物聯(lián)網(wǎng) (IoT) 解決了許多領(lǐng)域的關(guān)鍵問題,從生產(chǎn)到健康,再從交通到物流等等。然而,物聯(lián)網(wǎng)日益增加的安全風(fēng)險要求在使用連網(wǎng)設(shè)備時要小心謹(jǐn)慎。
連網(wǎng)的物聯(lián)網(wǎng)對象不是相同的設(shè)備、裝置或服務(wù)。它們每個都有不同的用途、接口、運行機制和底層技術(shù)。鑒于這種多樣性,對所有對象應(yīng)用單一的安全架構(gòu)和方法不足以提供物聯(lián)網(wǎng)所需的安全性。物聯(lián)網(wǎng)安全措施通過預(yù)防性方法保護通過網(wǎng)絡(luò)連接的物聯(lián)網(wǎng)設(shè)備,旨在防止可能通過這些設(shè)備實施的大規(guī)模網(wǎng)絡(luò)攻擊。與任何其他計算設(shè)備一樣,物聯(lián)網(wǎng)設(shè)備是攻擊者入侵公司網(wǎng)絡(luò)的潛在切入點,因此,需要強有力的安全措施來保護它們。
今天,物聯(lián)網(wǎng)的應(yīng)用范圍已經(jīng)擴大到包括傳統(tǒng)的工業(yè)機器,使它們具備與網(wǎng)絡(luò)連接和通信的能力。您可以看到物聯(lián)網(wǎng)技術(shù)現(xiàn)在用于醫(yī)療設(shè)備或用于教育、制造、業(yè)務(wù)發(fā)展和通信等各種目的,而越來越多的使用案例使得物聯(lián)網(wǎng)的安全性比以往任何時候都更加重要。
物聯(lián)網(wǎng)設(shè)備可以連接到網(wǎng)絡(luò)或互聯(lián)網(wǎng),并與其他連網(wǎng)的對象或中心交換數(shù)據(jù)。這些設(shè)備不僅限于智能電視或智能手表,像打印機、洗衣機、空調(diào)、智能傳感器和其他連接到網(wǎng)絡(luò)的工業(yè)機器也都是物聯(lián)網(wǎng)設(shè)備。當(dāng)今物聯(lián)網(wǎng)的實施方式要求機構(gòu)和組織擁有由許多不同設(shè)備組成的生態(tài)系統(tǒng)。利用物聯(lián)網(wǎng)安全解決方案、策略和技術(shù)的組合,而不是傳統(tǒng)方法來確保這一生態(tài)系統(tǒng)的安全至關(guān)重要。
物聯(lián)網(wǎng)安全提示
公司可以采取一些措施來確保其物聯(lián)網(wǎng)的安全,其中包括在物聯(lián)網(wǎng)設(shè)備上使用授權(quán)軟件,以及在收集或發(fā)送數(shù)據(jù)之前對網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備進行身份驗證。此外,由于它們的計算能力和內(nèi)存有限,因此有必要設(shè)置防火墻來過濾發(fā)送到物聯(lián)網(wǎng)端點的數(shù)據(jù)包。
另一方面,您還應(yīng)該確保在不消耗額外帶寬的情況下安裝更新和補丁。除了上述一般的安全措施外,我們建議您在規(guī)劃物聯(lián)網(wǎng)設(shè)備的安全性時考慮一些獨特的安全方法。除了設(shè)備和網(wǎng)絡(luò)安全之外,您還需要確保整個物聯(lián)網(wǎng)和通信基礎(chǔ)設(shè)施的物理安全。
您可以采用以下安全方法來保護物聯(lián)網(wǎng)設(shè)備:
確保物理安全:保持物聯(lián)網(wǎng)設(shè)備相對封閉,并防止物理訪問。
部署防篡改設(shè)備:使用防篡改物聯(lián)網(wǎng)設(shè)備。這些設(shè)備在被篡改時會自行停用。
保持固件最新:一旦制造商發(fā)布更新和補丁,就主動將其應(yīng)用于設(shè)備。
運行動態(tài)測試:運行測試以發(fā)現(xiàn)硬件代碼的弱點和漏洞。
設(shè)置設(shè)備更換程序:設(shè)置物聯(lián)網(wǎng)設(shè)備淘汰時的更換程序。不小心丟棄或丟失的設(shè)備可能會對公司數(shù)據(jù)構(gòu)成威脅,并用于各種目的,從而損害您的組織。
使用強身份驗證:避免使用默認密碼,使用復(fù)雜的密碼進行身份驗證并定期更新。
利用自適應(yīng)身份驗證:自適應(yīng)身份驗證或上下文敏感身份驗證(CAA)使用上下文信息和機器學(xué)習(xí)算法來評估惡意意圖。通過這種方式,要求用戶在被認為是高風(fēng)險的場景中執(zhí)行雙因素身份驗證。
實施強加密和協(xié)議:在藍牙、Zigbee、Z-Wave、Thread、Wi-Fi、蜂窩、6LoWPAN、NFC 和類似物聯(lián)網(wǎng)協(xié)議上使用強加密來分配安全的數(shù)據(jù)傳輸介質(zhì)。
限制設(shè)備帶寬:將網(wǎng)絡(luò)容量和帶寬限制在盡可能低的值,足以支持設(shè)備運行,但不能用于基于物聯(lián)網(wǎng)的分布式拒絕服務(wù)(DDoS)攻擊。
對網(wǎng)絡(luò)進行分段:使用虛擬局域網(wǎng) (VLAN)將網(wǎng)絡(luò)劃分為更小的本地物聯(lián)網(wǎng)網(wǎng)絡(luò)。此分區(qū)過程允許您創(chuàng)建不同的安全區(qū)域,并指定由防火墻控制的不同段。
保護敏感信息:通過限制發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備來防止敏感個人身份信息(PII)泄露。要求授權(quán)客戶端實施適當(dāng)?shù)姆?wù)機制和身份驗證協(xié)議來確認物聯(lián)網(wǎng)設(shè)備。