论文部分内容阅读
物联网的优势非常巨大,而下列步骤可以帮助我们在较低安全风险下获取这些优势。
物联网(IoT)已经为企业描绘出了许多美丽的前景,包括丰富的数据供应,而这些数据可以让企业更高效地为客户服务。但尽管如此,企业还是有着诸多顾虑。
因为有很多的设备、产品、资产、交通工具、建筑等都将被连接,这就存在着黑客和网络不法分子尝试利用其中的漏洞进行入侵并加以恶意利用的可能性。
研究与咨询公司ITIC首席分析师Laura DiDio称:“在物联网生态环境中,形形色色的设备、应用和人通过五花八门的连接机制被连接在一起,攻击向量或攻击面可能将变得不计其数。”
“从网络边缘/周界到企业服务器和主要业务应用,再到终端用户设备乃至传输机制,网络中的任何一个节点都容易受到攻击。这些节点中的任意一个甚至所有节点都可能会被恶意利用。”
因此,物联网安全成了许多企业关注的重点。研究公司451 Research近期对全球600多名IT决策者展开了一项在线调查。当受访者被要求针对现有的或规划中的物联网方案对企业优先考虑的技术或流程进行排名时,55%的受访者将物联网安全作为其首要任务。报告指出,物联网的本质使得防范攻击变得尤其具有挑战性。
企业可以采取什么措施来加强物联网环境的安全性呢?以下是行业专家给出的一些最佳实践。
识别、追踪和管理终端设备
在不知道哪些设备被连接以及没有追踪它们的行为的情况下,确保这些终端的安全非常困难甚至是不可能的。
市场研究公司Gartner的研究总监Ruggero Contu称:“这是一个关键领域。对企业来说,一个关键问题是要获得对智能接入设备的完全可视性。这是一个对操作和安全方面都有关系的要求。”
IDC数据安全实践部门研究主管Robert Westervelt称:“对于一些企业来说,发现和识别更多的是资产管理问题而非安全问题。在这一领域中,网络访问控制与编排厂商正在通过添加安全连接组件和监测潜在威胁征兆等措施让他们的产品能够有针对性地解决这一问题。”
DiDio指出,企业应当拥有一张包含了物联网网络中所有设备的完整清单,并搜索那些可能存在后门或开放端口的被遗忘设备。
在发现安全漏洞后及时修补
物联网专家、咨询公司IP Architects总裁John Pironti指出,及时进行修补是良好的IT安全防护的基本理念之一。
Pironti 称:“如果出现了一个针对某个物联网设备的安全补丁,那么这一定是一个得到了设备厂商确认的漏洞,及时打上补丁就是及时进行补救。一旦厂商发布了补丁,那么问题的责任就由厂商转移到了使用该设备的企业身上。”
Westervelt表示,使用漏洞与配置管理可能会有一定的意义,漏洞扫描产品在一些情况下会提供相关的补丁。然后要做的事是打上补丁进行修补。但是,他指出,“与为企业打补丁相比,配置管理有可能会成为一个更大的漏洞。”
一定要记住物联网补丁管理非常困难,这一点非常重要,Contu强调称。“这也是为什么执行一套完整的资产发现流程以识别企业可能在哪里存在漏洞非常重要的原因。不可能总会找到现成的相关补丁,因此有必要寻求备份的措施和方案来确保安全性。”监控网络流量就是对无法获取相关补丁的一种弥补措施,Contu说。
优先考虑最具价值的物联网基础设施安全
物联网世界中所有的数据并不都是平等的。Pironti 称:“对于物联网安全,要采取基于风险的解决方案,以确保高价值资产被优先对待,并根据它们对公司的价值和重要性予以保护。这一点非常重要。”
公司可能要不得不应对海量的物联网设备。与以前应对的传统IT设备相比,这些物联网设备正在以指数级方式增长。Pironti称:“认为所有这些设备都能够在一个较短时间内被打上补丁的想法往往是不现实的。”
在物联网软硬件部署前进行渗透测试
如果将这一工作外包给服务提供商或咨询公司,一定要明确需要进行什么类型的渗透测试。
Westervelt称:“我要求渗透测试人员在进行网络渗透测试的同时要确保网络分段的完整性。一些环境还需要对无线基础设施进行评估。我认为除了一些特殊的情况外,目前在物联网中应用渗透测试的优先等级要相对低一些。”
Contu认为渗透测试应当成为风险评估项目的一部分。他称:“我们预测与这些行为有关的安全认证需求会越来越多。”
如果真的发生了与物联网有关的攻击,要立即做好采取行动的准备。DiDio 称:“制订一个安全响应计划,并针对攻击进行相应的指导和管控。要建立起一条责任与指挥链,以防被成功入侵。”
了解物联网与数据交互的方式以识别异常情况,保护个人信息
Westervelt称,我们可能会将重點放在确保传感器数据的收集与汇聚的安全性上。根据设备即将被部署的地点和设备风险预测,这需要网络安全和物理反篡改功能。
他称:“根据收集到的数据的敏感性,可能需要硬件和/或软件加密以及PKI(公钥基础设施)以验证设备、传感器和其他组件。根据设备的功能,如POS系统等其他物联网设备可能需要白名单、操作系统限制和反恶意软件。”
不要使用默认的安全设置
在一些情况下,公司将会根据自己面临的安全情况选择相应的安全设置。
Westervelt 称:“如果某个网络安全设备被应用到一个关键节点,那么一些企业可能会选择仅以被动模式部署该设备。记住,在工业生产过程中,虽然我们看到物联网传感器和设备正在被部署,但是误报也可能极其严重。阻止一些重要的事情进行可能会导致爆炸,甚至引发工业机械停工,这些代价都是极为昂贵的。”
物联网(IoT)已经为企业描绘出了许多美丽的前景,包括丰富的数据供应,而这些数据可以让企业更高效地为客户服务。但尽管如此,企业还是有着诸多顾虑。
因为有很多的设备、产品、资产、交通工具、建筑等都将被连接,这就存在着黑客和网络不法分子尝试利用其中的漏洞进行入侵并加以恶意利用的可能性。
研究与咨询公司ITIC首席分析师Laura DiDio称:“在物联网生态环境中,形形色色的设备、应用和人通过五花八门的连接机制被连接在一起,攻击向量或攻击面可能将变得不计其数。”
“从网络边缘/周界到企业服务器和主要业务应用,再到终端用户设备乃至传输机制,网络中的任何一个节点都容易受到攻击。这些节点中的任意一个甚至所有节点都可能会被恶意利用。”
因此,物联网安全成了许多企业关注的重点。研究公司451 Research近期对全球600多名IT决策者展开了一项在线调查。当受访者被要求针对现有的或规划中的物联网方案对企业优先考虑的技术或流程进行排名时,55%的受访者将物联网安全作为其首要任务。报告指出,物联网的本质使得防范攻击变得尤其具有挑战性。
企业可以采取什么措施来加强物联网环境的安全性呢?以下是行业专家给出的一些最佳实践。
识别、追踪和管理终端设备
在不知道哪些设备被连接以及没有追踪它们的行为的情况下,确保这些终端的安全非常困难甚至是不可能的。
市场研究公司Gartner的研究总监Ruggero Contu称:“这是一个关键领域。对企业来说,一个关键问题是要获得对智能接入设备的完全可视性。这是一个对操作和安全方面都有关系的要求。”
IDC数据安全实践部门研究主管Robert Westervelt称:“对于一些企业来说,发现和识别更多的是资产管理问题而非安全问题。在这一领域中,网络访问控制与编排厂商正在通过添加安全连接组件和监测潜在威胁征兆等措施让他们的产品能够有针对性地解决这一问题。”
DiDio指出,企业应当拥有一张包含了物联网网络中所有设备的完整清单,并搜索那些可能存在后门或开放端口的被遗忘设备。
在发现安全漏洞后及时修补
物联网专家、咨询公司IP Architects总裁John Pironti指出,及时进行修补是良好的IT安全防护的基本理念之一。
Pironti 称:“如果出现了一个针对某个物联网设备的安全补丁,那么这一定是一个得到了设备厂商确认的漏洞,及时打上补丁就是及时进行补救。一旦厂商发布了补丁,那么问题的责任就由厂商转移到了使用该设备的企业身上。”
Westervelt表示,使用漏洞与配置管理可能会有一定的意义,漏洞扫描产品在一些情况下会提供相关的补丁。然后要做的事是打上补丁进行修补。但是,他指出,“与为企业打补丁相比,配置管理有可能会成为一个更大的漏洞。”
一定要记住物联网补丁管理非常困难,这一点非常重要,Contu强调称。“这也是为什么执行一套完整的资产发现流程以识别企业可能在哪里存在漏洞非常重要的原因。不可能总会找到现成的相关补丁,因此有必要寻求备份的措施和方案来确保安全性。”监控网络流量就是对无法获取相关补丁的一种弥补措施,Contu说。
优先考虑最具价值的物联网基础设施安全
物联网世界中所有的数据并不都是平等的。Pironti 称:“对于物联网安全,要采取基于风险的解决方案,以确保高价值资产被优先对待,并根据它们对公司的价值和重要性予以保护。这一点非常重要。”
公司可能要不得不应对海量的物联网设备。与以前应对的传统IT设备相比,这些物联网设备正在以指数级方式增长。Pironti称:“认为所有这些设备都能够在一个较短时间内被打上补丁的想法往往是不现实的。”
在物联网软硬件部署前进行渗透测试
如果将这一工作外包给服务提供商或咨询公司,一定要明确需要进行什么类型的渗透测试。
Westervelt称:“我要求渗透测试人员在进行网络渗透测试的同时要确保网络分段的完整性。一些环境还需要对无线基础设施进行评估。我认为除了一些特殊的情况外,目前在物联网中应用渗透测试的优先等级要相对低一些。”
Contu认为渗透测试应当成为风险评估项目的一部分。他称:“我们预测与这些行为有关的安全认证需求会越来越多。”
如果真的发生了与物联网有关的攻击,要立即做好采取行动的准备。DiDio 称:“制订一个安全响应计划,并针对攻击进行相应的指导和管控。要建立起一条责任与指挥链,以防被成功入侵。”
了解物联网与数据交互的方式以识别异常情况,保护个人信息
Westervelt称,我们可能会将重點放在确保传感器数据的收集与汇聚的安全性上。根据设备即将被部署的地点和设备风险预测,这需要网络安全和物理反篡改功能。
他称:“根据收集到的数据的敏感性,可能需要硬件和/或软件加密以及PKI(公钥基础设施)以验证设备、传感器和其他组件。根据设备的功能,如POS系统等其他物联网设备可能需要白名单、操作系统限制和反恶意软件。”
不要使用默认的安全设置
在一些情况下,公司将会根据自己面临的安全情况选择相应的安全设置。
Westervelt 称:“如果某个网络安全设备被应用到一个关键节点,那么一些企业可能会选择仅以被动模式部署该设备。记住,在工业生产过程中,虽然我们看到物联网传感器和设备正在被部署,但是误报也可能极其严重。阻止一些重要的事情进行可能会导致爆炸,甚至引发工业机械停工,这些代价都是极为昂贵的。”