品生命周期的安全性。”
用于管理和启用所有IOT安全阶段的工具非常不成熟。比利里奥斯物联网安全咨询公司Laconicly的创始人说:“我们甚至没有工具来帮助我们完成简单的任务,比如找到我们所有设备在网络上的位置,或者确保设备用户帐户有可靠的密码。”这些设备上的软件安全性非常糟糕。”
硬编码(后门)凭证、不安全协议、弱身份验证和数据完整性都非常常见。取证真的很难。Rios解释道:“大多数机构缺乏工具和专业知识来对这些设备进行事件和取证调查,所以当涉及到事件处理和取证调查时,这些设备通常被忽略。”
跳出防火墙思考问题
一个大挑战是IoT设备将完全绕过防火墙并创建与第三方服务的长期连接,其中一些甚至没有向企业向外。Mark Stanislav,SR.战略服务安全顾问Rapid7是一项安全服务咨询说,“部署废弃货架设备的企业应该关注网络访问级别,这些设备具有多少数据,以及构建设备的组织的成熟度如何信息安全。”
如果一个物联网设备被破坏,大多数组织都不太可能知道发生了什么,因为对物联网软件和硬件内部工作的可见性非常有限。许多物联网设备将为攻击者提供巨大的能力它能够破坏单个设备,然后在网络中横向移动,如果没有适当的包含和分割。Stanislav补充说:“数据,无论是视频、音频、环境还是其他敏感数据,通常都可以通过受损的物联网设备被窃取,并可能为犯罪分子提供有价值的信息,从而影响组织。”
保护物联网的最大区别在于考虑防火墙之外的问题,因为物联网意味着连接到公共互联网。Daniel Kador,公司联合创始人兼首席技术官敏锐的IO.一位物联网分析服务提供商表示:“问题不是如何防止设备被破坏,它们将会被破坏。问题是一旦发生,该如何应对。”
解决补丁差距
由于企业识别从连接设备创建业务价值的新方法,因此可能诱人耗尽从未打算连接或更新的设备。IOT安全解决方案副总裁Lorie Wigle英特尔的安全表示,“物联网部署通常包括连接最初不在网络上的设备,因此没有任何安全设计。特别是工业物联网设备,其寿命非常长,正常运行时间或可用性是其最高优先级。”
这意味着补丁可能会有问题,甚至是不合适的。另一个安全问题是,物联网服务器通常不在访问受限的机房中,这意味着物理安全是一个更大的问题,因为攻击者可以以其无法控制的方式戳戳它们、插入USB棒和按下按钮。
提高安全评估
公司创始人兼首席执行官Zach Supalla表示,企业需要发展更灵活的流程,以评估可能暴露在野外的物联网数据的敏感性火花IO,一个开源IOT Toolkit提供程序。物联网设备产生大量数据,其中一些是敏感的,其中一些不是。应用适当的安全性有点微不足道,但由于许多申请不敏感,最大的问题将是当经理开发产品时不确定如何确保什么以及不可能确保什么。
在某些方面,新的物联网能力得益于今天默默无闻的安全性。有如此多不同的规范和协议使用,恶意黑客很难创建恶意软件,可以攻击大量的设备容易。Keen IO的Kador表示:“我们现在正处于标准化前阶段,所以黑帽在这里花太多时间是没有意义的,因为他们可以专注于Windows漏洞。但一旦我们看到围绕物联网规范的标准化,预计针对这些规范的攻击浪潮将会上升。”
对于企业来说,对其现有的物联网脆弱性暴露的库存也是一个好主意。Laconicly的Rios表示,大多数企业都没有意识到他们已经在其环境中拥有了许多物联网设备。智能环境控制和能源管理是非常常见的。在任何一个特定的企业园区,都有各种各样的传感器向smart提供信息暖通空调,照明,能量和门禁系统。
里奥斯说,他遇到过许多会议室可用设备,它们可以显示真实企业中的会议室时间表。许多人没有意识到的是,这些设备非常不安全。企业架构师应该关注的是,许多设备从Exchange服务器检索可用性信息,这意味着它们通常拥有一组企业凭证。
资源受限设备
物联网安全可能更具挑战性Spark IO的Supalla表示,这是因为它利用了资源极其有限的设备。一台运行Windows或Linux等通用操作系统的计算机与另一台服务器建立加密连接是没有问题的。但是,咖啡机内的微控制器没有相同的资源和访问相同的加密堆栈的权限,而且它可能也没有访问足够的熵来为加密密钥生成真正的随机数。这些都是可以解决的问题,但它们需要经过深思熟虑的实施和专业知识。
企业可以考虑利用物联网工具包,这有助于确保联网设备访问方式的最佳实践api和企业系统。例如,Spark IO帮助工程师和组织开发连接产品,在这些产品中,所有的底层管线都已经被处理好了,因此工程师可以专注于应用程序。安全性和可伸缩性是内置的,因此工程师不必担心这些问题。
英特尔安全的Wigle表示,企业应该考虑利用物联网设备的局限性,通过白名单技术改进安全架构。由于物联网设备不是通用的,考虑一下哪些应用程序和代码可以在它们上运行,而不是不断更新哪些不能在它们上运行。例如,英特尔安全有超过200个客户建立了它的白名单,并将控制解决方案更改到他们的产品中。
利用物联网安全措施
物联网安全分析仍处于早期阶段。企业可能会考虑众多行业和政府改进IOT安全:
- 云安全联盟正在与一些安全专家合作进行定义早期采用者的IOT安全指导。
- 其他组织如OWASP,Builditsecure.ly,WhiteScope,我是骑兵还开始对帮助组织建立安全的物联网来贡献。
- 开放互联联盟有两个开源平台,可爱标准的开发正在进行中。
- 的物联网联盟为公司提供安全指导;
- NIST正在努力网络物理系统的安全。
- 思科提供了“大的挑战对于物联网安全的努力。
- 英特尔安全性也有一个开发人员计划,用于将安全管理扩展到其他公司,称为其他公司安全创新联盟,这允许将解决方案插入ePolicy编排器。
Rapid7的斯坦尼斯拉州表示,“物联网创新的最大安全实力目前是对这些设备运行的固件,API和软件的标准化的重点。在这个新生的IOT时代,一家狂野的技术西部创造了数千个分享的供应商的设备。一点技术-DNA。虽然通过对物联网设备的创建缺乏限制,但创新的虽然创新,但它必须最终改变可持续性和安全成熟。“
