導(dǎo)讀:確保物聯(lián)網(wǎng)的安全是一項(xiàng)多方面的工作���,需要大動(dòng)作和小調(diào)整,以確保網(wǎng)絡(luò)�����、系統(tǒng)��、數(shù)據(jù)和設(shè)備受到保護(hù)����。下面是您可能沒(méi)有考慮過(guò)的7種安全實(shí)踐。
確保物聯(lián)網(wǎng)的安全是一項(xiàng)多方面的工作�,需要大動(dòng)作和小調(diào)整,以確保網(wǎng)絡(luò)����、系統(tǒng)、數(shù)據(jù)和設(shè)備受到保護(hù)���。下面是您可能沒(méi)有考慮過(guò)的7種安全實(shí)踐�。
物聯(lián)網(wǎng)最大的問(wèn)題之一是確保網(wǎng)絡(luò)����、數(shù)據(jù)和設(shè)備的安全�。與IOT相關(guān)的安全事件已經(jīng)發(fā)生�,IT���、安全和網(wǎng)絡(luò)管理人員擔(dān)心類(lèi)似的事件會(huì)發(fā)生是有道理的��。
安全標(biāo)準(zhǔn)和保證公司HITRUST負(fù)責(zé)標(biāo)準(zhǔn)和CISO的副總裁Jason Taule說(shuō):“除了最嚴(yán)格的環(huán)境之外����,所有環(huán)境中都將有物聯(lián)網(wǎng)設(shè)備�。”“接下來(lái)的問(wèn)題不是是否允許�,而是如何允許這些設(shè)備連接到您的網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)���,并與之交互�?�!?/p>
組織可以做些什么來(lái)增強(qiáng)物聯(lián)網(wǎng)的安全性?有很多選擇�,包括一些可能不那么明顯的實(shí)踐。
1. 物聯(lián)網(wǎng)安全:從小處著手
研究和咨詢公司ITIC的負(fù)責(zé)人Laura DiDio說(shuō)��,為了在物聯(lián)網(wǎng)中構(gòu)建更好的安全性����,組織應(yīng)該從網(wǎng)絡(luò)基礎(chǔ)設(shè)施中最小的組件開(kāi)始——代碼���。
“大多數(shù)物聯(lián)網(wǎng)設(shè)備都非常小,”DiDio說(shuō)�。“因此�,源代碼往往是用通用語(yǔ)言編寫(xiě)的——C或c++和c#語(yǔ)言,這些語(yǔ)言經(jīng)常成為內(nèi)存泄漏和緩沖區(qū)溢出漏洞等常見(jiàn)問(wèn)題的受害者���。這些問(wèn)題相當(dāng)于網(wǎng)絡(luò)上的普通感冒��?��!?/p>
DiDio說(shuō),就像普通的感冒一樣���,它們討厭而且頑固����。她說(shuō):“在物聯(lián)網(wǎng)環(huán)境中�����,它們可能會(huì)擴(kuò)散,成為一個(gè)大的�����、常常被忽視的安全問(wèn)題�����?�!薄斑@里最好的防御就是測(cè)試�����,測(cè)試���,再測(cè)試。DiDio說(shuō):“市場(chǎng)上有很多被廣泛認(rèn)可的測(cè)試工具已經(jīng)被用于物聯(lián)網(wǎng)設(shè)備���。
“安全和IT管理員也可以使用堆棧cookie” DiDio說(shuō)���。這些是隨機(jī)的數(shù)據(jù)字符串,應(yīng)用程序被編碼在指令指針寄存器之前寫(xiě)入堆棧����,如果發(fā)生緩沖區(qū)溢出�,數(shù)據(jù)將溢出到指令指針寄存器�����?����!耙坏┚彌_區(qū)溢出發(fā)生��,堆棧cookie就會(huì)被覆蓋�����,”她說(shuō)��。應(yīng)用程序?qū)⑦M(jìn)一步編碼�����,以驗(yàn)證堆棧cookie字符串將繼續(xù)匹配最初編寫(xiě)代碼的方式�。如果堆棧cookie不匹配,應(yīng)用程序?qū)⒔K止��。
2. 部署上下文感知的訪問(wèn)控件
控制物聯(lián)網(wǎng)環(huán)境中的接入是企業(yè)在連接資產(chǎn)、產(chǎn)品和設(shè)備時(shí)面臨的較大安全挑戰(zhàn)之一���。這包括控制連接對(duì)象本身的網(wǎng)絡(luò)訪問(wèn)�。
組織應(yīng)首先確定物聯(lián)網(wǎng)環(huán)境中被聯(lián)系事物認(rèn)為可接受的行為和活動(dòng)��,然后實(shí)施控制措施以解決這一問(wèn)題但同時(shí)不妨礙流程���,咨詢公司總裁、IP架構(gòu)師和物聯(lián)網(wǎng)安全專家John Pironti說(shuō)���。
Pironti說(shuō):“不要使用單獨(dú)的VLAN(虛擬LAN)或網(wǎng)絡(luò)段�,這會(huì)限制和削弱物聯(lián)網(wǎng)設(shè)備����,而是在整個(gè)網(wǎng)絡(luò)中實(shí)現(xiàn)上下文感知的訪問(wèn)控制,允許適當(dāng)?shù)牟僮骱托袨?���,不僅在連接級(jí)別,而且在命令和數(shù)據(jù)傳輸級(jí)別�����。”
Pironti說(shuō)����,這將確保設(shè)備能夠按計(jì)劃運(yùn)行,同時(shí)限制它們進(jìn)行惡意或未經(jīng)授權(quán)活動(dòng)的能力��。他說(shuō):“這個(gè)過(guò)程還可以建立一個(gè)預(yù)期行為的基線�����,然后可以對(duì)其進(jìn)行記錄和監(jiān)控�����,以識(shí)別超出預(yù)期行為的異?���;蚧顒?dòng),使其達(dá)到可接受的閾值����。”
3. 讓供應(yīng)商對(duì)他們的物聯(lián)網(wǎng)設(shè)備負(fù)責(zé)
組織當(dāng)然會(huì)雇傭各種各樣的服務(wù)提供者���,在某些情況下��,這些服務(wù)是通過(guò)放置在客戶場(chǎng)地上的設(shè)備提供的����。在物聯(lián)網(wǎng)時(shí)代,機(jī)器很有可能被連接起來(lái)�����,因此容易受到黑客和其他入侵����。
如果出了什么問(wèn)題����,客戶要確保有責(zé)任。
安全咨詢公司SideChannelSec合伙人���、保險(xiǎn)公司漢諾威保險(xiǎn)集團(tuán)(Hanover Insurance Group)前安全高管Brian Haugli表示:“首先要從合同內(nèi)部著手�?�!薄澳愕墓?yīng)商是否正在把物聯(lián)網(wǎng)作為他們服務(wù)或解決方案的一部分推進(jìn)你的企業(yè)?”如果是這樣��,你必須了解它����,并確保它是合同/采購(gòu)的一部分�����?!?/p>
Haugli說(shuō)�����,要確保弄清楚誰(shuí)負(fù)責(zé)更新和設(shè)備的生命周期�,以及在發(fā)生事故時(shí)你是否有權(quán)使用這些設(shè)備。他說(shuō):“我看到HVAC(采暖�����、通風(fēng)和空調(diào))和打印機(jī)公司沒(méi)有放棄接入�,導(dǎo)致響應(yīng)工作陷入停滯?����!薄巴瑯邮沁@些供應(yīng)商�,他們會(huì)推遲對(duì)操作系統(tǒng)的例行修補(bǔ)職責(zé)或升級(jí)?����!?/p>
Haugli說(shuō),在某些情況下�,合同可能沒(méi)有規(guī)定客戶什么時(shí)候會(huì)購(gòu)買(mǎi)帶有支持操作系統(tǒng)的新設(shè)備,供應(yīng)商可能不愿承擔(dān)成本�。因此,一個(gè)不受支持且易受攻擊的設(shè)備可以被允許在網(wǎng)絡(luò)上駐留的時(shí)間比它應(yīng)該駐留的時(shí)間長(zhǎng)得多�。
“如果我們沒(méi)有向供應(yīng)商闡明我們的需求,沒(méi)有采取步驟來(lái)確認(rèn)遵從性�,也沒(méi)有追究他們的責(zé)任,那么我們有什么基礎(chǔ)來(lái)期待這些問(wèn)題得到解決呢?”Taule說(shuō)�����?��!本拖裼布﨩EM和軟件公司現(xiàn)在都希望能夠確定并快速解決其產(chǎn)品中的弱點(diǎn)一樣,公司也應(yīng)該為我們提供IP攝像機(jī)�����、醫(yī)療設(shè)備�、打印機(jī)、無(wú)線接入點(diǎn)�、冰箱���、環(huán)境控制和無(wú)數(shù)我們?cè)絹?lái)越依賴的其他物聯(lián)網(wǎng)設(shè)備?!?/p>
Taule說(shuō),公司應(yīng)該將通用安全框架中列出的控制應(yīng)用于物聯(lián)網(wǎng)設(shè)備�����。例如���,在合同中包含安全功能需求;要求最近的漏洞掃描或聲稱有權(quán)掃描他們自己;要求供應(yīng)商提供及時(shí)的更新��,以解決已識(shí)別的缺陷;并在固件更新后重新掃描設(shè)備����,以確保已識(shí)別的問(wèn)題已得到解決�����,且沒(méi)有新問(wèn)題出現(xiàn)���。
4. 防止物聯(lián)網(wǎng)識(shí)別欺騙
多年來(lái)��,黑客及其技術(shù)變得越來(lái)越熟練����,這可能對(duì)物聯(lián)網(wǎng)安全構(gòu)成巨大威脅。
DiDio說(shuō):“他們像造假者和偽造者一樣不斷提高自己的水平�����?��!薄拔锫?lián)網(wǎng)設(shè)備的指數(shù)增長(zhǎng)意味著攻擊面或攻擊向量的指數(shù)增長(zhǎng)���。”
這使得企業(yè)及其安全部門(mén)和IT部門(mén)必須驗(yàn)證與之通信的物聯(lián)網(wǎng)設(shè)備的身份�,并確保它們?cè)陉P(guān)鍵通信、軟件更新和下載方面是合法的����。
DiDio說(shuō),所有的物聯(lián)網(wǎng)設(shè)備必須有一個(gè)獨(dú)特的身份����。她說(shuō)�����,在沒(méi)有獨(dú)特身份的情況下,組織面臨著從微控制器級(jí)別到網(wǎng)絡(luò)邊緣的端點(diǎn)設(shè)備被欺騙或攻擊到應(yīng)用程序和傳輸層的高風(fēng)險(xiǎn)����。
5. 為物聯(lián)網(wǎng)設(shè)備建立“單向”連接
Pironti說(shuō),公司應(yīng)該限制物聯(lián)網(wǎng)設(shè)備啟動(dòng)網(wǎng)絡(luò)連接的能力���,而應(yīng)該只使用網(wǎng)絡(luò)防火墻和訪問(wèn)控制列表來(lái)連接它們�。
“通過(guò)建立單向信任原則���,物聯(lián)網(wǎng)設(shè)備將永遠(yuǎn)無(wú)法啟動(dòng)到內(nèi)部系統(tǒng)的連接����,這將限制攻擊者利用它們作為跳轉(zhuǎn)點(diǎn)來(lái)探索和攻擊網(wǎng)絡(luò)段的能力�,”P(pán)ironti說(shuō)。
Pironti說(shuō)��,雖然這不會(huì)阻止對(duì)手攻擊與他們建立了直接聯(lián)系的系統(tǒng)�,但會(huì)限制他們?cè)诰W(wǎng)絡(luò)中橫向移動(dòng)的能力。
企業(yè)還可以強(qiáng)制連接到物聯(lián)網(wǎng)設(shè)備�����,通過(guò)跳轉(zhuǎn)主機(jī)和/或網(wǎng)絡(luò)代理,Pironti說(shuō)�。“通過(guò)在漏斗點(diǎn)代理連接����,組織可以在來(lái)自和到達(dá)物聯(lián)網(wǎng)設(shè)備之前檢查網(wǎng)絡(luò)流量,并更有效地詢問(wèn)[流量]����,”他說(shuō)。這使它能夠確定它攜帶的流量和有效載荷是否適合IoT設(shè)備接收或發(fā)送���。
6. 考慮使用隔離網(wǎng)絡(luò)
許多類(lèi)型的控制設(shè)備�����,如恒溫器和照明控制����,通過(guò)無(wú)線連接���。然而�,大多數(shù)企業(yè)無(wú)線網(wǎng)絡(luò)需要WPA2-Enterprise/802.1x����,電子承包商Rosendin Electric的網(wǎng)絡(luò)安全和合規(guī)高級(jí)主管James McGibney表示。
“大多數(shù)這些設(shè)備不支持WPA2-Enterprise�,”McGibney說(shuō)?!伴_(kāi)發(fā)一種更安全的設(shè)備將是理想的選擇。不過(guò)�,如果環(huán)境支持的話,你可以把這些設(shè)備放在它們自己的無(wú)線網(wǎng)絡(luò)上�,與生產(chǎn)網(wǎng)絡(luò)隔離,只允許互聯(lián)網(wǎng)接入�。”
McGibney說(shuō)��,這需要?jiǎng)?chuàng)建一個(gè)獨(dú)立的服務(wù)集標(biāo)識(shí)符(SSID)和虛擬局域網(wǎng)���,并具有通過(guò)防火墻路由流量的能力�。他說(shuō)����,隔離的無(wú)線網(wǎng)絡(luò)將從一個(gè)集中的位置配置和管理。
“我們已經(jīng)為一些設(shè)備做到了這一點(diǎn)����,比如需要互聯(lián)網(wǎng)接入的自動(dòng)售貨機(jī)����,但我們無(wú)法控制這些設(shè)備�。”McGibney說(shuō)��?���!拔覀儼阉鼈兎旁谂c生產(chǎn)分開(kāi)的客戶網(wǎng)絡(luò)上。它運(yùn)行在相同的硬件上�,但在一個(gè)單獨(dú)的VLAN上。
7. 將安全性插入供應(yīng)鏈
物聯(lián)網(wǎng)通常涉及供應(yīng)鏈中的多個(gè)合作伙伴�,包括技術(shù)供應(yīng)商,供應(yīng)商和客戶�����,安全性必須考慮到這一點(diǎn)����。
Taule提到,如果你還沒(méi)有這樣做過(guò)���,那就去找你的合同���、財(cái)務(wù)或其他管理供應(yīng)鏈的部門(mén)�。與他們展開(kāi)對(duì)話�,建立關(guān)系�,除非安全團(tuán)隊(duì)同意,否則不會(huì)批準(zhǔn)任何物聯(lián)網(wǎng)購(gòu)買(mǎi)��。
Taule說(shuō)�����,如果安全部門(mén)愿意承擔(dān)分析工作的重?fù)?dān)�,這些部門(mén)將積極遵守這一規(guī)定。
Taule說(shuō)���,究竟如何最好地加強(qiáng)供應(yīng)鏈供應(yīng)商選擇過(guò)程取決于個(gè)別組織��,但他建議考慮允許獨(dú)立驗(yàn)證的制造商; 提倡設(shè)備端的寫(xiě)保護(hù)開(kāi)關(guān)����,以便在您不知情的情況下無(wú)法更新固件; 并且只采購(gòu)真正的產(chǎn)品而不是假冒產(chǎn)品��。
