保护事情
图片:盖蒂
鸣叫
分享在LinkedIn
分享兴
分享

保护事情

玛克辛-劳里·马歇尔——2018年4月

随着物联网变得无处不在,组织正面临着大规模的新安全挑战。我们向行业专家询问他们应该如何准备打击威胁。

据估计,目前世界上有84亿物联网设备,提供不同程度的价值和效用——从设备丰富的联网汽车到能让用户远程查看鸡蛋新鲜程度的智能蛋盘。高德纳(Gartner)的行业研究人员预测,到2020年,这一数字将增至204亿部;这比地球上每个人的三倍还多。

随着采用数量的激增,正确的安全措施已成为企业和政府机构的当务之急。正如网络安全专家和咨询师文斯·沃林顿警告的那样:“物联网设备可能会在你的安全防线上打开一个大洞。在过去,您的IT团队只需要担心计算机、笔记本电脑和打印机会成为安全风险。后来出现了智能手机和BYOD,但至少这些仍然需要您的IT团队进行一些配置。现在,你的任何一个员工都可以出去买一个物联网设备——可能是一个智能水壶——可能将它连接到你的内部网络,从而打开一个安全漏洞。”

他们的性质的IoT设备通常具有非常弱的安全性。许多人旨在有效和便宜地完成一件事,这意味着它们的处理能力有限。内置的安全性越多,它们需要的容量越多,性能减慢并提高单位成本。因此,在许多情况下,目前的做法是为许多物联网设备构建很少或没有安全。

“如果可以从互联网访问某些东西,那么它可能不应该在您的网络上。”- infoblox技术总监Gary Cox

这已经导致了一些备受瞩目的入侵事件。2016年10月,为了攻击甲骨文的互联网性能和DNS管理分支Dyn, Mirai恶意软件被用来将世界各地的数千台物联网设备变成僵尸网络。雷竞技投注在DDoS(分布式拒绝服务)攻击中,数码录像机、网络摄像头和家庭路由器等消费设备被“劫持”,并被大量流量淹没,导致包括Twitter和Netflix在内的一些最大客户的服务中断。
增加安全支出

此类事件仅可能导致更多的IOT安全投资。Gartner在2018年计算了组织将花费15亿美元的IOT安全产品和服务,去年增长28%。但其分析人士警告说,由于组织未能优先考虑并实施安全最佳实践,未成熟标准和缺乏行业监管,市场潜力受到严重抑制。雷竞技s8竞猜安全不这些将使IoT安全性的潜在支出减少到80%。

除了阻碍物联网安全领域的增长,这些因素还将对企业和社会产生负面影响,因为许多设备都容易受到攻击。

然而,安全专家清楚地知道首席信息官需要采取的行动、监管可以发挥的作用以及区块链等突破性技术提高安全性的潜力。
CIO的建议

Warrington为CIO的第一份建议并不害怕挑战物联网使用。“Ask yourself: ‘Why do we need this smart device in the first place?’ While IoT-enabled products might make your company seem modern, does it really need smart door locks when the swipe-card system, with well-understood vulnerabilities that can be mitigated, works well? Do you need a smart TV in your boardroom, which could be manipulated by external agents to record all the conversations going on in that room?”

IT高管需要使用近年来他们在其组织内建立的更大的突出。“如果您的公司中将有智能设备,请确保您的IT部门了解它,并且可以否决任何设备的安装 - 无论其预期目的是什么 - 如果安全风险太高,则为Warrington建议。

这么影子物联网的到来可以瘫痪企业。它是CIO的一部分,可以知道业务网络正在发生的事情并意识到潜在的漏洞。但是,尊重他们的决定可以帮助。

Gary Cox,网络管理软件公司Infoblox的技术总监Gary Cox,相信获得基本的安全权是一个明显但重要的地方雷竞技投注开始。“评估风险并快速和自动处理网络上的内容。您是否需要在业务网络上拥有IoT设备,或者您可以在自己的逻辑网络上隔离它们吗?高效的物联网安全将涉及增加网络的舱室化,“他说。“如果可以从互联网访问某些内容,那么它可能不应该在您的网络上。如果需要,则应适当的监控/控件。CIO,CISO和CEO需要共同努力,并根据对业务重要的事情进行风险。“

Jamie Bennett,Engine源设备操作系统公司Canonical的工程,设备和物联网VP,鼓励IT领导人采用敏捷和始终接受IoT安全的方法。“如果CIO采用在经过验证的信任之前采用软件的心态,那么IOT安全的方法会变得更加连贯。行业需要远离一个模型,由此开展产品或推出内部系统,然后忘记它们,“他说。

“镜像在其他领域中已经如此成功的Devops文化可能会提供一些答案,”贝内特建议。“您需要能够每天自动分发安全更新,因为近年来报告的关键错误的数量已爆炸。您必须在您可以快速反应的地方进行系统,推出新版本的软件,但如果需要,还滚动到以前的版本。“
监管的作用

首席信息官们应对物联网安全问题的努力还应得到相关法规的支持,这些法规应向制造商施加压力,让它们从头开始在产品中构建安全。但抑制创新的前景,以及监管机构对快速发展的物联网领域缺乏了解,意味着任何监管都必然落后于行业发展。

Warrington强调了多少制造商将IoT安全视为不受欢迎的开销。它通常被忽视,以便快速获得产品的产品。

“我们在这方面确实需要规定。作为一个社会,我们已经设法进入了欧洲的玩具行业标准,以防止来自危险玩具的儿童的不必要的死亡和伤害,“他说。“我们可以对IOT做同样的事情。监管只需要时间来赶上业务。“

例如,英国政府已发布IOT安全守则,即它希望制造商采用如此强大的安全性通过设计内置于消费者物联网产品中。但这是自愿的。

“区块链有潜力为物联网生态系统带来真正的可扩展性和去中心化安全性。——Jamie Bennett, Canonical公司工程、设备和物联网副总裁

2017年9月,欧盟委员会物联网小组创建了物联网安全认证框架,其职权范围更广。该提议正在接受成员国和欧洲议会(European Parliament)的审查。它旨在避免分散的监管,让在产品中嵌入物联网的企业更容易在成员国之间自由交易产品。但认证计划仍将是自愿的。

美国国家标准与技术研究所(NIST)已发布关于IOT国际网络安全标准化现状的报告草案。它说:“IOT的网络安全是独一无二的,需要剪裁现有标准,以及创建新标准来解决弹出网络连接,共享系统组件,改变环境的物理方面的能力和相关的连接安全。”

虽然监管和标准似乎朝着正确的方向移动,但步态比IOT产业本身或意图剥削漏洞的网络犯罪分子更慢。

Christopher LittleJohns,Emea工程师在一个领先的设计自动化软件公司,它认为,立法令人鼓舞的关键是鼓励良好做法的关键在于客户抵制产品或公司的商业现实。“产品开发人员需要被迫申请一个或两者申请良好做法,”他说。“不幸的是,普通民众总是被更便宜的产品诱惑,并且有些关于问题的内存。因此,如果行业本身无法创造证明安全/质量的可信认证机制,政府必须采取行动。“
区块链

区块链技术被誉为物联网安全问题的潜在银弹。沃林顿解释说:“目前,具有讽刺意味的是,人们认为所谓的智能设备还不够智能,无法自行做出安全决定。他们需要一个集中的权力机构(即您的IT部门)来这样做。通过使用区块链,人们希望智能设备可以通过形成关于给定网络中什么是正常物联网活动的‘群体共识’来保护自己,然后隔离任何表现出异常行为的设备。”


由于IOT设备收集的大部分数据的敏感性,某些业务已经使用私有区块链。Canonical的Bennett解释道:“潜在的潜在可能对物联网生态系统带来真正的可扩展性和分散的安全性。地理分布式IOT设备适用于SlockChain的类似分散的对等分类帐。但是,企业可能会在其公开同行中私人区块。私人区块链,它只允许预选的一组人来维持分类帐的完整性,可以在他们管理和安全地设备的方式方面更加直观。“

对于任何网络安全问题,永远不会有水密解决方案,所以,尽管对区块链的改善IOT安全能力的积极情绪,但仍有争论的领域。

私人区块链比他们的公共对应物不太安全,因为他们依靠参与者之间更大的信任,并且由事实组织的技术仍然在其初期。甚至旨在促进其用于IOT安全的机构,如可信赖的物联盟联盟,说业界在其完全适合目的之前需要几代区块链。

尽管如此,物联网是大多数组织的优先事项。无线智能公用事业网络联盟(Wireless Smart Utility Network Alliance)的一项研究发现,三分之二的公司将其列为两大优先事项。但令人担忧的是,该报告还显示,“只有38%的受访者表示,他们的组织在物联网战略中包括保护网络免受物联网设备构成的威胁。”只有不到一半(51%)的人表示,考虑如何保护物联网设备收集的数据是他们战略的一部分。”

这表明,许多组织对物联网安全不够重视。班尼特提醒企业领导者,他们需要“不要把物联网安全看作是一次性的决定,而是一种有意识的努力,植根于保护每一种设备的持续文化中。”当安全被视为事后诸葛亮时,修补漏洞就成了一场永无止尽的战斗。只要有一个安全漏洞就可能对业务产生真正的影响。持续不断的破坏将带来不可逆转的代价。因此,确保安全性最简单的方法是从操作系统开始,逐步完善,从一开始就考虑物联网,定制你的软件。”

2018年4月首次出版
鸣叫
分享在LinkedIn
分享兴
分享

    您对这个网站上的cookies的选择

    我们的网站使用cookies用于分析目的,并为您提供最好的体验。

    单击“接受”以同意或首选项查看并选择Cookie设置。

    该网站使用cookie在您的计算机上存储信息。

    有些cookie是必要的,以便提供最佳的用户体验,而其他饼干提供分析或允许重新定位以显示与您相关的广告。

    要了解我们的饼干的完整列表以及我们如何使用它们,请访问我们的Cookie政策


    基本饼干

    这些cookie使网站能够尽最大努力,为您提供最佳用户体验。它们仍然可以通过您的浏览器设置禁用。


    分析饼干

    我们使用谷歌分析器使用的分析cookie,以向我们提供有关用户与I-cio.com互动方式的信息 - 这有助于我们改进该网站以增强您的经验。

    有关分析cookie的完整列表以及我们如何使用它们,请访问我们的Cookie政策


    社交媒体饼干

    我们使用Cookie从Facebook和LinkedIn等社交媒体平台跟踪访问 - 这些cookie允许我们从I-Cio.com重新定位具有相关广告的用户。

    有关社交媒体cookie的完整列表以及我们如何使用它们,请访问我们的Cookie政策