物聯(lián)網設備讓我們的生活更輕松��。例如�,智能家居技術可以幫助用戶通過輕觸觸摸屏打開(關閉)燈光和電器,從而提高能源效率。一些連接設備�,如智能醫(yī)療設備和報警系統(tǒng),甚至可以幫助拯救生命�����。
但是�,這項技術也存在嚴重的安全風險。隨著物聯(lián)網生態(tài)系統(tǒng)的擴展��,網絡犯罪分子的攻擊面也會隨之擴大�����。換句話說��,我們在日常生活中越依賴于互聯(lián)技術��,越來越容易受到網絡威脅的影響����,這些網絡威脅越來越多地被用于利用物聯(lián)網設備中的漏洞和設計缺陷。
這對網絡安全專業(yè)人員來說是一項艱巨的挑戰(zhàn)����。他們不僅必須保護自己的設備,還必須防御針對可能連接到網絡的外部機器的威脅。
避免物聯(lián)網安全隱患
物聯(lián)網數(shù)據(jù)泄露的潛在后果包括敏感的個人或企業(yè)信息的丟失����,這可能導致嚴重的財務和聲譽損失,大規(guī)模分布式拒絕服務(DDoS)攻擊旨在取消主要網站等等��。這些事件通常來自于配置錯誤��,默認或易于猜測的密碼以及設備本身的固有漏洞�。
盡管許多專家呼吁監(jiān)管機構實施行業(yè)標準,以使物聯(lián)網設備制造商和開發(fā)商對這些普遍存在的缺陷負責����,但在這方面進展緩慢。與此同時�����,IT專業(yè)人員和設備所有者必須遵循基本的物聯(lián)網最佳實踐�,將安全轉移到自己手中�。
物聯(lián)網設備制造商最重要的經驗法則是在開發(fā)過程的每個階段測試安全性。在預發(fā)布階段將安全問題扼殺在萌芽狀態(tài)要比在設備滲入市場后浪費資源修復錯誤要容易得多(且成本更低)�����。一旦開發(fā)出來,設備應該經過嚴格的應用安全測試��,安全架構評估和網絡脆弱性評估����。
當設備出貨給最終用戶時,他們不應該使用默認密碼����。相反,他們應該要求用戶在安裝過程中建立強大���,唯一的憑據(jù)���。由于物聯(lián)網設備收集如此多的個人數(shù)據(jù),包括生物識別信息�,信用卡詳細信息和位置數(shù)據(jù),因此根據(jù)最小權限原則嵌入加密功能很重要��。
保護數(shù)據(jù)隱私
對于部署物聯(lián)網技術的組織�����,建立事件響應團隊來修復漏洞并向公眾泄露數(shù)據(jù)泄露至關重要����。所有設備應能夠接收遠程更新�,以最大限度地減少威脅行為者利用外部弱點竊取數(shù)據(jù)的可能性�����。此外�����,安全領導者必須投資可靠的數(shù)據(jù)保護和存儲解決方案���,以保護用戶的隱私和敏感的企業(yè)資產�。
考慮到越來越需要與數(shù)據(jù)隱私法保持一致��,這一點尤為關鍵�����,其中許多法律對違規(guī)行為處以巨額罰款��。由于有些法規(guī)要求用戶有權要求刪除其個人信息����,因此必須將此功能內置于收集用戶數(shù)據(jù)的所有物聯(lián)網設備中。組織還必須制定政策來定義數(shù)據(jù)如何在IT環(huán)境中收集��,使用和保留��。
為確保物聯(lián)網部署的持續(xù)完整性���,安全團隊應定期進行差距分析����,以監(jiān)控連接設備生成的數(shù)據(jù)�。這種分析應該包括基于流量和數(shù)據(jù)包的異常檢測。
意識是物聯(lián)網安全的關鍵
與任何技術一樣�����,組織的物聯(lián)網部署只與運營它的人一樣安全���。因此��,企業(yè)各級的意識培訓和持續(xù)教育至關重要���。這適用于設備制造商和投資于其技術的公司。
國內最大的物聯(lián)卡交易平臺(http://aspschool.cn)表示�,物聯(lián)網有可能提高國內和企業(yè)環(huán)境的效率和生產力�。但是����,物聯(lián)網數(shù)據(jù)的曝光 ,或非法收購設備本身��,可能會對企業(yè)的底線和聲譽造成不可估量的損失�。開發(fā)此技術的好處并避免這些技術陷阱的關鍵因素包括在整個開發(fā)生命周期中將安全性嵌入到應用程序和設備中,投入強大的數(shù)據(jù)保護解決方案�,并在整個組織中優(yōu)先安全教育。
