物联网(IoT)已经为企业描绘出了许多美丽的前景,包括丰富的数据供应,而这些数据可以让企业更高效地为客户服务。但尽管如此,企业还是有着诸多顾虑。
因为有很多的设备、产品、资产、交通工具、建筑等都将被连接,这就存在着黑客和网络不法分子尝试利用其中的漏洞进行入侵并加以恶意利用的可能性。
研究与咨询公司ITIC首席分析师LauraDiDio称:“在物联网生态环境中,形形色色的设备、应用和人通过五花八门的连接机制被连接在一起,攻击向量或攻击面可能将变得不计其数。”
“从网络边缘/周界到企业服务器和主要业务应用,再到终端用户设备乃至传输机制,网络中的任何一个节点都容易受到攻击。这些节点中的任意一个甚至所有节点都可能会被恶意利用。”
因此,物联网安全成了许多企业关注的重点。研究公司451Research近期对全球600多名IT决策者展开了一项在线调查。当受访者被要求针对现有的或规划中的物联网方案对企业优先考虑的技术或流程进行排名时,55%的受访者将物联网安全作为其首要任务。报告指出,物联网的本质使得防范攻击变得尤其具有挑战性。
企业可以采取什么措施来加强物联网环境的安全性呢?以下是行业专家给出的一些最佳实践。
识别、追踪和管理终端设备
在不知道哪些设备被连接以及没有追踪它们的行为的情况下,确保这些终端的安全非常困难甚至是不可能的。
市场研究公司Gartner的研究总监RuggeroContu称:“这是一个关键领域。对企业来说,一个关键问题是要获得对智能接入设备的完全可视性。这是一个对操作和安全方面都有关系的要求。”
IDC数据安全实践部门研究主管RobertWestervelt称:“对于一些企业来说,发现和识别更多的是资产管理问题而非安全问题。在这一领域中,网络访问控制与编排厂商正在通过添加安全连接组件和监测潜在威胁征兆等措施让他们的产品能够有针对性地解决这一问题。”
DiDio指出,企业应当拥有一张包含了物联网网络中所有设备的完整清单,并搜索那些可能存在后门或开放端口的被遗忘设备。
在发现安全漏洞后及时修补
物联网专家、咨询公司IPArchitects总裁JohnPironti指出,及时进行修补是良好的IT安全防护的基本理念之一。
Pironti称:“如果出现了一个针对某个物联网设备的安全补丁,那么这一定是一个得到了设备厂商确认的漏洞,及时打上补丁就是及时进行补救。一旦厂商发布了补丁,那么问题的责任就由厂商转移到了使用该设备的企业身上。”
Westervelt表示,使用漏洞与配置管理可能会有一定的意义,漏洞扫描产品在一些情况下会提供相关的补丁。然后要做的事是打上补丁进行修补。但是,他指出,“与为企业打补丁相比,配置管理有可能会成为一个更大的漏洞。”
一定要记住物联网补丁管理非常困难,这一点非常重要,Contu强调称。“这也是为什么执行一套完
整的资产发现流程以识别企业可能在哪里存在漏洞非常重要的原因。不可能总会找到现成的相关补丁,因此有必要寻求备份的措施和方案来确保安全性。”监控网络流量就是对无法获取相关补丁的一种弥补措施,Contu说。
优先考虑最具价值的物联网基础设施安全
物联网世界中所有的数据并不都是平等的。Pironti称:“对于物联网安全,要采取基于风险的解决方案,以确保高价值资产被优先对待,并根据它们对公司的价值和重要性予以保护。这一点非常重要。”
公司可能要不得不应对海量的物联网设备。与以前应对的传统IT设备相比,这些物联网设备正在以指数级方式增长。Pironti称:“认为所有这些设备都能够在一个较短时间内被打上补丁的想法往往是不现实的。”
在物联网软硬件部署前进行渗透测试
如果将这一工作外包给服务提供商或咨询公司,一定要明确需要进行什么类型的渗透测试。
Westervelt称:“我要求渗透测试人员在进行网络渗透测试的同时要确保网络分段的完整性。一些环境还需要对无线基础设施进行评估。我认为除了一些特殊的情况外,目前在物联网中应用渗透测试的优先等级要相对低一些。”
Contu认为渗透测试应当成为风险评估项目的一部分。他称:“我们预测与这些行为有关的安全认证需求会越来越多。”
如果真的发生了与物联网有关的攻击,要立即做好采取行动的准备。DiDio称:“制订一个安全响应计划,并针对攻击进行相应的指导和管控。要建立起一条责任与指挥链,以防被成功入侵。”了解物联网与数据交互的方式以识别异常情况,保护个人信息
Westervelt称,我们可能会将重点放在确保传感器数据的收集与汇聚的安全性上。根据设备即将被部署的地点和设备风险预测,这需要网络安全和物理反篡改功能。
他称:“根据收集到的数据的敏感性,可能需要硬件和/或软件加密以及PKI(公钥基础设施)以验证设备、传感器和其他组件。根据设备的功能,如POS系统等其他物联网设备可能需要白名单、操作系统限制和反恶意软件。”
不要使用默认的安全设置
在一些情况下,公司将会根据自己面临的安全情况选择相应的安全设置。
Westervelt称:“如果某个网络安全设备被应用到一个关键节点,那么一些企业可能会选择仅以被动模式部署该设备。记住,在工业生产过程中,虽然我们看到物联网传感器和设备正在被部署,但是误报也可能极其严重。阻止一些重要的事情进行可能会导致爆炸,甚至引发工业机械停工,这些代价都是极为昂贵的。”
修改安全设置也适用于那些通过物联网接入的设备。例如,已经出现了通过入侵数百万台使用默认设置的视频摄像头发起的分布式拒绝服务攻击。
提供安全的远程访问
Westervelt指出,远程访问漏洞一直是攻击者所喜爱的目标,而在物联网中,许多企业正在想办法让合同商能够远程访问一些特定的设备。
Westervelt称:“企业必须要确保提供远程访问的所有解决方案在使用时都已被正确配置,并且有相应的机制在适当的位置能够监控、许可和撤消远程访问。在一些高风险环境中,如果要考虑远程访问软件,那就应当彻底检查所有的漏洞。”
对网络进行分段以确保设备间的通信安全
Pironti称,在网络中对物联网设备进行分隔可以让企业在发现设备有恶意行为时限制它们的影响范围。
他称:“一旦恶意行为被识别为来自某台物联网设备,那么在被调查和修复前,可以断开该台设备与网络中其他设备的通信。”
Pironti指出,在分隔物联网设备时,重要的是要在物联网网段和其他网段之间实现一个检测要素或检测层以创建一个通用检测点。在这个检测点,企业可以决定哪些类型的流量允许在网络之间流动,以及对流量进行有意义的重点检查。
这使得企业能够仅针对特定的流量类型和典型的物联网设备行为指导检测行为,而不用对所有的流量类型都进行解释说明,Pironti说。
关注企业员工和安全策略
物联网并不仅仅是要确保设备和网络的安全。DiDio指出,在确保物联网生态系统安全的过程,人员因素也非常关键。
她说:“安全性有一半在于设备和保护、追踪与认证机制,另一半则在于管理和监督物联网生态系统的人的责任心。从高级主管到IT部门、安全管理员和终端用户,所有的利害关系人都必须要全部参与到抵御攻击保护物联网生态系统安全的行动中。这是非常必要的。”
此外,还要对现有的企业计算机安全策略和程序进行评估和更新。DiDio称:“如果企业的策略是在一年之前制定的,那么它们已经过时并需要针对物联网部署进行修订。确保企业的计算机安全策略和程序对于第一次、第二次和第三次违反行为的处罚措施有着清楚而详细的规定。这里面要包括从第一次违反时的警告到重复违反时的解雇等方方面面的所有东西。”
本文作者BobViolino为计算机世界、CIO、CSO、信息世界和网络世界等网站的特约撰稿人。
原文网址
https://wwwworkworld/article/3269165/internet-ofthings/a-corporate-guideto-addressing-iot-securityconcerns.html