物聯(lián)網(wǎng)安全合規(guī)性是否有必要?
如此眾多的物聯(lián)網(wǎng)設(shè)備籠罩著市場,人們想知道物聯(lián)網(wǎng)設(shè)備的安全性。如果考慮到網(wǎng)絡(luò)攻擊在2017年給美國受到攻擊的企業(yè)造成了平均130萬美元的損失。
預計到2022年,將有大約290億臺聯(lián)網(wǎng)設(shè)備應用,其中約有180億臺與物聯(lián)網(wǎng)有關(guān)。有了這些數(shù)字,就可以輕松想象擁有安全的物聯(lián)網(wǎng)設(shè)備的重要性。實際上,有70%的物聯(lián)網(wǎng)設(shè)備具有嚴重的安全漏洞。當有如此多的設(shè)備通過不安全的平臺相互連接時,數(shù)據(jù)安全性和網(wǎng)絡(luò)安全性受到損害的可能性非常之高。例如,雪佛蘭公司報道其聯(lián)網(wǎng)汽車的數(shù)據(jù)使用量增加了200%。盡管有其優(yōu)點,但這也使汽車面臨安全隱患的可能性。正如人們想像的那樣,如果黑客能夠遠程控制其中一輛車輛的剎車和轉(zhuǎn)向系統(tǒng),那么這種侵入物聯(lián)網(wǎng)設(shè)備和產(chǎn)品的影響是巨大的。除了企業(yè)喪失品牌忠誠度、支付索賠,產(chǎn)品召回以外,這種攻擊還可能導致人員傷亡和財產(chǎn)損失。例如,已經(jīng)有研究表明,黑客可以入侵醫(yī)療設(shè)備,導致病人死亡。考慮到現(xiàn)實生活中的影響是令人恐懼的。因此,這是創(chuàng)建物聯(lián)網(wǎng)安全合規(guī)性檢查表時必須考慮的所有重要點的檢查表。
1.產(chǎn)品/設(shè)備生命周期
安全性需要從產(chǎn)品生命周期的初始階段開始考慮。在物聯(lián)網(wǎng)設(shè)備的設(shè)計和功能中應考慮安全問題。同樣,組織中使用的設(shè)備的生命周期也需要監(jiān)控。例如,以前的員工不能訪問當前數(shù)據(jù),并且在訪問要求結(jié)束后,設(shè)備不能留在網(wǎng)絡(luò)上。健全的安全合規(guī)性框架必須密切監(jiān)視誰可以訪問特定設(shè)備以及允許設(shè)備執(zhí)行哪些操作。
2.授權(quán)與認證
這是每個安全評估清單中必須存在的兩個關(guān)鍵字。授權(quán)意味著對物聯(lián)網(wǎng)產(chǎn)品功能的基于角色的訪問控制。這不僅限制了多用戶產(chǎn)品中的訪問,而且還有助于減輕設(shè)備或產(chǎn)品的安全性帶來的影響。物聯(lián)網(wǎng)設(shè)備通過與其他物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)進行通信來發(fā)揮其較大的潛力。這就像一把雙面劍。有時,威脅可能會超過收益。與不安全的設(shè)備或網(wǎng)絡(luò)通信會由于惡意應用程序而導致安全漏洞。因此,安全框架必須只允許經(jīng)過身份驗證的設(shè)備彼此連接。
3.數(shù)據(jù)保護
所有物聯(lián)網(wǎng)產(chǎn)品都必須限制其收集的數(shù)據(jù),以減少數(shù)據(jù)泄露的可能性。存儲有關(guān)消費者的不必要數(shù)據(jù)會導致數(shù)據(jù)暴露給未授權(quán)方的可能性更高。制造組織還需要提供有關(guān)所收集數(shù)據(jù)及其重要性的可見性。此外,應盡可能有選擇退出的選項。
4.測試
測試是確保所選安全框架效率的重要組成部分。測試必須包括物理測試、數(shù)字測試和第三方測試。對于安全的物聯(lián)網(wǎng)合規(guī)性框架,必須進行連續(xù)測試,然后進行相關(guān)修補。
5.靈活性
安全框架必須足夠靈活,以適應行業(yè)中的新工具和指南。這樣做的一種基本方法是使軟件更新盡可能自動化。允許這樣做意味著當發(fā)現(xiàn)新的威脅時,可以在所有設(shè)備上更新處理漏洞的機制,而無需等待用戶驗證。
6.遠程修補
所有物聯(lián)網(wǎng)產(chǎn)品都必須具有遠程修補功能。這可以幫助節(jié)省數(shù)千美元的產(chǎn)品召回或供應商服務(wù)費用。使用此功能可以使安全管理容易得多,并且還可以改善客戶用戶體驗。
7.入侵檢測
除非物聯(lián)網(wǎng)合規(guī)性框架可以檢測到入侵并實時發(fā)送適當?shù)木瘓螅駝t任何功能都是無用的。檢測入侵的主要挑戰(zhàn)是大多數(shù)平臺都無法處理數(shù)據(jù)和進行分析。由于從物聯(lián)網(wǎng)解密的數(shù)據(jù)非常龐大,因此用于處理此類數(shù)據(jù)的平臺必須與大量數(shù)據(jù)兼容。該必須能夠提供諸如流量模式異常、惡意行為等洞察,以提供行為分析。任何與正常行為的差異都可能觸發(fā)對所需方的警報,從而為他們提供所需操作的適當線索。
