物聯網安全的最佳實踐
由于基于物聯網的基礎設施規模龐大,企業需要將他們的安全計劃提升到一個全新的水平,才能從物聯網中獲益。
物聯網(IoT)預計將在未來幾年得到顯著增長。根據研究機構Gartner 公司的調查,2017年全球有84億臺物聯網產品正在使用,比2016年增長31%,預計到2020年將達到204億臺。
這種增長是由于企業在增加洞察力、提高客戶滿意度和提高效率的承諾。隨著采用物聯網設備的傳感器數據和基于全球互聯網的云計算服務,利用這些優勢成為可能。成功采用物聯網技術相關的一個關鍵問題是,需要在整個生態系統中具備足夠強大的安全機制,以減輕將物聯網設備連接到互聯網的安全風險。
考慮連接全球互聯網的設備數量,以及這些設備將生成的數據。到2025年,物聯網預計將擁有754.4億臺物聯網設備。屆時,全球將近四分之一數據(預計163澤字節數據)將在實時創建,其中95%的數據將由物聯網設備創建。
預計到2020年,物聯網預計將產生驚人的經濟影響,其市場規模高達8.9萬億美元。再加上迅速演變的網絡威脅形勢,很容易理解為什么許多專家對其風險十分關注,因為他們熱衷于從物聯網獲得好處。
更糟糕的是,網絡犯罪分子正在積極尋求新的和更陰險的方式來侵入各種設備,因為它們可以提供一個方便的門戶,以獲得更有價值的系統。如果家中的電器設備遭到網絡犯罪分子的入侵,哪怕是不會對家庭安全構成威脅的電飯煲,也可能成為網絡中更重要的入口,成為最嚴重的安全漏洞。
當然,工業物聯網(IIoT)面臨的風險要高得多。從全球制造行業到發電和配電基礎設施,物聯網設備可能會大大增加企業的運營風險。最近有關黑客侵入美國電廠控制系統的報道表明人們需要對此高度警惕。
幸運的是,網絡安全仍然是涉足物聯網和工業物聯網企業的頭等大事,或者考慮采取這種舉措。研究公司451 Research最近進行的一項調查發現,在企業內部署物聯網項目時,安全仍然是IT專業人員需要解決的主要問題。該公司在全球范圍內對600多名IT決策者進行了在線調查,并通過深入的電話訪談對其調查研究進行了補充。
當被問及他們的組織考慮采用哪些技術或流程來實現當前或計劃的物聯網舉措時,55%的受訪者將物聯網的安全性列為他們的首要任務。企業將安全能力視為選擇商業物聯網平臺的首要原因,58%的受訪者將其列為選擇供應商合作伙伴的首選因素。
報告稱,物聯網部署的性質使得企業難以抵御網絡威脅。隨著工業設備越來越多地連接到互聯網進行數據收集和分析,企業開始熟悉復雜的安全世界。
據451 Research公司分析師的分析,一些企業領導者一直對物聯網的應用采取觀望態度,因為他們認為風險對于潛在回報率來說依然過高。但對于那些開展物聯網項目的企業來說,安全必須是重中之重。
為了確保物聯網和工業物聯網的強大安全性,根據IEEE在2017年報告中的建議,企業將會明智地實施若干最佳實踐。
設備安全
還有一個問題就是如何確保設備本身安全。某些設備或設施可能無人值守地運行,因此不受頻繁的安全性影響。報告稱,使這些設備防篡改可能是有利的,因為這種類型的端點強化可以幫助阻止潛在的入侵者獲取數據。它也可能抵御黑客或其他網絡犯罪分子的攻擊。
作為一種最佳實踐,安全端點強化可能意味著部署一種分層方法,要求攻擊者繞過多重障礙,旨在保護設備及其數據免遭未經授權的訪問和使用。企業應該保護已知的漏洞,如開放的TCP/UDP端口,開放的串行端口,開放的密碼提示,Web服務器、未加密的通信、無線連接等注入代碼的位置。
另一個保護設備的辦法是根據需要升級或部署安全補丁。但請記住,許多設備供應商在構建和銷售設備時并不關注安全性。正如調查報告指出的那樣,許多物聯網設備被破壞后是不可修補的,因此無法保證安全。在投資的設備采用工業物聯網之前,需要評估設備的安全功能,并確保供應商對設備進行徹底的安全測試。
當物聯網設備試圖連接到網絡或服務時,要小心地管理物聯網設備的身份驗證,以確保信任是非常重要的。公鑰基礎設施(PKI)和數字證書為物聯網設備身份和信任提供了安全基礎。
網絡安全
除了設備之外,企業還需要確保他們用于物聯網和工業物聯網的網絡安全。這包括使用強大的用戶認證和訪問控制機制,以確保只有授權用戶才能訪問網絡和數據。
IEEE注意到,密碼必須足夠復雜以應對猜測和強力破解的方法。只要有可能,組織應該使用雙因素身份驗證(2FA),這需要用戶輸入密碼,以及使用另一個驗證因素,例如通過SMS文本消息生成的隨機代碼。
對于物聯網應用程序,使用上下文感知身份驗證(或自適應身份驗證)是一個好主意。這包括使用上下文信息和機器學習算法在不影響用戶體驗的情況下不斷地評估風險。
使用強大的加密來保護協議是另一個很好的網絡安全措施。設備之間的任何通信都可能遭到黑客攻擊,物聯網和工業物聯網都涉及各層使用的大量網絡協議。使用網絡層和傳輸層加密可以為基于網絡的攻擊設置多重障礙。
保護數據
企業還需要保護物聯網和工業物聯網的數據。許多連接的物聯網設備將存儲和傳輸敏感的個人身份信息,這些數據需要得到強有力的保護。未能保護這些數據的企業可能不僅會面臨不利的業務影響,還會受到監管處罰。應用程序和用戶數據應在傳輸和空閑時加密。
良好的安全性也意味著擁有強大的安全運營政策,以及針對正在或將要參與物聯網和工業物聯網環境的任何人的全面培訓計劃。粒度審計跟蹤、端點異常檢測以及響應式取證安全能力也是確保檢測到任何違規行為的關鍵要素,并且在蔓延之前采取有效且及時的補救措施。
這很可能看起來像網絡安全協議常識,但許多組織缺乏有效實施這些措施的資源和紀律。鑒于這些高度連接的基礎設施的廣泛范圍和廣度,組織需要將其安全計劃提升到一個全新的水平,以便為獲得物聯網帶來的好處做好準備。
