目前,隨著物聯(lián)網(wǎng)的發(fā)展,從手機和汽車到冰箱和燈開關(guān),幾乎所有的電子設(shè)備都可以連接到互聯(lián)網(wǎng)。現(xiàn)在連接到互聯(lián)網(wǎng)的設(shè)備數(shù)量正在迅速增長,預(yù)計到2020年,這個數(shù)字將達到500億。
但是,雖然物聯(lián)網(wǎng)看起來很有創(chuàng)意而且很方便,但這種趨勢也帶來了安全風(fēng)險,企業(yè)和消費者都將不可避免地要面對這些風(fēng)險。具有操作系統(tǒng)的聯(lián)網(wǎng)設(shè)備都可能受到攻擊,所以這些設(shè)備可能會成為攻擊者入侵企業(yè)的后門。
下面列出了物聯(lián)網(wǎng)領(lǐng)域?qū)⒚鎸Φ钠邆風(fēng)險問題,并提出了可以幫助企業(yè)應(yīng)對這些風(fēng)險的建議。
1.破壞性攻擊和拒絕服務(wù)攻擊
為了避免潛在的運行故障和企業(yè)服務(wù)中斷,企業(yè)的重點工作是確保IoT設(shè)備的持續(xù)可用性。即使是增加新終端到網(wǎng)絡(luò)這樣看似簡單的過程(特別是采用機器對機器通信的自動設(shè)備,例如幫助運行電站或建立環(huán)境控制的設(shè)備),企業(yè)都必須關(guān)注針對這些部署在遠程位置的設(shè)備的物理攻擊。這將要求企業(yè)加強物理安全以防止對安全外圍之外的設(shè)備的未經(jīng)授權(quán)訪問。
破壞性網(wǎng)絡(luò)攻擊(例如拒絕服務(wù)攻擊)可能為企業(yè)帶來嚴重后果。如果數(shù)千臺IoT設(shè)備試圖訪問企業(yè)網(wǎng)站或者數(shù)據(jù)feed,而發(fā)現(xiàn)其不可用時,企業(yè)曾經(jīng)滿意的客戶將會感到不滿,這會導(dǎo)致企業(yè)收入損失、客戶不滿,還可能影響企業(yè)在市場的聲譽。
IoT面臨的很多挑戰(zhàn)與攜帶自己設(shè)備到工作場所趨勢的挑戰(zhàn)很類似。管理丟失或被盜設(shè)備的功能(無論是遠程擦除還是至少禁用其連接)對于處理受攻擊IoT設(shè)備是關(guān)鍵因素。部署這種企業(yè)戰(zhàn)略將能夠幫助減小企業(yè)數(shù)據(jù)落入壞人之手后的風(fēng)險。其他管理BYOD的政策也會有所幫助。
2.了解漏洞的復(fù)雜性
去年,一個未知攻擊者利用了流行的聯(lián)網(wǎng)嬰兒監(jiān)視器中的已知漏洞來窺探一個兩歲小孩。這個事件表明,IoT可能給企業(yè)和消費者帶來巨大的風(fēng)險。另一個更具戲劇性的例子是,想象一下,使用溫控器等簡單IoT設(shè)備來操作核電廠的溫度讀數(shù)。如果攻擊者攻擊了該設(shè)備,后果可能是災(zāi)難性的。因此,了解這些復(fù)雜儀表的漏洞所在及其構(gòu)成的威脅嚴重性,是非常重要的工作。為了降低這種風(fēng)險,任何涉及IoT設(shè)備的項目都必須在設(shè)計中考慮安全因素,并部署安全控制,以及利用預(yù)先建立的基于角色的安全模型。由于這些設(shè)備可能涉及企業(yè)可能從未見過的硬件、平臺和軟件,漏洞的類型也可能也不同于企業(yè)先前面對的漏洞。企業(yè)絕對不要低估IoT設(shè)備可能帶來的風(fēng)險。
3.IOT漏洞管理
在IoT環(huán)境的另一大挑戰(zhàn)是,弄清楚如何快速修復(fù)IoT設(shè)備漏洞以及如何優(yōu)先排序漏洞修復(fù)工作。
由于大多數(shù)IoT設(shè)備需要固件升級來修復(fù)漏洞,遠程完成修復(fù)工作將變得復(fù)雜。例如,如果打印機需要固件升級,IT部門不太可 能像在服務(wù)器或桌面系統(tǒng)那樣快速地安裝補丁;升級自定義固件通常需要額外的時間和精力。
同樣具有挑戰(zhàn)性的是,如何處理IoT設(shè)備首次使用時提供的默認登錄憑證。通常情況下,無線接入點或打印機等設(shè)備會使用已知的管理員ID和密碼。此外,設(shè)備可能提供一個內(nèi)置web服務(wù)器,允許管理員遠程連接、登錄和管理設(shè)備。然而,這是一個巨大的漏洞,可能讓IoT設(shè)備落入攻擊者的手中。對于這個問題,企業(yè)需要制定嚴格的調(diào)試過程,還需要創(chuàng)造一個開發(fā)環(huán)境來測試和掃描設(shè)備的初始配置,以發(fā)現(xiàn)其中的漏洞,并在設(shè)備轉(zhuǎn)移到生產(chǎn)環(huán)境之前解決這些問題。同時,這還需要合規(guī)團隊來確認設(shè)備已經(jīng)可用于生產(chǎn)環(huán)境,定期測試安全控制,并確保密切監(jiān)測和控制對設(shè)備的任何更改,還有及時解決任何發(fā)現(xiàn)的操作漏洞。
4.確定和部署安全控制
在IT世界,冗余性是關(guān)鍵;如果一個產(chǎn)品故障了,另一個產(chǎn)品應(yīng)該能夠接替它。分層安全概念的工作原理與之類似,但這取決于企業(yè)如何分層安全和冗余性來管理IoT風(fēng)險。例如,在醫(yī)療保健行業(yè),醫(yī)療設(shè)備不僅可以監(jiān)控病人的健康狀態(tài),還能夠基于設(shè)備執(zhí)行的分析來配藥。我們也不難想象到,如果這些設(shè)備遭受攻擊,后果將多么嚴重。
企業(yè)所面臨的挑戰(zhàn)在于,對于這些新興的聯(lián)網(wǎng)設(shè)備,哪些位置需要安全控制,以及如何部署有效地控制。鑒于這些設(shè)備的多樣性,企業(yè)將需要進行自定義風(fēng)險評估,以發(fā)現(xiàn)有哪些風(fēng)險以及如何控制這些風(fēng)險,這種風(fēng)險評估通常需要依賴于第三方的專業(yè)技術(shù)。這里一個有趣的例子是,前副總統(tǒng)DickCheney因擔(dān)心恐怖分子會入侵他體內(nèi)植入的醫(yī)用心臟除顫器實施致命電擊,而關(guān)閉了該除顫器的遠程連接功能。遺憾的是,大多數(shù)企業(yè)無法讓這些設(shè)備離線。在所有情況下,擁抱IoT趨勢的企業(yè)必須定義自己的信息安全控制來確保對IoT的可接受的充分的保護。隨著這種趨勢的日趨成熟,行業(yè)專業(yè)人士肯定會開發(fā)出最佳做法。
5.滿足對安全分析功能的需求
對于連接到互聯(lián)網(wǎng)的各種新的Wi-Fi設(shè)備,企業(yè)將需要收集、匯總、處理和分析海量數(shù)據(jù)。雖然企業(yè)會在這些數(shù)據(jù)中發(fā)現(xiàn)新的商業(yè)機會,但這也意味著新的風(fēng)險。
企業(yè)必須能夠識別IoT設(shè)備上的合法和惡意流量模式。例如,如果企業(yè)試圖下載看似合法的應(yīng)用到其智能手機,而其實該應(yīng)用包含惡意軟件,企業(yè)最好部署可操作的威脅智能措施來發(fā)現(xiàn)這種威脅。最佳分析工具和算法不僅能夠檢測惡意活動,而且還能夠提高客戶的支持力度,以及改進提供給客戶的服務(wù)。
為了迎接這些挑戰(zhàn),企業(yè)必須構(gòu)建正確的工作和流程以提供足夠的安全分析功能。
6.模塊化硬件和軟件組件