導(dǎo)讀:確保物聯(lián)網(wǎng)的安全是一項多方面的工作,需要大動作和小調(diào)整����,以確保網(wǎng)絡(luò)、系統(tǒng)�����、數(shù)據(jù)和設(shè)備受到保護�。下面是您可能沒有考慮過的7種安全實踐。
確保物聯(lián)網(wǎng)的安全是一項多方面的工作����,需要大動作和小調(diào)整,以確保網(wǎng)絡(luò)���、系統(tǒng)�����、數(shù)據(jù)和設(shè)備受到保護����。下面是您可能沒有考慮過的7種安全實踐。
物聯(lián)網(wǎng)最大的問題之一是確保網(wǎng)絡(luò)�����、數(shù)據(jù)和設(shè)備的安全����。與IOT相關(guān)的安全事件已經(jīng)發(fā)生,IT�、安全和網(wǎng)絡(luò)管理人員擔(dān)心類似的事件會發(fā)生是有道理的。
安全標(biāo)準(zhǔn)和保證公司HITRUST負(fù)責(zé)標(biāo)準(zhǔn)和CISO的副總裁Jason Taule說:“除了最嚴(yán)格的環(huán)境之外���,所有環(huán)境中都將有物聯(lián)網(wǎng)設(shè)備���。”“接下來的問題不是是否允許�����,而是如何允許這些設(shè)備連接到您的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)�����,并與之交互��?���!?/p>
組織可以做些什么來增強物聯(lián)網(wǎng)的安全性?有很多選擇���,包括一些可能不那么明顯的實踐�。
1. 物聯(lián)網(wǎng)安全:從小處著手
研究和咨詢公司ITIC的負(fù)責(zé)人Laura DiDio說���,為了在物聯(lián)網(wǎng)中構(gòu)建更好的安全性�����,組織應(yīng)該從網(wǎng)絡(luò)基礎(chǔ)設(shè)施中最小的組件開始——代碼��。
“大多數(shù)物聯(lián)網(wǎng)設(shè)備都非常小�����,”DiDio說���?��!耙虼耍创a往往是用通用語言編寫的——C或c++和c#語言�����,這些語言經(jīng)常成為內(nèi)存泄漏和緩沖區(qū)溢出漏洞等常見問題的受害者�����。這些問題相當(dāng)于網(wǎng)絡(luò)上的普通感冒��?���!?/p>
DiDio說,就像普通的感冒一樣����,它們討厭而且頑固。她說:“在物聯(lián)網(wǎng)環(huán)境中��,它們可能會擴散,成為一個大的�����、常常被忽視的安全問題��?!薄斑@里最好的防御就是測試,測試�,再測試。DiDio說:“市場上有很多被廣泛認(rèn)可的測試工具已經(jīng)被用于物聯(lián)網(wǎng)設(shè)備����。
“安全和IT管理員也可以使用堆棧cookie” DiDio說�。這些是隨機的數(shù)據(jù)字符串,應(yīng)用程序被編碼在指令指針寄存器之前寫入堆棧����,如果發(fā)生緩沖區(qū)溢出,數(shù)據(jù)將溢出到指令指針寄存器��?����!耙坏┚彌_區(qū)溢出發(fā)生,堆棧cookie就會被覆蓋�����,”她說�����。應(yīng)用程序?qū)⑦M一步編碼�,以驗證堆棧cookie字符串將繼續(xù)匹配最初編寫代碼的方式。如果堆棧cookie不匹配���,應(yīng)用程序?qū)⒔K止�。
2. 部署上下文感知的訪問控件
控制物聯(lián)網(wǎng)環(huán)境中的接入是企業(yè)在連接資產(chǎn)���、產(chǎn)品和設(shè)備時面臨的較大安全挑戰(zhàn)之一�。這包括控制連接對象本身的網(wǎng)絡(luò)訪問����。
組織應(yīng)首先確定物聯(lián)網(wǎng)環(huán)境中被聯(lián)系事物認(rèn)為可接受的行為和活動,然后實施控制措施以解決這一問題但同時不妨礙流程�,咨詢公司總裁、IP架構(gòu)師和物聯(lián)網(wǎng)安全專家John Pironti說。
Pironti說:“不要使用單獨的VLAN(虛擬LAN)或網(wǎng)絡(luò)段�,這會限制和削弱物聯(lián)網(wǎng)設(shè)備,而是在整個網(wǎng)絡(luò)中實現(xiàn)上下文感知的訪問控制�����,允許適當(dāng)?shù)牟僮骱托袨?��,不僅在連接級別���,而且在命令和數(shù)據(jù)傳輸級別?�!?/p>
Pironti說����,這將確保設(shè)備能夠按計劃運行,同時限制它們進行惡意或未經(jīng)授權(quán)活動的能力�。他說:“這個過程還可以建立一個預(yù)期行為的基線����,然后可以對其進行記錄和監(jiān)控,以識別超出預(yù)期行為的異?����;蚧顒樱蛊溥_到可接受的閾值���?���!?/p>
3. 讓供應(yīng)商對他們的物聯(lián)網(wǎng)設(shè)備負(fù)責(zé)
組織當(dāng)然會雇傭各種各樣的服務(wù)提供者����,在某些情況下,這些服務(wù)是通過放置在客戶場地上的設(shè)備提供的�����。在物聯(lián)網(wǎng)時代��,機器很有可能被連接起來�,因此容易受到黑客和其他入侵。
如果出了什么問題��,客戶要確保有責(zé)任����。
安全咨詢公司SideChannelSec合伙人、保險公司漢諾威保險集團(Hanover Insurance Group)前安全高管Brian Haugli表示:“首先要從合同內(nèi)部著手?����!薄澳愕墓?yīng)商是否正在把物聯(lián)網(wǎng)作為他們服務(wù)或解決方案的一部分推進你的企業(yè)?”如果是這樣�����,你必須了解它��,并確保它是合同/采購的一部分�����?���!?/p>
Haugli說,要確保弄清楚誰負(fù)責(zé)更新和設(shè)備的生命周期�,以及在發(fā)生事故時你是否有權(quán)使用這些設(shè)備。他說:“我看到HVAC(采暖�、通風(fēng)和空調(diào))和打印機公司沒有放棄接入,導(dǎo)致響應(yīng)工作陷入停滯��?�!薄巴瑯邮沁@些供應(yīng)商�����,他們會推遲對操作系統(tǒng)的例行修補職責(zé)或升級��?��!?/p>
Haugli說���,在某些情況下,合同可能沒有規(guī)定客戶什么時候會購買帶有支持操作系統(tǒng)的新設(shè)備����,供應(yīng)商可能不愿承擔(dān)成本。因此�����,一個不受支持且易受攻擊的設(shè)備可以被允許在網(wǎng)絡(luò)上駐留的時間比它應(yīng)該駐留的時間長得多����。
“如果我們沒有向供應(yīng)商闡明我們的需求,沒有采取步驟來確認(rèn)遵從性��,也沒有追究他們的責(zé)任,那么我們有什么基礎(chǔ)來期待這些問題得到解決呢?”Taule說��?!本拖裼布﨩EM和軟件公司現(xiàn)在都希望能夠確定并快速解決其產(chǎn)品中的弱點一樣,公司也應(yīng)該為我們提供IP攝像機���、醫(yī)療設(shè)備����、打印機�、無線接入點、冰箱����、環(huán)境控制和無數(shù)我們越來越依賴的其他物聯(lián)網(wǎng)設(shè)備?!?/p>
Taule說,公司應(yīng)該將通用安全框架中列出的控制應(yīng)用于物聯(lián)網(wǎng)設(shè)備�����。例如��,在合同中包含安全功能需求;要求最近的漏洞掃描或聲稱有權(quán)掃描他們自己;要求供應(yīng)商提供及時的更新��,以解決已識別的缺陷;并在固件更新后重新掃描設(shè)備,以確保已識別的問題已得到解決�����,且沒有新問題出現(xiàn)�。
4. 防止物聯(lián)網(wǎng)識別欺騙
多年來��,黑客及其技術(shù)變得越來越熟練����,這可能對物聯(lián)網(wǎng)安全構(gòu)成巨大威脅。
DiDio說:“他們像造假者和偽造者一樣不斷提高自己的水平����。”“物聯(lián)網(wǎng)設(shè)備的指數(shù)增長意味著攻擊面或攻擊向量的指數(shù)增長�。”
這使得企業(yè)及其安全部門和IT部門必須驗證與之通信的物聯(lián)網(wǎng)設(shè)備的身份���,并確保它們在關(guān)鍵通信��、軟件更新和下載方面是合法的��。
DiDio說��,所有的物聯(lián)網(wǎng)設(shè)備必須有一個獨特的身份��。她說�����,在沒有獨特身份的情況下��,組織面臨著從微控制器級別到網(wǎng)絡(luò)邊緣的端點設(shè)備被欺騙或攻擊到應(yīng)用程序和傳輸層的高風(fēng)險��。
5. 為物聯(lián)網(wǎng)設(shè)備建立“單向”連接
Pironti說���,公司應(yīng)該限制物聯(lián)網(wǎng)設(shè)備啟動網(wǎng)絡(luò)連接的能力���,而應(yīng)該只使用網(wǎng)絡(luò)防火墻和訪問控制列表來連接它們。
“通過建立單向信任原則�����,物聯(lián)網(wǎng)設(shè)備將永遠(yuǎn)無法啟動到內(nèi)部系統(tǒng)的連接�����,這將限制攻擊者利用它們作為跳轉(zhuǎn)點來探索和攻擊網(wǎng)絡(luò)段的能力����,”Pironti說�。
Pironti說,雖然這不會阻止對手攻擊與他們建立了直接聯(lián)系的系統(tǒng)���,但會限制他們在網(wǎng)絡(luò)中橫向移動的能力�。
企業(yè)還可以強制連接到物聯(lián)網(wǎng)設(shè)備���,通過跳轉(zhuǎn)主機和/或網(wǎng)絡(luò)代理,Pironti說�����?�!巴ㄟ^在漏斗點代理連接����,組織可以在來自和到達物聯(lián)網(wǎng)設(shè)備之前檢查網(wǎng)絡(luò)流量,并更有效地詢問[流量]��,”他說����。這使它能夠確定它攜帶的流量和有效載荷是否適合IoT設(shè)備接收或發(fā)送�����。
6. 考慮使用隔離網(wǎng)絡(luò)
許多類型的控制設(shè)備��,如恒溫器和照明控制����,通過無線連接�����。然而��,大多數(shù)企業(yè)無線網(wǎng)絡(luò)需要WPA2-Enterprise/802.1x��,電子承包商Rosendin Electric的網(wǎng)絡(luò)安全和合規(guī)高級主管James McGibney表示�����。
“大多數(shù)這些設(shè)備不支持WPA2-Enterprise���,”McGibney說����。“開發(fā)一種更安全的設(shè)備將是理想的選擇�。不過,如果環(huán)境支持的話�,你可以把這些設(shè)備放在它們自己的無線網(wǎng)絡(luò)上,與生產(chǎn)網(wǎng)絡(luò)隔離���,只允許互聯(lián)網(wǎng)接入����?���!?/p>
McGibney說���,這需要創(chuàng)建一個獨立的服務(wù)集標(biāo)識符(SSID)和虛擬局域網(wǎng)�����,并具有通過防火墻路由流量的能力��。他說��,隔離的無線網(wǎng)絡(luò)將從一個集中的位置配置和管理�。
“我們已經(jīng)為一些設(shè)備做到了這一點,比如需要互聯(lián)網(wǎng)接入的自動售貨機���,但我們無法控制這些設(shè)備���。”McGibney說���?�!拔覀儼阉鼈兎旁谂c生產(chǎn)分開的客戶網(wǎng)絡(luò)上����。它運行在相同的硬件上����,但在一個單獨的VLAN上。
7. 將安全性插入供應(yīng)鏈
物聯(lián)網(wǎng)通常涉及供應(yīng)鏈中的多個合作伙伴�����,包括技術(shù)供應(yīng)商��,供應(yīng)商和客戶,安全性必須考慮到這一點����。
Taule提到,如果你還沒有這樣做過��,那就去找你的合同���、財務(wù)或其他管理供應(yīng)鏈的部門����。與他們展開對話����,建立關(guān)系,除非安全團隊同意�,否則不會批準(zhǔn)任何物聯(lián)網(wǎng)購買��。
Taule說����,如果安全部門愿意承擔(dān)分析工作的重?fù)?dān),這些部門將積極遵守這一規(guī)定����。
Taule說�����,究竟如何最好地加強供應(yīng)鏈供應(yīng)商選擇過程取決于個別組織�,但他建議考慮允許獨立驗證的制造商; 提倡設(shè)備端的寫保護開關(guān)���,以便在您不知情的情況下無法更新固件; 并且只采購真正的產(chǎn)品而不是假冒產(chǎn)品��。
