信息技术在演进中,而安全未能保持同步。当从汽车到工业控制系统到冰箱的所有事物互联起来,它们发送着或接收着来自移动应用与云服务的数据,计算机技术的应用在我们的日常生活中变得更为普遍。我们需要整体安全方法来跟上成长中的物联网(IoT)。
尽管一次针对智能调温器的攻击似乎微不足道,但涉及7千多万客户信息泄露的Target数据泄露事件,正是由于公司门店的加热与通风管理控制系统安全性较差所致。而其他引人注目的物联网攻击也已浮出水面,从Carna嵌入式设备僵尸网络与TRENDnet网络摄像头攻击代码,到Linux.Darlloz蠕虫,以及由Proofpoint发现的Thingsbot攻击。Proofpoint是一家安全即服务(SaaS)提供商。
安全缺失
物联网设备的多样性急剧增加攻击代码及恶意软件的攻击面。HP安全研究的一份报告提供了10大消费者设备名单,并发现了数量惊人的漏洞(未进行传输加密、不安全的Web界面、授权与软件防护问题)及隐私问题。
糟糕的物联网安全主要由两个问题导致:
· 新设备抢占市场意味着其设计阶段未包含安全、或安全考虑存在严重局限性,或糟糕的实现。
· 制造或运输等领域的旧有嵌入式系统,其开发者没有考虑安全控制,因为这些系统最初是与IP网络隔离的且采取了气隙安全措施。随着工业控制系统日益网络化以及可远程管理,这些物理隔离正在快速消失。
HP研究表明,即使是已经教育了20多年的基本安全原则,如使用强密码,也没有用于产品开发周期中。为改进物联网安全,我们可以做什么?
新的安全模型和标准对物联网防护至为关键。我们现有PC及智能手机的安全模型不适用物联网设备。大多数物联网设备处理和存储能力有限。工业控制系统通常安装在关键的运营环境中。许多”智能”产品在消费者手中落入”安装即忘记”的搁置状态。我们现有的定期更新安全补丁、安装和更新防病毒软件以及配置主机防火墙等安全模型,对这些类型的物联网设备而言都不可行。
除了新的安全模型,新的标准对于确保物联网设备的安全性及互操作性也至关重要。消费者物联网市场监管松散并且缺乏安保与安全标准。诸如医药、制造、汽车以及运输等其他市场已有的安保与安全标准都必须更新,将物联网设备补充进去。有几个小组正在探索物联网标准,包括工业互联网联盟、Thread、AllJoyn,以及开放互联联盟。开放互连联盟由Broadcom、戴尔、英特尔和三星等企业创建于7月。未来哪项标准将占到上风且最为广泛使用将是有趣的话题。
物联网安全措施
在新的安全模型和标准出现之前,物联网设备最低限度应实施以下安全实践:
使用安全开发实践。OWASP物联网Top 10提供了良好的安全控制基线。如强认证与安全的Web界面等基本控制,原本应可以解决HP Foritfy在消费者物联网设备中识别到的众多安全问题。
保护数据。物联网领域,数据是移动的而网络边界是模糊的。为确保隐私,必须对静止的和传输过程中的数据都加以保护。
披露对个人身份信息(PII)的处理机制。厂商应该披露正收集和共享的PII,以及对它是如何进行保护的。
加密、加密还是加密。加密是物联网安全的关键部件。当数据遍历于设备间、设备与移动应用间以及移动应用间或设备与诸如云这样的其他网络间时,必须对之加密。此外,对设备的软件更新也应该进行加密处理。
进行安全评估。IT安全人员应该进行他们自己的产品安全评估,检查设备、应用及通信是否安全。
组织如何能改进物联网安全?目前新的标准和安全模型以及安全设备尚在开发中,有这样一些措施可供安全专家用于改进现有物联网设备的安全:
· 风险管理以及持续监控战略中应包括物联网设备
· 将用于网络与移动设备的相同安全方法充分利用于保护物联网设备
· 为那些由防火墙保护及入侵防御系统监控的设备以及一个已划分的网络,创建一份资产清单
· 通过更改默认设置、创建强密码,尽可能多的启用端点安全
· 对新设备执行主动扫描
· 为物联网设备创建补丁策略
使用消费者物联网设备的员工,应该启用可用的安全特性,如加密、更改默认设置以及启用强密码。
企业应该购买安全内置的产品,包括那些对数据及软件更新进行加密的产品。我们的计算需求正在发生变化,而安全必须是主动的而非被动的。尽管某些物联网设备比较新奇,但许多设备对人、财产和资源的安全至关重要。一旦出现缺口,生命和安全处于风险中,那就说什么都太晚了。