一个与物联网的最大顾虑(物联网)是确保网络,数据和设备的安全。物联网相关的安全事故已经发生,和IT之间的后顾之忧,安全和网络管理人员,类似的事件将发生是有道理的。
“但在所有最严格的环境中,你将有物联网设备在你们中间,说:”贾森TAULE,标准的副总裁和首席信息安全官的安全标准和保障公司称,HITRUST。“接下来的问题是没有如果,但你将如何允许这样的设备与您的网络,系统和数据的连接和互动。”
组织可以做些什么来加强物联网安全?有很多选择—包括许多可能不那么明显的实践。
运行物联网安全测试源代码
研究和咨询公司负责人劳拉·迪迪奥(Laura DiDio)表示,为了在物联网中构建更好的安全性,组织应该从其网络基础结构中最小的组件——代码开始ITIC。
“大多数物联网设备都非常小,”迪迪奥说。“因此,源代码趋向于在“共同tongue'-C或C ++和C#语言频繁牺牲品常见的问题,如内存泄漏和缓冲区溢出漏洞被写入。这些问题都是网络等同普通感冒的。”
迪迪奥说,就像普通感冒一样,它们是令人讨厌的、顽固的。她说:“在物联网环境中,它们可能激增,并成为一个经常被忽视的重大安全问题。”“最好的防御方法就是测试、测试、再测试。DiDio表示:“市场上有各种被广泛认可的测试工具,它们已经被用于物联网设备。
安全性和IT管理员也可以使用堆栈饼干,迪迪奥说。这些随机的数据串应用程序只是指令指针寄存器,如果发生缓冲区溢出来的数据溢出之前编码写入到堆栈中。“在事件缓冲区溢出确实发生,堆栈的cookie被覆盖,”她说。该应用程序将被进一步编码来验证堆栈cookie字符串将继续匹配的代码是如何写的最初。如果堆栈cookie不匹配,应用程序将终止。
部署访问控制
在物联网环境中控制访问是企业在连接资产、产品和设备时面临的更大安全挑战之一。这包括控制连接对象本身的网络访问。
组织应首先确定的物联网环境中认为可以接受联系的事物的行为和活动,然后把该考虑到这一点,但同时不会妨碍过程控制到位约翰·皮龙蒂,咨询公司的总裁说,IP架构师和物联网安全方面的专家。
“而不是使用一个单独的VLAN [虚拟LAN]或网段它可以限制和衰弱的物联网设备,实现整个网络的上下文感知访问控制,允许适当的动作和行为,而不是仅仅在连接层,而且在命令和数据传输的水平,”皮龙蒂说。
皮隆提说,这将确保设备可以按计划运行,同时也限制它们进行恶意或未经授权的活动的能力。他说:“这个过程也可以建立预期行为的基线,然后可以记录和监测,以识别异常或活动超出预期行为在可接受的阈值。”
需要物联网的齿轮,以满足安全标准
组织理所当然聘请各类服务提供商,在某些情况下通过,将其放置在客户端设备提供的服务。在物联网时代,有一个很好的机会,机器将被连接,因此容易被黑客攻击和其它入侵。
如果出现问题,这是由客户来确保有责任到位。
“一米开始的地方是承包范围内,”布赖恩Haugli,在安全咨询公司的合伙人SideChannelSec在保险公司汉诺威保险集团前安全主管。“是你的供应商的推物联网为您的企业为他们的服务或解决方案的一部分?如果是这样,你必须了解它,看看它的订约/采购的一部分。”
请确保它是明确谁负责更新和设备的生命周期,以及如果你将有机会获得它在发生事故的情况下,Haugli说。“我见过暖通[加热,通风和空调]和打印机公司不会放弃访问,导致停滞的回应的努力,”他说。“同样是这些供应商可能会回推例行补丁的责任或升级”到操作系统。
,Haugli说,在某些情况下,合同可能不会指定当客户将保证新设备与支持的操作系统,以及供应商可能不愿意承担成本。其结果是,不支持的和脆弱的设备可以被允许坐在网络上远远超过它应该。
“如果我们不阐明我们对供应商的要求,不采取措施,以确保符合,而不是他们有法律义务,凭什么我们是否有希望这些需要解决的问题?”TAULE说。“在同样的方式,硬件原始设备制造商和软件公司现在都希望被追究责任在其产品中识别并快速解决的弱点,所以也应该为我们提供的IP相机,医疗设备,打印机,无线接入点,冰箱公司,环境控制等物联网设备的无数后,我们越来越多地依赖“。
Taule说,公司应该将通用安全框架中概述的控制应用于物联网设备。例如,在合约中包括安全功能需求;要求最近进行漏洞扫描,或声称有权自己扫描漏洞;要求供应商及时提供更新,以解决已发现的弱点;并在固件更新后重新扫描设备,以确保识别的问题已经解决,并没有引入新的问题。
抵御物联网身份欺骗
黑客和他们的技术在过去几年里变得越来越熟练,这可能代表着物联网安全的一个巨大威胁。
迪迪奥说:“他们像造假者和伪造者一样不断地升级自己的游戏。”物联网设备呈指数级增长意味着攻击面或攻击向量呈指数级增长。”
这使得企业及其安全和it部门必须验证与之通信的物联网设备的身份,并确保关键通信、软件更新和下载都是合法的。
所有物联网设备必须具有一个唯一的标识,迪迪奥说。在没有一个独特的身份,一个组织是在被欺骗或者从微控制器级别在网络边缘的应用和传输层端点设备黑客攻击的高风险,她说。
不要让物联网设备启动网络连接
公司应限制物联网设备发起的网络连接能力,而只使用网络防火墙和访问控制列表连接到它们,皮龙蒂说。
皮隆提说:“通过建立单向信任原则,物联网设备将永远不能启动与内部系统的连接,这可能会限制攻击者利用它们作为跳转点来探索和攻击网络段的能力。”
皮隆提说,虽然这不能阻止对手攻击与他们直接建立连接的系统,但会限制他们在网络内横向移动的能力。
企业还可以强制物联网设备的连接要经过跳主机和/或网络代理,皮龙蒂说。“通过进行代理漏斗点的连接,一个组织可以检查网络流量来之前和物联网设备,并查询[交通]更有效,”他说。使得其能够确定该交通和它所携带的有效载荷是适当的设备的IoT是接收或发送。
物联网给它自己的网络
许多类型的控制设备,如恒温器和照明控制,经由无线连接。詹姆斯·麦吉尼,在网络安全和法规遵从的高级主管说,然而,大多数企业的无线网络需要WPA2企业版/ 802.1XRosendin电他是一名电气承包商。
McGibney说:“大多数这些设备不支持wpa2企业版。“开发一种更安全的设备将是理想的。然而,如果环境支持,你可以将这些设备放到自己的无线网络上,与生产网络隔离,只允许Internet访问。”
这将需要创建一个单独的服务集标识符(SSID)和虚拟LAN并且具有能力来路由通过防火墙的流量,McGibney说。该隔离的无线网络将被配置并从中央位置进行管理,他说。
“我们已经这样做了一些设备,[例如]需要上网自动售货机,这是我们在无法控制,” McGibney说。“我们把它们放在我们的客户网络,这是从生产上的隔离。”它运行在相同的硬件,但在一个单独的VLAN,他说。
将安全性引入供应链
物联网的努力通常在供应链中跨多个合作伙伴达成,包括技术供应商,供应商和客户,安全性必须考虑到这一点。
“如果你还没有这样做,去你的合同,财务,或任何其他团体组织中的管理供应链,” TAULE说。“开始对话,而不是任何物联网的交易,除非安全团队同意已经提供提供了这样的批准与他们的关系。”
陶勒说,如果安全部门愿意承担分析工作的负担,这些部门将积极遵守这一规定。
Taule说,究竟如何最好地加强供应链供应商的选择过程取决于个体组织,但他建议考虑允许独立验证的制造商;建议在设备端设置写保护开关,这样固件在您不知情的情况下就无法更新;只采购正品,不采购仿冒品。