如何打响IoT安全保卫战

物联网已经提升了IT安全性。无论是办公室、零售商店还是工厂的生产线，安全管理人员都需要担心当前锁定的大量终端——有的超过100,000。最近TechTarget的一项针对全球IT实践者的调查发现，安全性被认为是物联网中第二大问题(互操作性排第一)。

正如人们所期望的，当前有许多企业正寻求如何解决物联网的安全问题，但却无法提供一致的物联网安全观点。我们在这里并不是尝试提供某种误导性的观点，而是想让大家快速浏览一下以下四家公司所提供的三种不同的物联网安全方法。

调整和修补

“毫无疑问，物联网所处的危险环境已经迅速增长。”思科的物联网产品和解决方案营销主管John Reno说，“虽然不大可能出现严重的攻击，但产生的影响更深远。管理物联网环境的企业担心如何保护好他们的关键资产；担心攻击可能会影响能源网格或打破生产线。”

Forrester Research的高级分析师Merritt Maxim表示，业界人士必须进行调整，以确保物联网的安全。

“用嵌入式设备修补物联网系统不同于修补Windows机器，”他说， “许多工业系统存在遗留代码。但人们已经开始有这方面的意识，只是需要时间。”

新兴物联网环境将传统IT系统与传统生产线或业务线系统相融合。为了应对威胁，安全和网络管理人员需要找到能够提供可见性的工具。例如，思科的ISA 3000等产品提供了对IT和运营技术网络的可见性，其管理迄今为止大部分是独立的。

Reno在开发ISA 3000时表示，思科建立了ASA Sourcefire软件堆栈的加固版本。该产品允许安全管理员对网络进行分段，并提供操作环境日志。

“过去，这项工作需要大量的人工操作，”Reno说，“SA 3000提供了一种简便的方法来管理IT和OT。”

Reno说，ISA 3000还允许安全和网络管理员远程管理网络。

“全球制造商的性质就是在世界各地提供经营，”他说， “在今天的世界里，如果在俄亥俄州的工厂生产线上某个机器人出现问题，可能会由日本的一名服务技术员通过访问路由器、交换机和防火墙上的所有特定日志数据来解决。”
锁定访问
安全访问和身份验证对于安全管理人员来说始终是一个重要问题，但在遇到解决物联网环境中的安全问题时会变得更加复杂。例如，在工厂车间的用户想要仅仅认证一次以获得工作中所需的系统和应用许可。由于在工厂车间有太多的设备和智能传感器，公司并不希望用户在每次访问设备或应用程序时都要进行身份验证。

思科和Ping Identity建立合作关系，将思科的身份服务引擎（ISE）认证技术与Ping的应用程序单点登录相结合。

Ping Identity的CTO Patrick Harding解释说：“用户可以使用Cisco ISE进行身份验证，然后使用我们的单点登录来访问应用程序。 一旦在ISE中进行身份验证，他们就可以访问序SaaS应用程，如Salesforce或任何其他应用程序，而无需重新进行身份验证。”

Harding表示用户可以使用开放式身份管理协议（如OpenID Connect和SAML）进行身份验证。 “这中间不需要做新的东西，我们使用已经存在的标准协议进行认证，”他说。

这些开放式身份管理协议对于编写IoT应用程序的开发人员也很重要。

CA Technologies产品管理和战略高级总监Jaime Ryan表示，开发人员不想担心身份验证；他们只是想要一个开放的系统，这样可以使用他们选择的身份管理解决方案，并且知道安全是内置的。

Ryan说，CA的移动应用服务让开发人员专注于为智能汽车或医疗设备编写新的应用，而不必担心身份管理技术。

“安全是端到端的，”他说， “现在，开发人员可以集中精力做最有用的事情：构建应用程序，使组织更具协作性和生产力。”
需要转换
随着公司构建物联网环境并通过云运行更多应用程序，他们必须找到一种方法来让传统SCADA设备与通过IP运行的的新物联网设备和应用程序进行交互。工厂设备甚至医疗设备中的大多数软件具有至少8至10年的寿命——在许多情况下更长。

Machfu开发了一个转换网关，它采用传统SCADA信息，并使其适用于现代物联网系统。

该公司的CEO Prakash Chakravarthi说：“我们采用传统的SCADA系统并将其转换成IP。随着组织将数据和应用程序带到云服务（如Microsoft Azure），需要有一种方法来处理这些旧信息。”

S&C Electric认为转换网关具有巨大的潜在用途。该公司在将电网中断时间减少到几秒钟的技术上面有着悠久的历史。但随着物联网的发展，它们将更有必要遍历传统和新的通信协议。

S&C Electric的电网控制和连接主管Donivon Hettich说：“工业物联网是为传统和新的电网边缘设备实现通信。”

“随着更多的通信技术的发展，有必要与现有的通信网络进行互操作并对其加以利用，”他解释说，“在这种情况下的安全必须以端到端的方式加以考虑，必须作为一种进步或进化。这就是为什么我们认为物联网网关将变得更加必要。”

物联网具有巨大的潜力，但组织需要坚信黑客不会破坏他们的系统。保证物联网环境的安全性真的没有放之四海皆准的方法。部署任何新工具必须与深思熟虑的深度防御战略保持一致，这些战略可以包括防病毒软件、防火墙、入侵保护和沙箱。不要以为这些工具会消失。

在采用新的安全工具之前，请供应商解释其物联网策略。这还不足以保护IT系统。公司要保证该工具可以同时在IT和公司的传统业务环境中运行，无论是工厂、医院还是寻求现代化的电力公司。

物联网部署中的安全性涉及IT和操作的可见性、安全身份验证和单点登录，一个从开始构建安全性的物联网开发环境以及可在传统和IP环境中运行的转换网关。好消息是，随着更多的物联网设备部署，工具将通过不断地发展来确保物联网的安全。坏消息是，只有技术管理者可以看到这一趋势并且理解这一切。

本文转自d1net（转载）