当你部署的技术可被攻击者用来杀人时,你最好确保其安全性。
多年来,网络安全专家一直在强调各种联网设备激增所带来的威胁。
专家警告称,IoT设备让我们的生活变得便利,但如果不小心,IoT设备也可能终结我们。
prpl基金会是致力于下一代数据中心软件和架构的开源联盟,该联盟首席安全战略师Cesare Garlati表示:“大多数这些IoT设备连接到或者直接控制物理对象,例如电梯或供暖系统。因此数据泄露事故不仅仅会导致数据丢失以及罚款,甚至可能导致涉及人员伤亡或者死亡的物理攻击。”
潜在严重危害
从智能手机到联网摄像头、医疗植入装置到工业控制器,各种各样的设备都已经被证明容易到攻击,很多可能造成经济和物理破坏。
现在大量攻击者都渴望获得这种控制我们生活、企业和经济的能力--攻击者希望控制我们以获得赎金,网络恐怖分子希望制造混乱,而国家行为者则旨在从事秘密网络战争。
诺丁汉大学数字经济学教授兼Horizon研究机构主管Derek McAuley表示,这种威胁并不扩张。“这对生命带来巨大的威胁,这也是为什么国内外安全服务正非常关注网络防御的原因,”他表示,“随着技术得到更广泛部署,网络攻击可能消耗大量经济。我们曾经考虑如何保护电厂、电源线等,但如果攻击者控制了剑桥100英里范围内所有智能电表,这种危害就像引爆发电厂一样。”
然而,研究人员的警告并没有阻止企业部署IoT的步伐。IoT带来显著的成本和节能优势,工业自动化、更智能的城市以及更好的健康和安全,经济和社会因素往往会胜过安全因素。
深层安全隐患
网络安全研究人员兼顾问John Walker表示:“我们快速部署这项技术,而没有考虑更长期的深层安全隐患。安全人员通常是最后一个了解发生了什么的人,但其实在最开始就应该考虑安全因素。”
“在我看来,几乎没有或者没有适当的技术风险评估以确保设备、代码、数据和基础设施得到充分保护。现在很多大型企业都存在不安全的系统和流程。”
但微软对此仍然保持乐观,微软正致力于支持其客户和合作伙伴的安全IoT部署。微软公司国家安全官Stuart Aston称:“不要过分夸大潜在安全风险,否则人们会认为IoT安全太难以解决。但事实并不是这样,关键是了解风险并部署适当的缓解措施。”
微软已经制定了IoT安全最佳做法清单,其中强调了各个企业必须解决IoT系统生命周期中不同的安全问题,其生命周期包括:制造和集成、软件开发、部署和运营。
没有通用标准
对于客户来说,目前的问题是很难确定其选择的所有软件、硬件和服务合作伙伴是否正在采取必要措施来维持有效安全性。虽然国际标准化组织(ISO)和国际电工委员会(IEC)等机构正在这一领域做大量工作,但目前仍然没有针对IoT安全的通用可证明的标准。Aston称:“标准正在制定中,但简短的回答是,如果你现在部署,你需要进行尽职调查。”
Synopsys公司关键系统安全全球总监Mike Ahmadi表示:“对于任何部署IoT设备的人来说,至关重要的是要求供应链提供其遵照完整的采购指南的证据,涉及特定的可测量的标准。”
“用户需要供应商提供这样的证据,并在内部检查。不要相信产品供应商的话,而应该验证他们告诉你的信息。让他们提供证据,如果无法提供,则选择其他供应商。”
尽管微软的IoT安全最佳做法指南是很高的标准,但网络安全专家称IT部门必须密切关注技术细节。诺丁汉大学的McAuley称系统应设计为让设备尽可能在本地数据。
McAuley称企业应该部署更安全的网络身份验证,例如使用ID管理系统来确保用户和设备的身份,而不是依靠SSID和密码。
企业还应该保持设备与网络有效隔离,配置适当的防火墙规则和网络分段。McAuley说:“在我看来,所有设备最终都可能被攻击,所以即使它们需要与互联网连接,它们应该只能与它们绝对需要的一两个地方进行交互。”
他还表示当数据存储在服务器时也应该被加密,“很多企业只会加密传输中的数据,这并不够。”
Prpl基金会的Garlati补充说:“不要使用涉及云计算组件的设备,除非100%必要。”
你还应该避免使用未考虑基本网络安全的设备,“我会试图寻找要求多因素身份验证来更改配置的设备,”McAuley称,“此外,设备不应该使用默认用户名和密码--当用户首次开启设备时,应被要求设置安全的登录凭证。”
请记住,虽然对IoT的攻击带来比传统系统更大的威胁,但很多IoT安全最佳做法与我们多年来通过保护电脑和移动设备学到的最佳做法没有什么不同。我们只需要确保这些最佳做法得到严格的部署。
作者:邹铮
来源:51CTO
