確保物聯(lián)網(wǎng)的安全是一項(xiàng)多方面的努力,需要大動(dòng)作和小調(diào)整,以確保網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)和設(shè)備得到保護(hù)。以下是你可能沒(méi)有考慮過(guò)的7種安全措施。
物聯(lián)網(wǎng)(IoT)最大的問(wèn)題之一是確保網(wǎng)絡(luò)、數(shù)據(jù)和設(shè)備的安全。物聯(lián)網(wǎng)相關(guān)安全事件已經(jīng)發(fā)生,IT、安全和網(wǎng)絡(luò)管理人員擔(dān)心類(lèi)似事件會(huì)發(fā)生是有道理的。
安全標(biāo)準(zhǔn)和保證公司HITRUST的標(biāo)準(zhǔn)和CISO副總裁JasonTaule說(shuō):“除了最嚴(yán)格的環(huán)境之外,在所有環(huán)境中,你都將擁有物聯(lián)網(wǎng)設(shè)備?!薄皢?wèn)題在于您將如何允許這些設(shè)備連接到您的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)并與之交互?!?/p>
組織可以做些什么來(lái)增強(qiáng)物聯(lián)網(wǎng)的安全性?有很多選擇,包括一些可能不那么明顯的做法。
運(yùn)行物聯(lián)網(wǎng)源代碼安全測(cè)試
研究和咨詢(xún)公司ITIC的負(fù)責(zé)人LauraDiDio說(shuō),為了在IoT中建立更好的安全性,組織應(yīng)該從其網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中最小的組件開(kāi)始。
“大多數(shù)物聯(lián)網(wǎng)設(shè)備都非常小,”DiDio說(shuō)?!耙虼?,源代碼往往是用通用語(yǔ)言——C、C++和C#語(yǔ)言編寫(xiě)的,這些語(yǔ)言經(jīng)常會(huì)成為內(nèi)存泄漏和緩沖區(qū)溢出漏洞等常見(jiàn)問(wèn)題的受害者。這些問(wèn)題就相當(dāng)于網(wǎng)絡(luò)上的感冒?!?/p>
DiDio說(shuō),就像普通感冒一樣,它們令人討厭且持久。她說(shuō):“在物聯(lián)網(wǎng)環(huán)境中,它們會(huì)激增并成為一個(gè)經(jīng)常被忽視的安全大問(wèn)題。”“這里最好的防御方法是測(cè)試、測(cè)試和重新測(cè)試?!盌iDio說(shuō),市場(chǎng)上有許多用于物聯(lián)網(wǎng)設(shè)備的備受好評(píng)的測(cè)試工具。
DiDio說(shuō),安全和IT管理員也可以使用堆棧cookie。這些是隨機(jī)數(shù)據(jù)字符串,應(yīng)用程序?qū)ζ溥M(jìn)行了編碼,以將它們寫(xiě)入指令指針寄存器之前的堆棧中,如果發(fā)生緩沖區(qū)溢出,則數(shù)據(jù)將溢出到堆棧中。她說(shuō):“如果確實(shí)發(fā)生緩沖區(qū)溢出,則堆棧cookie將被覆蓋?!睉?yīng)用程序?qū)⑦M(jìn)一步編碼,以驗(yàn)證堆棧cookie字符串將繼續(xù)與最初編寫(xiě)代碼的方式匹配。如果堆棧cookie不匹配,則應(yīng)用程序終止。
部署訪問(wèn)控制
在連接資產(chǎn)、產(chǎn)品和設(shè)備時(shí),在物聯(lián)網(wǎng)環(huán)境中控制訪問(wèn)是公司面臨的最大安全挑戰(zhàn)之一。這包括控制連接對(duì)象本身的網(wǎng)絡(luò)訪問(wèn)。
咨詢(xún)公司IPArchitects的總裁、物聯(lián)網(wǎng)安全專(zhuān)家JohnPironti說(shuō),組織應(yīng)首先確定物聯(lián)網(wǎng)環(huán)境中的互聯(lián)事物認(rèn)為可以接受的行為和活動(dòng),然后采取控制措施,做到這一點(diǎn),但同時(shí)又不妨礙流程。
Pironti說(shuō):“不要使用單獨(dú)的VLAN(虛擬LAN)或網(wǎng)絡(luò)段,這可能會(huì)限制和削弱物聯(lián)網(wǎng)設(shè)備。而是在整個(gè)網(wǎng)絡(luò)中實(shí)施上下文感知的訪問(wèn)控制,以允許適當(dāng)?shù)膭?dòng)作和行為,不僅在連接級(jí)別,而且在命令和數(shù)據(jù)傳輸級(jí)別。”
Pironti說(shuō),這將確保設(shè)備能夠按計(jì)劃運(yùn)行,同時(shí)還限制了其執(zhí)行惡意或未經(jīng)授權(quán)的活動(dòng)的能力。他說(shuō):“該過(guò)程還可以建立預(yù)期行為的基準(zhǔn),然后可以對(duì)其進(jìn)行記錄和監(jiān)視,以識(shí)別超出預(yù)期行為的可接受范圍內(nèi)的異?;蚧顒?dòng)?!?/p>
要求物聯(lián)網(wǎng)設(shè)備滿足安全標(biāo)準(zhǔn)
組織當(dāng)然會(huì)雇傭各種各樣的服務(wù)提供者,在某些情況下,這些服務(wù)是通過(guò)放置在客戶(hù)場(chǎng)所的設(shè)備提供的。在物聯(lián)網(wǎng)時(shí)代,機(jī)器很有可能被連接起來(lái),因此很容易受到黑客攻擊和其他入侵。
安全咨詢(xún)公司SideChannelSec的合伙人,保險(xiǎn)公司漢諾威保險(xiǎn)集團(tuán)(HanoverInsuranceGroup)的前安全主管布萊恩·豪格里(BrianHaugli)說(shuō):“合同是一個(gè)起點(diǎn)?!薄澳墓?yīng)商是否將物聯(lián)網(wǎng)作為其服務(wù)或解決方案的一部分推入您的企業(yè)?如果是這樣,您必須了解它,并了解它是合同/采購(gòu)的一部分?!?/p>
Haugli說(shuō),請(qǐng)確保清楚由誰(shuí)負(fù)責(zé)設(shè)備的更新和生命周期,以及在發(fā)生事故時(shí)你是否能訪問(wèn)這些設(shè)備。他說(shuō):“我看到暖通空調(diào)(heating,ventural,andairconditioning)和打印機(jī)公司沒(méi)有放棄接入,導(dǎo)致響應(yīng)工作停滯?!??!斑@些廠商會(huì)推遲對(duì)操作系統(tǒng)的日常修補(bǔ)責(zé)任或升級(jí)”。
Haugli說(shuō),在某些情況下,合同可能不會(huì)明確規(guī)定客戶(hù)何時(shí)會(huì)購(gòu)買(mǎi)帶有支持操作系統(tǒng)的新設(shè)備,而供應(yīng)商可能不愿承擔(dān)成本。因此,一個(gè)不受支持且易受攻擊的設(shè)備可能被允許在網(wǎng)絡(luò)上駐留的時(shí)間遠(yuǎn)遠(yuǎn)超過(guò)它應(yīng)該駐留的時(shí)間。
“如果我們不向供應(yīng)商闡明我們的要求,不采取措施確認(rèn)合規(guī)性,也不追究他們的責(zé)任,我們有什么理由期待這些問(wèn)題得到解決?”Taule說(shuō)。“正如硬件原始設(shè)備制造商和軟件公司現(xiàn)在都希望承擔(dān)責(zé)任,找出并迅速解決其產(chǎn)品的弱點(diǎn)一樣,為我們提供IP攝像機(jī)、醫(yī)療設(shè)備、打印機(jī)、無(wú)線接入點(diǎn)、冰箱的公司也應(yīng)承擔(dān)責(zé)任?!?/p>
Taule說(shuō),公司應(yīng)該將通用安全框架中列出的控制方法應(yīng)用到物聯(lián)網(wǎng)設(shè)備上。例如,在合同中包含安全功能需求;請(qǐng)求最近的漏洞掃描或主張自己進(jìn)行掃描的權(quán)利;供應(yīng)商有義務(wù)提供及時(shí)的更新以解決發(fā)現(xiàn)的缺陷;在固件更新后重新掃描設(shè)備,以確保已發(fā)現(xiàn)的問(wèn)題已經(jīng)解決,并且沒(méi)有引入新的問(wèn)題。
防御物聯(lián)網(wǎng)身份欺騙
這些年來(lái),黑客和他們的技術(shù)已經(jīng)變得越來(lái)越熟練,這可能是物聯(lián)網(wǎng)安全的一大威脅。
“他們不斷像造假者和偽造者一樣提高自己的游戲水平,”DiDio說(shuō)?!拔锫?lián)網(wǎng)設(shè)備的指數(shù)級(jí)增長(zhǎng)意味著攻擊面或攻擊媒介呈指數(shù)級(jí)增長(zhǎng)?!?/p>
因此,企業(yè)及其安全和IT部門(mén)必須驗(yàn)證與其通信的IoT設(shè)備的身份,并確保它們對(duì)于關(guān)鍵通信、軟件更新和下載是合法的。
DiDio說(shuō),所有物聯(lián)網(wǎng)設(shè)備都必須具有唯一身份。她說(shuō),在沒(méi)有唯一身份的情況下,組織很容易受到從微控制器級(jí)別到網(wǎng)絡(luò)邊緣到應(yīng)用程序和傳輸層的端點(diǎn)設(shè)備的欺騙或黑客攻擊。
不要讓物聯(lián)網(wǎng)設(shè)備啟動(dòng)網(wǎng)絡(luò)連接
Pironti說(shuō),公司應(yīng)該限制IoT設(shè)備啟動(dòng)網(wǎng)絡(luò)連接的能力,而只能使用網(wǎng)絡(luò)防火墻和訪問(wèn)控制列表連接到它們。
Pironti說(shuō):“通過(guò)建立單向信任原則,物聯(lián)網(wǎng)設(shè)備將永遠(yuǎn)無(wú)法啟動(dòng)到內(nèi)部系統(tǒng)的連接,這將限制攻擊者利用它們作為跳轉(zhuǎn)點(diǎn)來(lái)探索和攻擊網(wǎng)絡(luò)段的能力?!薄?/p>
Pironti說(shuō),雖然這并不能阻止對(duì)手攻擊與他們直接建立連接的系統(tǒng),但會(huì)限制他們?cè)诰W(wǎng)絡(luò)內(nèi)橫向移動(dòng)的能力。
Pironti說(shuō),企業(yè)還可以強(qiáng)制與IoT設(shè)備的連接通過(guò)跳轉(zhuǎn)主機(jī)或網(wǎng)絡(luò)代理。他說(shuō):“通過(guò)在漏斗點(diǎn)代理連接,組織可以在進(jìn)出IoT設(shè)備之前檢查網(wǎng)絡(luò)流量,并更有效地查詢(xún)流量?!边@使它能夠確定其承載的流量和有效載荷是否適合于要接收或傳輸?shù)腎oT設(shè)備。
為物聯(lián)網(wǎng)提供自己的網(wǎng)絡(luò)
許多類(lèi)型的控制設(shè)備(例如恒溫器和照明控件)通過(guò)無(wú)線連接。然而,大多數(shù)企業(yè)無(wú)線網(wǎng)絡(luò)都需要WPA2-Enterprise/802.1x,電氣承包商RosendinElectric網(wǎng)絡(luò)安全和合規(guī)性高級(jí)總監(jiān)JamesMcGibney說(shuō)。
“大多數(shù)這些設(shè)備不支持WPA2-Enterprise,”McGibney說(shuō)。“開(kāi)發(fā)一種更安全的設(shè)備將是理想的。但是,如果環(huán)境支持,你可以把這些設(shè)備放在它們自己的無(wú)線網(wǎng)絡(luò)上,與生產(chǎn)網(wǎng)絡(luò)隔離開(kāi),并且僅允許Internet訪問(wèn)?!?/p>
McGibney說(shuō),這將需要?jiǎng)?chuàng)建一個(gè)單獨(dú)的服務(wù)集標(biāo)識(shí)符(SSID)和虛擬局域網(wǎng),并具有通過(guò)防火墻路由流量的能力。他說(shuō),隔離的無(wú)線網(wǎng)絡(luò)將在一個(gè)集中的位置配置和管理。
McGibney說(shuō):“我們已經(jīng)對(duì)某些設(shè)備進(jìn)行了此操作,例如需要Internet訪問(wèn)的自動(dòng)售貨機(jī),我們無(wú)法控制這些設(shè)備?!薄拔覀儗⑺鼈兎胖迷谠L客網(wǎng)絡(luò)中,該訪客網(wǎng)絡(luò)與生產(chǎn)隔離。”他說(shuō),它在相同的硬件上運(yùn)行,但在單獨(dú)的VLAN上。
將安全性納入供應(yīng)鏈
物聯(lián)網(wǎng)工作通常涉及到供應(yīng)鏈中的多個(gè)合作伙伴,包括技術(shù)供應(yīng)商、供應(yīng)商和客戶(hù),安全性必須考慮到這一點(diǎn)。
Taule說(shuō):“如果您還沒(méi)有這樣做,請(qǐng)查閱合同,財(cái)務(wù)或組織中管理供應(yīng)鏈的任何其他部門(mén)。”“開(kāi)始對(duì)話并與他們建立關(guān)系,除非獲得安全團(tuán)隊(duì)的同意,否則不批準(zhǔn)任何物聯(lián)網(wǎng)購(gòu)買(mǎi)?!?/p>
Taule說(shuō),如果安全部門(mén)愿意承擔(dān)分析工作的重?fù)?dān),這些部門(mén)會(huì)積極配合。
Taule說(shuō),如何最好地增強(qiáng)供應(yīng)鏈供應(yīng)商的選擇過(guò)程完全取決于各個(gè)組織,但他建議考慮允許獨(dú)立驗(yàn)證的制造商;提倡在設(shè)備端設(shè)置寫(xiě)保護(hù)開(kāi)關(guān),這樣固件就不會(huì)在您不知情的情況下更新;只買(mǎi)正品,不買(mǎi)仿冒品。
評(píng)論