我们不断听到有关物联网固有安全风险的可怕警告,确实,物联网相关事件正在发生。随着许多公司开始从联网设备中获取物联网数据,一个关键问题是,他们是否在确保数据和网络安全方面做得足够好?
如果说安全高管们认为,随着移动设备的增长和数字企业的不断扩张,他们有很多事情要处理,那么联网产品、企业资产、车辆和其他“东西”的出现,则将安全覆盖提升到了一个全新的水平。
一个2016年12月关键基础设施技术研究所的研究(ICIT) - 一个网络安全智库充当私营部门公司和美国联邦机构之间的管道,指出企业是多么脆弱通过物联网等的服务(DDoS)分布式拒绝攻击。
该报告称,网络犯罪分子正在扩大他们对易受攻击的物联网设备的控制,这些设备可用于一组分层攻击方法的租用ddos服务。
与此同时,物联网继续占据主导地位。451 Research公司在2016年8月至10月对全球近1000家企业IT采购商进行的一项调查显示,71%的企业正在为物联网计划收集数据。该研究称,企业预计在未来12个月内将物联网技术投资增加33%。绝大多数(90%)企业将在未来12个月增加物联网支出,40%企业将在2016年将物联网相关投资增加25%至50%。
然而,安全仍然是一个问题,有一半的受访者认为这是物联网部署的最大障碍。
“当涉及到物联网和安全性,我认为这几乎是不可能的夸大的需求和安全准备的关键性质,”劳拉说,在451研究的研究总监和研究的主要作者。
“物联网环境下的设备,人员和应用程序互相连接,攻击面或攻击向量可能是无限,”迪迪奥说。“威胁无处不在。这是组织和他们的IT部门都深受是一个有点偏执,而不是担任不严的情况“。
每一个物联网应用、进程和设备都是脆弱的,DiDio说。她说:“即使是最严格的安全机制和措施,也可能因为一个粗心的用户没有遵守规则,在各种设备上实施安全措施而被破坏。”
Sidley Austin LLP公司隐私、数据安全和信息法律实务联席主管Ed McNicholas表示,物联网最大的安全威胁是设备互连的内在需求,他将物联网作为其业务的一部分。
劳拉·迪迪奥,451研究所的研究主任
“各种各样的智能技术被集成到一个令人难以置信的各种对象由企业众多,往往采用新技术,”麦克尼古拉斯说。“来快速推动这些设备推向市场的驱动,与需要沟通与各种各样的其他设备相结合,将导致可被利用并将会大幅提高组织的攻击面空白。”
许多因素决定了任何给定的连接设备的安全风险有多大。
“很明显,那些具有更大的攻击面,例如面向互联网的设备有更大的风险,”董事总经理兼咨询公司甫瀚的安全和隐私实践的全球领先斯科特·拉利伯特说。
另一个因素是这种设备的普遍程度。拉利伯特说:“这种设备使用得越多,就越有可能成为坏人的攻击目标。”“理论上说,攻击者的努力将集中在那些能通过更大影响获得更大回报的设备上。”
此外,设备越复杂,需要保护的设备功能就越多,可能出错的也就越多。最后,高风险的功能可能会引起人们的兴趣,试图造成破坏。拉利伯特说:“设备的功能性越高,制造商有效保护设备的重要性就越大。”
需要确保安全设备制造商被纳入设计和嵌入式产品生命周期,拉利伯特说。“设计的产品更容易让消费者安全,”他说。“不要依赖它们来执行,以确保设备所需的关键活动。他们很可能会那么做。”
最终,物联网用户和产品制造商“有义务以效用最大化和风险最小化的方式安装和创造物联网产品,”拉利伯特说。“物联网设备的使用将迅速扩大,如果没有足够的安全措施,我们就有可能在我们的家庭、工作场所和社区中引入未知的危险。”
不安全,不安全的物联网设备的压倒性量几乎全世界保证,我们将继续看到诸如DDoS攻击,继续在全球范围内扩散可预见的未来,迪迪奥说。
由于网络是所谓的第一道防线,所以重点放在保护网络周边,但组织不能忽视位于数据中心的关键应用程序和服务器。2020欧洲杯预赛DiDio说:“组织和IT部门有时会犯的另一个非常常见的安全错误是无法对设备进行物理安全保护。”
为了加强物联网安全,组织应该做的第一件事就是对其目前拥有的物联网设备以及计划部署的物联网设备有一个坚实的了解。
数据中心、托管和云服务的国际供应商QTS的CISO首席技术官安德鲁•怀尔德(Andrew Wild)表示:“拥有设备的库存是资产管理的一个基本组成部分。”2020欧洲杯预赛
“我们还开发了需要新类型的设备将被连接到网络的审查和批准过程中的政策,”野说。“其次,信息安全机构是跟踪所有的设备类型在网络上监视相应的供应商漏洞披露并继续执行网络宽漏洞扫描识别和修复易受攻击的设备,其中包括的IoT设备”。
QTS有很多网络功能的传感器和采集控制系统和前进的各类信息,从环保的数据系统监控。
设备在默认情况下应该是安全的
有一个物联网的安全策略和严格执行这是一个明智的做法,迪迪奥说。“企业可以减轻并采取主动降低风险到可接受的水平,”她说。“这意味着,在物联网环境下的安全性必须内置从成立。物联网环境必须是安全的设计,默认安全,确保在使用时,传输加密,在休息安全“。
其他“必到”包括进行漏洞测试,找出薄弱点是在网络和工作方式关闭它们的;保持最新的安全修补程序和补丁;部署相应的安全设备和软件;培训和再认证的IT员工对最新的安全机制和投资安全意识培训;清点网络上的东西
使用或计划使用物联网的公司还可以与其他组织合作,推动联网对象的安全标准。
McNicholas说:“技术社区花了数年时间才意识到在互联网通信中建立安全协议的必要性。”“企业可以通过尝试制定技术标准并寻求共识,以实现更安全的通信,从而有效地提高自身的安全性。”
发展物联网强安全性的关键将获取所需的技能。
大多数组织不具备保护物联网设备所需的内部技能,”拉利伯特说。“保护物联网设备需要硬件、开发、网络和嵌入式安全技能的独特组合。要找到这些东西是极其困难的,更不用说在一个人身上。”
其中一个最需要开发更好的安全协议为物联网的技能是对风险更有效沟通的能力,麦克尼古拉斯说。这种沟通需要采取技术专家,律师和商界领袖之间进行。
麦克尼古拉斯说:“只有当公司能说一种共同的语言时,才会有关于风险和回报的激烈讨论。”
这个故事,“是公司对物联网安全方面做的还不够吗?”最初由出版方案 。