人人書

雜誌

保存到桌面 | 簡體人人書 | 手機版
傳記回憶文學理論偵探推理驚悚懸疑詩歌戲曲雜文隨筆小故事書評雜誌
人人書 > 雜誌 > 解決企業物聯網安全問題的最佳實踐

解決企業物聯網安全問題的最佳實踐

時間:2024-10-31 09:22:52

物聯網的優勢非常巨大,而下列步驟可以幫助我們在較低安全風險下獲取這些優勢。

物聯網(IoT)已經為企業描繪出了許多美麗的前景,包括豐富的數據供應,而這些數據可以讓企業更高效地為客戶服務。但盡管如此,企業還是有着諸多顧慮。

因為有很多的設備、産品、資産、交通工具、建築等都将被連接,這就存在着黑客和網絡不法分子嘗試利用其中的漏洞進行入侵并加以惡意利用的可能性。

研究與咨詢公司ITIC首席分析師LauraDiDio稱:“在物聯網生态環境中,形形色色的設備、應用和人通過五花八門的連接機制被連接在一起,攻擊向量或攻擊面可能将變得不計其數。”

“從網絡邊緣/周界到企業服務器和主要業務應用,再到終端用戶設備乃至傳輸機制,網絡中的任何一個節點都容易受到攻擊。這些節點中的任意一個甚至所有節點都可能會被惡意利用。”

因此,物聯網安全成了許多企業關注的重點。研究公司451Research近期對全球600多名IT決策者展開了一項在線調查。當受訪者被要求針對現有的或規劃中的物聯網方案對企業優先考慮的技術或流程進行排名時,55%的受訪者将物聯網安全作為其首要任務。報告指出,物聯網的本質使得防範攻擊變得尤其具有挑戰性。

企業可以采取什麼措施來加強物聯網環境的安全性呢?以下是行業專家給出的一些最佳實踐。

識别、追蹤和管理終端設備

在不知道哪些設備被連接以及沒有追蹤它們的行為的情況下,确保這些終端的安全非常困難甚至是不可能的。

市場研究公司Gartner的研究總監RuggeroContu稱:“這是一個關鍵領域。對企業來說,一個關鍵問題是要獲得對智能接入設備的完全可視性。這是一個對操作和安全方面都有關系的要求。”

IDC數據安全實踐部門研究主管RobertWestervelt稱:“對于一些企業來說,發現和識别更多的是資産管理問題而非安全問題。在這一領域中,網絡訪問控制與編排廠商正在通過添加安全連接組件和監測潛在威脅征兆等措施讓他們的産品能夠有針對性地解決這一問題。”

DiDio指出,企業應當擁有一張包含了物聯網網絡中所有設備的完整清單,并搜索那些可能存在後門或開放端口的被遺忘設備。

在發現安全漏洞後及時修補

物聯網專家、咨詢公司IPArchitects總裁JohnPironti指出,及時進行修補是良好的IT安全防護的基本理念之一。

Pironti稱:“如果出現了一個針對某個物聯網設備的安全補丁,那麼這一定是一個得到了設備廠商确認的漏洞,及時打上補丁就是及時進行補救。一旦廠商發布了補丁,那麼問題的責任就由廠商轉移到了使用該設備的企業身上。”

Westervelt表示,使用漏洞與配置管理可能會有一定的意義,漏洞掃描産品在一些情況下會提供相關的補丁。然後要做的事是打上補丁進行修補。但是,他指出,“與為企業打補丁相比,配置管理有可能會成為一個更大的漏洞。”

一定要記住物聯網補丁管理非常困難,這一點非常重要,Contu強調稱。“這也是為什麼執行一套完

整的資産發現流程以識别企業可能在哪裡存在漏洞非常重要的原因。不可能總會找到現成的相關補丁,因此有必要尋求備份的措施和方案來确保安全性。”監控網絡流量就是對無法獲取相關補丁的一種彌補措施,Contu說。

優先考慮最具價值的物聯網基礎設施安全

物聯網世界中所有的數據并不都是平等的。Pironti稱:“對于物聯網安全,要采取基于風險的解決方案,以确保高價值資産被優先對待,并根據它們對公司的價值和重要性予以保護。這一點非常重要。”

公司可能要不得不應對海量的物聯網設備。與以前應對的傳統IT設備相比,這些物聯網設備正在以指數級方式增長。Pironti稱:“認為所有這些設備都能夠在一個較短時間内被打上補丁的想法往往是不現實的。”

在物聯網軟硬件部署前進行滲透測試

如果将這一工作外包給服務提供商或咨詢公司,一定要明确需要進行什麼類型的滲透測試。

Westervelt稱:“我要求滲透測試人員在進行網絡滲透測試的同時要确保網絡分段的完整性。一些環境還需要對無線基礎設施進行評估。我認為除了一些特殊的情況外,目前在物聯網中應用滲透測試的優先等級要相對低一些。”

Contu認為滲透測試應當成為風險評估項目的一部分。他稱:“我們預測與這些行為有關的安全認證需求會越來越多。”

如果真的發生了與物聯網有關的攻擊,要立即做好采取行動的準備。DiDio稱:“制訂一個安全響應計劃,并針對攻擊進行相應的指導和管控。要建立起一條責任與指揮鍊,以防被成功入侵。”了解物聯網與數據交互的方式以識别異常情況,保護個人信息

Westervelt稱,我們可能會将重點放在确保傳感器數據的收集與彙聚的安全性上。根據設備即将被部署的地點和設備風險預測,這需要網絡安全和物理反篡改功能。

他稱:“根據收集到的數據的敏感性,可能需要硬件和/或軟件加密以及PKI(公鑰基礎設施)以驗證設備、傳感器和其他組件。根據設備的功能,如POS系統等其他物聯網設備可能需要白名單、操作系統限制和反惡意軟件。”

不要使用默認的安全設置

在一些情況下,公司将會根據自己面臨的安全情況選擇相應的安全設置。

Westervelt稱:“如果某個網絡安全設備被應用到一個關鍵節點,那麼一些企業可能會選擇僅以被動模式部署該設備。記住,在工業生産過程中,雖然我們看到物聯網傳感器和設備正在被部署,但是誤報也可能極其嚴重。阻止一些重要的事情進行可能會導緻爆炸,甚至引發工業機械停工,這些代價都是極為昂貴的。”

修改安全設置也适用于那些通過物聯網接入的設備。例如,已經出現了通過入侵數百萬台使用默認設置的視頻攝像頭發起的分布式拒絕服務攻擊。

提供安全的遠程訪問

Westervelt指出,遠程訪問漏洞一直是攻擊者所喜愛的目标,而在物聯網中,許多企業正在想辦法讓合同商能夠遠程訪問一些特定的設備。

Westervelt稱:“企業必須要确保提供遠程訪問的所有解決方案在使用時都已被正确配置,并且有相應的機制在适當的位置能夠監控、許可和撤消遠程訪問。在一些高風險環境中,如果要考慮遠程訪問軟件,那就應當徹底檢查所有的漏洞。”

對網絡進行分段以确保設備間的通信安全

Pironti稱,在網絡中對物聯網設備進行分隔可以讓企業在發現設備有惡意行為時限制它們的影響範圍。

他稱:“一旦惡意行為被識别為來自某台物聯網設備,那麼在被調查和修複前,可以斷開該台設備與網絡中其他設備的通信。”

Pironti指出,在分隔物聯網設備時,重要的是要在物聯網網段和其他網段之間實現一個檢測要素或檢測層以創建一個通用檢測點。在這個檢測點,企業可以決定哪些類型的流量允許在網絡之間流動,以及對流量進行有意義的重點檢查。

這使得企業能夠僅針對特定的流量類型和典型的物聯網設備行為指導檢測行為,而不用對所有的流量類型都進行解釋說明,Pironti說。

關注企業員工和安全策略

物聯網并不僅僅是要确保設備和網絡的安全。DiDio指出,在确保物聯網生态系統安全的過程,人員因素也非常關鍵。

她說:“安全性有一半在于設備和保護、追蹤與認證機制,另一半則在于管理和監督物聯網生态系統的人的責任心。從高級主管到IT部門、安全管理員和終端用戶,所有的利害關系人都必須要全部參與到抵禦攻擊保護物聯網生态系統安全的行動中。這是非常必要的。”

此外,還要對現有的企業計算機安全策略和程序進行評估和更新。DiDio稱:“如果企業的策略是在一年之前制定的,那麼它們已經過時并需要針對物聯網部署進行修訂。确保企業的計算機安全策略和程序對于第一次、第二次和第三次違反行為的處罰措施有着清楚而詳細的規定。這裡面要包括從第一次違反時的警告到重複違反時的解雇等方方面面的所有東西。”

本文作者BobViolino為計算機世界、CIO、CSO、信息世界和網絡世界等網站的特約撰稿人。

原文網址

https://wwwworkworld/article/3269165/internet-ofthings/a-corporate-guideto-addressing-iot-securityconcerns.html
   

熱門書籍

熱門文章