物聯(lián)網(wǎng)設(shè)備讓我們的生活更輕松。例如�����,智能家居技術(shù)可以幫助用戶通過輕觸觸摸屏打開(關(guān)閉)燈光和電器,從而提高能源效率���。一些連接設(shè)備����,如智能醫(yī)療設(shè)備和報(bào)警系統(tǒng)�,甚至可以幫助拯救生命。
但是���,這項(xiàng)技術(shù)也存在嚴(yán)重的安全風(fēng)險(xiǎn)��。隨著物聯(lián)網(wǎng)生態(tài)系統(tǒng)的擴(kuò)展����,網(wǎng)絡(luò)犯罪分子的攻擊面也會(huì)隨之?dāng)U大��。換句話說�,我們在日常生活中越依賴于互聯(lián)技術(shù),越來越容易受到網(wǎng)絡(luò)威脅的影響�,這些網(wǎng)絡(luò)威脅越來越多地被用于利用物聯(lián)網(wǎng)設(shè)備中的漏洞和設(shè)計(jì)缺陷。
這對(duì)網(wǎng)絡(luò)安全專業(yè)人員來說是一項(xiàng)艱巨的挑戰(zhàn)�����。他們不僅必須保護(hù)自己的設(shè)備,還必須防御針對(duì)可能連接到網(wǎng)絡(luò)的外部機(jī)器的威脅�。
避免物聯(lián)網(wǎng)安全隱患
物聯(lián)網(wǎng)數(shù)據(jù)泄露的潛在后果包括敏感的個(gè)人或企業(yè)信息的丟失,這可能導(dǎo)致嚴(yán)重的財(cái)務(wù)和聲譽(yù)損失�����,大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊旨在取消主要網(wǎng)站等等�����。這些事件通常來自于配置錯(cuò)誤�����,默認(rèn)或易于猜測的密碼以及設(shè)備本身的固有漏洞��。
盡管許多專家呼吁監(jiān)管機(jī)構(gòu)實(shí)施行業(yè)標(biāo)準(zhǔn)��,以使物聯(lián)網(wǎng)設(shè)備制造商和開發(fā)商對(duì)這些普遍存在的缺陷負(fù)責(zé)��,但在這方面進(jìn)展緩慢�。與此同時(shí),IT專業(yè)人員和設(shè)備所有者必須遵循基本的物聯(lián)網(wǎng)最佳實(shí)踐��,將安全轉(zhuǎn)移到自己手中����。
物聯(lián)網(wǎng)設(shè)備制造商最重要的經(jīng)驗(yàn)法則是在開發(fā)過程的每個(gè)階段測試安全性。在預(yù)發(fā)布階段將安全問題扼殺在萌芽狀態(tài)要比在設(shè)備滲入市場后浪費(fèi)資源修復(fù)錯(cuò)誤要容易得多(且成本更低)��。一旦開發(fā)出來��,設(shè)備應(yīng)該經(jīng)過嚴(yán)格的應(yīng)用安全測試�,安全架構(gòu)評(píng)估和網(wǎng)絡(luò)脆弱性評(píng)估��。
當(dāng)設(shè)備出貨給最終用戶時(shí)����,他們不應(yīng)該使用默認(rèn)密碼��。相反����,他們應(yīng)該要求用戶在安裝過程中建立強(qiáng)大���,唯一的憑據(jù)�。由于物聯(lián)網(wǎng)設(shè)備收集如此多的個(gè)人數(shù)據(jù),包括生物識(shí)別信息����,信用卡詳細(xì)信息和位置數(shù)據(jù)�,因此根據(jù)最小權(quán)限原則嵌入加密功能很重要。
保護(hù)數(shù)據(jù)隱私
對(duì)于部署物聯(lián)網(wǎng)技術(shù)的組織�����,建立事件響應(yīng)團(tuán)隊(duì)來修復(fù)漏洞并向公眾泄露數(shù)據(jù)泄露至關(guān)重要�����。所有設(shè)備應(yīng)能夠接收遠(yuǎn)程更新�,以最大限度地減少威脅行為者利用外部弱點(diǎn)竊取數(shù)據(jù)的可能性�。此外���,安全領(lǐng)導(dǎo)者必須投資可靠的數(shù)據(jù)保護(hù)和存儲(chǔ)解決方案����,以保護(hù)用戶的隱私和敏感的企業(yè)資產(chǎn)�。
考慮到越來越需要與數(shù)據(jù)隱私法保持一致,這一點(diǎn)尤為關(guān)鍵,其中許多法律對(duì)違規(guī)行為處以巨額罰款。由于有些法規(guī)要求用戶有權(quán)要求刪除其個(gè)人信息��,因此必須將此功能內(nèi)置于收集用戶數(shù)據(jù)的所有物聯(lián)網(wǎng)設(shè)備中��。組織還必須制定政策來定義數(shù)據(jù)如何在IT環(huán)境中收集���,使用和保留。
為確保物聯(lián)網(wǎng)部署的持續(xù)完整性����,安全團(tuán)隊(duì)?wèi)?yīng)定期進(jìn)行差距分析,以監(jiān)控連接設(shè)備生成的數(shù)據(jù)���。這種分析應(yīng)該包括基于流量和數(shù)據(jù)包的異常檢測��。
意識(shí)是物聯(lián)網(wǎng)安全的關(guān)鍵
與任何技術(shù)一樣���,組織的物聯(lián)網(wǎng)部署只與運(yùn)營它的人一樣安全。因此���,企業(yè)各級(jí)的意識(shí)培訓(xùn)和持續(xù)教育至關(guān)重要���。這適用于設(shè)備制造商和投資于其技術(shù)的公司��。
國內(nèi)最大的物聯(lián)卡交易平臺(tái)(http://m.mingxiangpen.cn)表示��,物聯(lián)網(wǎng)有可能提高國內(nèi)和企業(yè)環(huán)境的效率和生產(chǎn)力�。但是���,物聯(lián)網(wǎng)數(shù)據(jù)的曝光 �����,或非法收購設(shè)備本身�����,可能會(huì)對(duì)企業(yè)的底線和聲譽(yù)造成不可估量的損失��。開發(fā)此技術(shù)的好處并避免這些技術(shù)陷阱的關(guān)鍵因素包括在整個(gè)開發(fā)生命周期中將安全性嵌入到應(yīng)用程序和設(shè)備中����,投入強(qiáng)大的數(shù)據(jù)保護(hù)解決方案�,并在整個(gè)組織中優(yōu)先安全教育。
