保护世界万物
图片:盖蒂
鸣叫
分享在LinkedIn
分享兴
分享

保护世界万物

Maxine-Laurie Marshall - 2018年4月

随着物联网变得无处不在,组织正面临大规模的新的安全挑战。我们询问了行业专家,他们应该如何准备应对这种威胁。

今天世界上有一个估计的84亿个物联网设备,提供不同程度的价值和效用 - 从设备丰富的连接汽车到智能蛋托盘,使业主能够远程检查鸡蛋的新鲜度。Gartner的行业研究人员预测到2020年的204亿台设备;这个星球上的每个人都超过三个。

随着采用数量的激增,正确的安全措施已成为企业和政府机构的当务之急。正如网络安全专家和咨询师文斯·沃林顿警告的那样:“物联网设备可能会在你的安全防线上打开一个大洞。在过去,您的IT团队只需要担心计算机、笔记本电脑和打印机会成为安全风险。后来出现了智能手机和BYOD,但至少这些仍然需要您的IT团队进行一些配置。现在,你的任何一个员工都可以出去买一个物联网设备——可能是一个智能水壶——可能将它连接到你的内部网络,从而打开一个安全漏洞。”

物联网设备本身的安全性通常非常薄弱。许多设计都是为了高效而廉价地完成一件事,这意味着它们的处理能力是有限的。内置的安全性越高,它们需要的容量就越大,性能就会变慢,单位成本也会上升。因此,在许多情况下,目前的做法是在许多物联网设备本身中构建很少或根本没有安全性。

“如果可以从互联网访问某些东西,那么它可能不应该在您的网络上。”- infoblox技术总监Gary Cox

这已经导致了许多高调的违规行为。2016年10月,Mirai Malware用于将全球数千个物联网设备转变为僵尸网络,以便在堤坝上攻击Dyn,Oracle的互联网性能和DNS管理分支。雷竞技投注The DDoS (distributed denial of service) assault saw consumer devices such as digital video recorders, web cameras and home routers ‘hijacked’ and used to flood Dyn with so much traffic that it disrupted services for some of its largest customers, including Twitter and Netflix.
提高安全性

此类事件只可能推动物联网安全方面的更大投资。Gartner估计,2018年各组织将在物联网安全产品和服务上花费15亿美元,比去年增长28%。但该公司的分析师警告称,由于组织未能优先考虑并实施安全最佳实践、标准不成熟以及缺乏行业监管,市场潜力正受到严重抑制。雷竞技s8竞猜安全不这将使物联网安全方面的潜在支出减少80%。

除了阻碍物联网安全领域的增长,这些因素还将对企业和社会产生负面影响,因为许多设备都容易受到攻击。

然而,安全专家清楚地知道首席信息官需要采取的行动、监管可以发挥的作用以及区块链等突破性技术提高安全性的潜力。
CIO的建议

沃林顿对首席信息官的第一条建议是,不要害怕挑战物联网的使用。“问问你自己:‘我们一开始为什么需要这个智能设备?“虽然物联网产品可能会让你的公司看起来很现代,但在刷卡系统运行良好的情况下,它真的需要智能门锁吗?众所周知,这些漏洞是可以减轻的。”你需要在会议室里装一台智能电视吗?外部特工可以操纵它,录下会议室里的所有对话。”

IT高管需要利用他们近年来在组织中建立的更大的声望。沃林顿建议:“如果你的公司打算安装智能设备,确保你的IT部门知道这一点,如果安全风险太高,无论它的预期用途是什么,都可以否决安装任何设备。”

这么影子物联网的到来可以瘫痪企业。它是CIO的一部分,可以知道业务网络正在发生的事情并意识到潜在的漏洞。但是,尊重他们的决定可以帮助。

Gary Cox,网络管理软件公司Infoblox的技术总监Gary Cox,相信获得基本的安全权是一个明显但重要的地方雷竞技投注开始。“评估风险并快速和自动处理网络上的内容。您是否需要在业务网络上拥有IoT设备,或者您可以在自己的逻辑网络上隔离它们吗?高效的物联网安全将涉及增加网络的舱室化,“他说。“如果可以从互联网访问某些内容,那么它可能不应该在您的网络上。如果需要,则应适当的监控/控件。CIO,CISO和CEO需要共同努力,并根据对业务重要的事情进行风险。“

开源设备操作系统公司Canonical的工程、设备和物联网副总裁Jamie Bennett鼓励IT领导者采用敏捷的、随时在线的方法来实现物联网安全。“如果首席信息官们采取一种在软件被证明可信之前不可信的心态,那么物联网安全的方法就会变得更加一致。该行业需要摆脱那种企业推出一种产品或推出内部系统,然后就把它们忘掉的模式。

“镜像在其他领域中已经如此成功的Devops文化可能会提供一些答案,”贝内特建议。“您需要能够每天自动分发安全更新,因为近年来报告的关键错误的数量已爆炸。您必须在您可以快速反应的地方进行系统,推出新版本的软件,但如果需要,还滚动到以前的版本。“
监管的作用

首席信息官们应对物联网安全问题的努力还应得到相关法规的支持,这些法规应向制造商施加压力,让它们从头开始在产品中构建安全。但抑制创新的前景,以及监管机构对快速发展的物联网领域缺乏了解,意味着任何监管都必然落后于行业发展。

Warrington强调了多少制造商将IoT安全视为不受欢迎的开销。它通常被忽视,以便快速获得产品的产品。

“我们确实需要在这方面进行监管。例如,作为一个社会,我们已经为玩具行业制定了欧洲标准,以防止危险玩具对儿童造成不必要的死亡和伤害。”“我们可以在物联网方面做同样的事情。监管跟上企业的步伐需要时间。”

例如,英国政府已发布IOT安全守则,即它希望制造商采用如此强大的安全性通过设计内置于消费者物联网产品中。但这是自愿的。

“区块链有潜力为物联网生态系统带来真正的可扩展性和去中心化安全性。——Jamie Bennett, Canonical公司工程、设备和物联网副总裁

2017年9月,欧盟委员会物联网小组创建了物联网安全认证框架,其职权范围更广。该提议正在接受成员国和欧洲议会(European Parliament)的审查。它旨在避免分散的监管,让在产品中嵌入物联网的企业更容易在成员国之间自由交易产品。但认证计划仍将是自愿的。

在美国,国家标准与技术研究院(NIST)发布了一份关于物联网国际网络安全标准化现状的报告草案。该公司表示:“物联网的网络安全是独特的,需要对现有标准进行调整,并创建新标准,以解决弹出式网络连接、共享系统组件、改变环境物理方面和相关连接到安全的能力。”

虽然监管和标准似乎朝着正确的方向移动,但步态比IOT产业本身或意图剥削漏洞的网络犯罪分子更慢。

Christopher LittleJohns,Emea工程师在一个领先的设计自动化软件公司,它认为,立法令人鼓舞的关键是鼓励良好做法的关键在于客户抵制产品或公司的商业现实。“产品开发人员需要被迫申请一个或两者申请良好做法,”他说。“不幸的是,普通民众总是被更便宜的产品诱惑,并且有些关于问题的内存。因此,如果行业本身无法创造证明安全/质量的可信认证机制,政府必须采取行动。“
区块链

一个技术被称为IOT安全问题的潜在银弹是区块的。随着沃灵顿解释:“目前,讽刺地讽刺地,所谓的智能设备不被视为足够智能,以便自身的安全决策。他们需要一个集中权威(即你的IT部门)这样做。通过使用BlockChain,希望智能设备可以通过构建关于给定网络内的正常IOT活动的“组共识”来保护自己,然后隔离任何表现出不寻常行为的设备。“


由于IOT设备收集的大部分数据的敏感性,某些业务已经使用私有区块链。Canonical的Bennett解释道:“潜在的潜在可能对物联网生态系统带来真正的可扩展性和分散的安全性。地理分布式IOT设备适用于SlockChain的类似分散的对等分类帐。但是,企业可能会在其公开同行中私人区块。私人区块链,它只允许预选的一组人来维持分类帐的完整性,可以在他们管理和安全地设备的方式方面更加直观。“

对于任何网络安全问题,永远不会有水密解决方案,所以,尽管对区块链的改善IOT安全能力的积极情绪,但仍有争论的领域。

私有区块链的安全性不如公共区块链,因为它们依赖于参与者之间更高水平的信任,而区块链技术仍处于起步阶段的事实加剧了这一点。甚至一些旨在促进区块链在物联网安全方面应用的组织,如可信物联网联盟(Trusted IoT Alliance)也表示,该行业还需要几代区块链才能完全适用。

尽管如此,物联网是大多数组织的优先事项。无线智能公用事业网络联盟(Wireless Smart Utility Network Alliance)的一项研究发现,三分之二的公司将其列为两大优先事项。但令人担忧的是,该报告还显示,“只有38%的受访者表示,他们的组织在物联网战略中包括保护网络免受物联网设备构成的威胁。”只有不到一半(51%)的人表示,考虑如何保护物联网设备收集的数据是他们战略的一部分。”

这表明,许多组织对物联网安全不够重视。班尼特提醒企业领导者,他们需要“不要把物联网安全看作是一次性的决定,而是一种有意识的努力,植根于保护每一种设备的持续文化中。”当安全被视为事后诸葛亮时,修补漏洞就成了一场永无止尽的战斗。只要有一个安全漏洞就可能对业务产生真正的影响。持续不断的破坏将带来不可逆转的代价。因此,确保安全性最简单的方法是从操作系统开始,逐步完善,从一开始就考虑物联网,定制你的软件。”

2018年4月首次发布
鸣叫
分享在LinkedIn
分享兴
分享

    您对这个网站上的cookies的选择

    我们的网站使用cookies用于分析目的,并为您提供最好的体验。

    单击“接受”以同意或首选项查看并选择Cookie设置。

    此站点使用cookie存储计算机上的信息。

    为了提供最好的用户体验,一些cookie是必要的,而另一些则提供分析或重新定位,以便显示与你相关的广告。

    要了解我们的饼干的完整列表以及我们如何使用它们,请访问我们的饼干的政策


    必要的饼干

    这些cookies使网站能够发挥最大的功能,并为您提供最佳的用户体验。它们仍然可以通过浏览器设置被禁用。


    分析饼干

    我们使用谷歌分析器使用的分析cookie,以向我们提供有关用户与I-cio.com互动方式的信息 - 这有助于我们改进该网站以增强您的经验。

    有关分析cookie的完整列表以及我们如何使用它们,请访问我们的饼干的政策


    社交媒体的饼干

    我们使用cookies追踪来自Facebook和LinkedIn等社交媒体平台的访问,这些cookies允许我们用www.kinoata.com的相关广告重新定位用户。

    想了解社交媒体cookies的完整列表以及我们如何使用它们,请访问我们的饼干的政策