作为消费者,我们已经痴迷于连接的设备。我们喜欢智能家居,智能汽车,智能电视,智能冰箱或任何可用传感器自动化的机器的想法和任何机器。然而,今天的任务更少,这是更多的恐惧,而不是保护公司网络的前景从这种连接设备的这种增殖波浪。事物互联网现象指数逐渐扩大了威胁表面,反过来促进了业务风险。
但是CIO通常不了解所有制作黑客目标的设备。“面对事物互联网的一个基本问题都知道他们在那里并给予他们一些身份,”Gartner分析师伯克林斯说。“你无法管理你看不到的东西。”
[相关:为什么CIO应该担心事物互联网]
在隐藏式滑动机器和Byod设备中的因素,以及控制办公灯具,温度甚至窗口色调的新兴技术,很容易看出网络上的网络才能更加常见于CIO。确保物联网是本周黑色帽子美国会议的主要重点,他的主办方告诉华尔街日报他们收到了50个与渗透装置相关的研讨会建议,包括计算机蠕虫如何将智能电灯泡传播,如何破解医疗系统,以及一种新型的ATM撇渣装置。
马特克兰宁,QAdium的首席技术官。
STAME SOFTWARE STARTUP和DARPA SPINOFF QADIUM的CTOMS COS,CIOS专注于锁定在网络上运行的设备,而MUNDANE Teleconference系统被忽略。在世界各地的执行委员会中安装了成千上万的统一通信和协作系统。这些系统使用日期协议,例如会话发起协议(SIP),没有加密,并且很少在补丁上保持电流。
想象一下这种情况:整个C-Suite与董事会挤满了季度会议。启用IP的视频会议系统不起作用,因此他们称之为。拒绝由公司防火墙正确阻止系统,与企业政策一致。但而不是取消会议,Execs命令突破防火墙以使系统工作。当IT团队不会将防火墙放在设备周围时,否则不会发生,让系统开放到可能窃取执行会议的有进取心的黑客。
“当电话只是一部手机时,他们长大了,”克兰宁说,没有意识到这种系统姿势的威胁的高管。“大多数人都没有内幕的IOT,仍然存在这个问题尚未在这里的神话。”他说邮件服务器也是潜在的威胁向量。
IOT安全:市场经济的受害者?
企业自然只有更广阔的世界的子集 - 其中连接设备的增加的Drumbeat造成更大的威胁。Gartner预测64亿Consional Bruce Bruce Schneier表示,在2016年将在2016年将在全球范围内达到2020年,并将达到208亿辆。。
PC和手机每18至24个月搅拌每18至24个月,以便生产它们的公司有经济激励,不断完善这些设备的安全性。但是,人们每10年更换汽车,每20件20岁的冰箱和恒温器“从来没有,”施奈尔说。“没有机制补丁他们,因为第三方不是经济上可行的,”施奈尔说。
[相关:事情互联网上来了nfl]
当新设备出现时,问题将挂载,以及与它们一起使用的传感器和软件以及更便宜,持续更长时间。“在修补,设备和操作系统方面,您没有相同的升级生态系统 - 在计算机世界中没有这些事情使它们更好地让它们变得更好,”Schneier说。“当你的炉子成为物联网的一部分,他们说你必须每两年更换炉子上的硬件......人们不会要这样做。”
分配故障也在复杂的市场动态中发挥着大手。当犯罪者通过软件漏洞渗透网络时,我们指向缺陷的软件。但是通过连接的设备形成基本上是数字菊花链,难以将故障归咎于故障。“如果你是冰箱与你的路由器交互并破解你的Google帐户,那是谁的错?”施奈尔说。“市场经济实际上反对保护IOT。”
正如施奈尔写在A的情况下,这种安全威胁可以很快播放上周博客帖子:“一个系统级联进入其他系统的漏洞,结果是一种漏洞,没有人看到的,没有人对固定责任。事情互联网将使利用漏洞更为普遍。“
一个IoT安全模型
QAdium正在使用由给定组织配置的设备生成的数百个数据来解决IoT安全问题。索引百种不同的协议,呼叫驻留在客户网络上的所有设备,并衡量其对异常的反应。它在公司网络中找到了黑暗的空间,CIO甚至没有知道存在。
“我们看看整个互联网,并将其转化为分析挑战,”克兰宁说。目标是说,“我们知道公司的所有感兴趣的设备都是。”QAdium的客户包括美国网络命令和海军。
根据珀金斯的说法,据说QAdium参加了间距网络,大湾软件和ForeScout技术,这些技术在帮助Cios发现了他所谓的“实体网络”的原因中发挥着有用的作用。然而,挑战并不结束那里。需要第二组技术来隔离和中和恶意软件或其他网络侵占。他说,确保连接的设备需要一种多层方法,该方法涉及为现有设备提供适当的策略执行,并将在未来进入网络。这不是琐碎的任务。
“我们现在已经在计算时达到了一个时代,我们能够将普遍的数字存在投射到业务边缘,并进入人体的边缘,在人体,在房子里,在车里“Perkins说。Gartner估计支出安全技术,以保护互联网的互联网将在2020年的840.5百万美元。
IoT安全的未来看起来像什么?密切关注网络安全市场的施奈尔在过去的三十年中,联邦政府必须通过建立一个新的联邦机构为网络安全提供监管监督 - 理想的是一个技术政策 - 规范行业,类似于FCC如何被创建以规范空中波和FAA指南航空公司。目前,施奈尔说政府仍然疲弱地落后于IoT意识。
然而,施奈尔仍然持谨慎乐观态度,这些行业的机会解决了复杂的挑战 - 就像它总是有 - 随着时间的推移和通过审判和错误。解决方案“就像我们在计算机安全中所做的一切 - 迄今为止的事情 - ”施奈尔说“我们会搅拌,咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜咕噜。”
这个故事,“物联网安全遭受缺乏意识”最初是发表的CIO. 。