我们继续听到可怕的警告有关的固有安全风险的物联网(IOT)的,而事实上物联网相关的事件正在发生。随着开始从连接的设备捕获物联网数据许多公司来说,一个关键的问题是他们在做足够,以确保数据和网络是安全的?
如果安全管理人员认为他们有很多处理与移动设备的增长和不断扩大的数字企业,连接产品,企业资产,车辆和其他“东西”正在保障的覆盖面,以一个全新的水平出现。
2016年12月该研究所为关键基础设施技术研究(串通一气)-网络安全智库在私营企业和美国联邦机构之间充当沟通渠道,指出企业在面对通过物联网的分布式拒绝服务(DDoS)等攻击时是多么脆弱。
网络罪犯在脆弱的物联网设备,可以在分布式拒绝服务为聘用服务被用于分层攻击方法的阵列扩大他们的控制,报告说。
与此同时,物联网继续占据主导地位。451 Research公司在2016年8月至10月对全球近1000家企业IT采购商进行的一项调查显示,71%的企业正在为物联网计划收集数据。该研究称,企业预计在未来12个月内将物联网技术投资增加33%。绝大多数(90%)企业将在未来12个月增加物联网支出,40%企业将在2016年将物联网相关投资增加25%至50%。
然而,安全性仍令人担忧,随着受访者表示其列为最阻碍物联网的部署一半。
“说到物联网和安全,我认为几乎不可能夸大安全准备的需求和关键性质,”Laura DiDio说,她是451研究中心的研究总监,也是这项研究的主要作者。
“在物联网环境中,设备、人员和应用程序是相互连接的,攻击面或攻击向量可能是无限的,”DiDio说。“威胁无处不在。在这种情况下,组织及其IT部门通过有点偏执而不是松懈就能得到很好的服务。”
每一个物联网应用,工艺和设备很容易,迪迪奥说。在各种设备上“即使是最严格的安全机制和措施,可以通过谁不遵守规则,实现安全的单一粗心用户撤消”,她说。
埃德麦克尼古拉斯,在盛德国际律师事务所的隐私,数据安全和信息的法律实践的共同领导者,谁专注于物联网作为自己实践的一部分说,在物联网的最大安全威胁是那些需要互连设备所固有的。
劳拉说,在451研究的研究总监
“各种各样的智能技术正在被众多的公司整合到各种各样的物体中,通常使用新技术,”McNicholas说。“将这些设备快速推向市场的动力,加上与各种其他设备通信的需求,将导致可以被利用的缺口,这将极大地增加组织的攻击面。”
有许多因素决定的安全风险是多么伟大的任何连接的设备。
咨询公司Protiviti董事总经理、安全和隐私业务全球主管斯科特•拉利伯特(Scott Laliberte)表示:“显然,那些攻击面更大的设备,比如面向互联网的设备,面临的风险更大。”
另一个因素是这种设备的普遍程度。拉利伯特说:“这种设备使用得越多,就越有可能成为坏人的攻击目标。”“理论上说,攻击者的努力将集中在那些能通过更大影响获得更大回报的设备上。”
此外,更复杂的设备,越设备功能有保障,而且越有可能出错。最后,高风险的功能很可能将引起人们试图肆虐的兴趣。“在风险较高的功能,更大的制造商有效地确保了设备的重要性,”拉利伯特说。
拉利伯特说,设备制造商需要确保将安全性纳入设计并嵌入产品生命周期。他说:“设计产品时要让消费者容易获得安全保障。”“不要依赖它们来执行确保设备安全所需的关键活动。他们很可能不会这么做。”
最后,物联网和产品制造商的用户“必须以获取最大的有用性和风险最小化安装和创建物联网产品的义务,”拉利伯特说。“利用物联网设备将会迅速扩大,并没有足够的安全我们就来介绍未知的危险为我们的家庭,工作场所和社区的潜力。”
DiDio说,在可预见的未来,世界范围内大量不安全和不安全的物联网设备实际上确保了我们将继续看到像DDoS这样的攻击在全球范围内继续激增。
虽然大部分的重点是保护网络边界,因为它是防御所谓的第一线,组织不能忽视的关键应用,并且在数据中心的服务器。雷竞技电脑网站“另一个很常见的错误安全机构和IT部门有时会是失败的物理安全设备,”迪迪奥说。
其中的第一件事情的组织应该做的,因为它看起来要加强物联网安全是加深对什么物联网设备它目前有一个坚实的理解,以及那些它的规划部署。
“有你的设备的清单,是资产管理的一个基本组成部分,”安德鲁野,首席信息安全官QTS,数据中心的国际供应商,主机托管和云服务说。雷竞技电脑网站
怀尔德说:“我们还制定了一项政策,要求对连接到网络的新型设备进行审查和审批。”“其次,infosec组织正在跟踪网络上的所有设备类型,以监控适当的供应商漏洞披露,并继续执行网络范围的漏洞扫描,以识别和修复脆弱的设备,包括物联网设备。”
QTS有许多网络传感器和控制系统,可以收集和转发各种类型的信息,从环境数据到电力系统监控。
设备应该是默认的安全
DiDio说,制定物联网安全政策并严格执行是一种明智的做法。她说:“通过积极主动,组织可以将风险降低到可接受的水平。”这意味着在物联网环境中,安全从一开始就必须是内置的。物联网环境必须设计安全、默认安全、使用安全、传输安全、静止安全。”
其他“必须做的事情”包括进行漏洞测试,找出网络中的弱点,并设法关闭它们;更新安全补丁和补丁;部署适当的保安装置及软件;对IT员工进行最新的安全机制培训和重新认证,并进行投资安全意识培训;并采取网络上有什么库存。
公司使用或计划使用物联网还可以与其他组织的工作,推动了连接对象的安全标准。
“我们花了几年的技术社区实现需要建立安全协议为互联网通信,”麦克尼古拉斯说。“企业可以通过尝试制定并寻求技术标准允许更安全的通信共识,有效地促进他们的安全。”
加强物联网安全的关键是获取所需的技能。
大多数组织不具备保护物联网设备所需的内部技能,”拉利伯特说。“保护物联网设备需要硬件、开发、网络和嵌入式安全技能的独特组合。要找到这些东西是极其困难的,更不用说在一个人身上。”
McNicholas说,开发更好的物联网安全协议最需要的技能之一是更有效地就风险进行沟通的能力。这种交流需要在技术人员、律师和商业领袖之间进行。
“只有当公司可以讲同一种语言,可风险和收益稳健的讨论是,”麦克尼古拉斯说。
这篇文章,“公司在物联网安全方面做得够多了吗?CSO 。