在技术公司MetricStream对20个行业的120多家企业展开的全球调查中发现,近一半(44%)的大型企业认为未来三年物联网(IoT)技术在干扰IT风险管理项目方面具有相当大的隐患。
由于可连网设备大量普及,各个网络连接设备的管理程序并不统一,许多管理员在做物联网设备的管理架构时很容易忽视物联网的互通、完整以及安全协作层面的考量。
此外,除了简单的可见性之外,连接设备的软件开发混乱状态可能是最大的具体安全问题,不仅一些设备开始不安全,即使制造商发布补丁的缺陷,也可能难以分发和应用于有组织的方式 许多人根本不修补,因为正在进行的软件开发根本不在特定类型的设备的预算中。
虽然一般来说,IT GRC访问控制解决方案可以通过自动化工作流程,及时提供风险情报来指导决策,来增加网络防护能力。但政策、培训计划和信息治理框架都同样重要。
因此,要防范此前美国信用评级机构Equifax遭受到的网络攻击,显然要企业拥有全面、灵活的IT风险管理策略才能应对。具体可以展开以下策略:
1、对于这些新兴的联网设备,哪些位置需要安全控制,以及如何部署有效地控制。鉴于这些设备的多样性,企业将需要进行自定义风险评估,以发现有哪些风险以及如何控制这些风险。
2、企业必须能够识别IoT设备上的合法和恶意流量模式,并快速了解如何快速修复IoT设备漏洞以及如何优先排序漏洞修复工作。
3、企业还应该隔离IoT设备到vLAN或独立的网段进行有效监管。
以上由物联传媒整理提供,如有侵权联系删除物联网的日益普及给人们带来了诸多便利,但随着大量的物联网应用落地随之也带来了很多安全风险。
提起物联网设备,我们就能想到智能化,智慧城市,智慧家居,智慧医疗,智慧养殖等等,都给生活带来了便利,但是物联网设备也有一个极其引人担心的一个问题,就是安全问题。当一切都智能后,伴随的危机风险将更大。安全漏洞一旦遭受到恶意攻击,会引发严重问题,导致一系列设备都罢工宕机。
物联网安全与之紧密联系的就是物联网设备的支出和回报问题,这是个永恒的议题。
使用物联网设备带来的优势是不言而喻的,它在无形中简化了很多业务以及人工成本,从采集数据到数据分析再到价值挖掘和提高运营效率,作用是巨大的。但是同时也存在着风险,就是物联网的安全漏洞,对于很多企业来说,使用物联网设备都有一定的担忧,也造成了物联网应用落地化并没有特别快速的普及。
出现这种冷热交替化的情况原因就很简单了,企业一方面想要拥抱物联网,走上风口,另一方面就是新的东西出来,就总不是那么成熟,有一些时间需要走,物联网攻击事件也有爆出。其实只要有了安全意识,做长期的潜在回报准备,在物联网实施过程中,从一开始就应该注重安全性,并将其作为规划布局中的关键任务之一。从初始阶段就在系统中加入安全设计,比在开发周期接近尾声时或者在漏洞已经出现或公开之后再采取措施,更加经济有效。
此外,物联网安全,挑战无处不在物联网的迅速增长和商用普及,导致物联网市场出现碎片化困局,缺乏明确、统一的标准。而定义物联网设备的标准和架构,要通过数十项持续、不同的举措来进行,企业自然会疲于应对眼前出现的挑战。
是如何确保设备本身安全。某些设备或设施可能无人值守地运行,因此不受频繁的安全性影响。报告称,使这些设备防篡改可能是有利的,因为这种类型的端点强化可以帮助阻止潜在的入侵者获取数据。它也可能抵御黑客或其他网络犯罪分子的攻击。
作为一种最佳实践,安全端点强化可能意味着部署一种分层方法,要求攻击者绕过多重障碍,旨在保护设备及其数据免遭未经授权的访问和使用。企业应该保护已知的漏洞,如开放的TCP/UDP端口,开放的串行端口,开放的密码提示,Web服务器、未加密的通信、无线连接等注入代码的位置。
另一个保护设备的办法是根据需要升级或部署安全补丁。但请记住,许多设备供应商在构建和销售设备时并不关注安全性。正如调查报告指出的那样,许多物联网设备被破坏后是不可修补的,因此无法保证安全。在投资的设备采用工业物联网之前,需要评估设备的安全功能,并确保供应商对设备进行彻底的安全测试。
当物联网设备试图连接到网络或服务时,要小心地管理物联网设备的身份验证,以确保信任是非常重要的。公钥基础设施(PKI)和数字证书为物联网设备身份和信任提供了安全基础。
如何保障物联网的安全?
物联网安全解决方案
物联网的引入已经推动了多个行业的发展,例如农业、公用事业、制造业和零售业。物联网解决方案有助于提高工厂和工作场所的生产率和效率。同样,由物联网驱动的医疗设备也导致了互联和主动的医疗保健方法的发展。
智慧城市还利用物联网来构建联网的交通信号灯和停车场,以减少交通流量不断增加的影响。
但是,物联网安全威胁的影响可能被证明是物联网实施中的主要问题。诸如DDoS、勒索软件和社会工程学之类的IoT安全威胁可用于窃取人员和组织的关键数据。攻击者可以利用IoT基础设施中的安全漏洞来执行复杂的网络攻击。所有智能化技术的核心都是设备间的网络互联,而这正是我们耳熟能详的物联网(IoT)。据预测,到2020年,将有500亿个“事物”实现互相通信或是通过互联网进行沟通。面对如此迅速的普及和发展,一些新的挑战也随之而来:如何才能使物联网易于使用并且具有较高的性价比和效率呢?对此,德州仪器(TI)众多物联网专家经过深入交流,指出了物联网发展所面临的六大主要挑战,并给出了解决这些挑战的关键,尤其强调了针对消费类、工业和汽车领域的物联网应用。
挑战一:低功耗是重中之重
物联网从一个利基市场(小众市场)不断发展成为一个几乎将我们生活各个方面都连接在一起的庞大网络,面对如此广泛的应用,功耗是至关重要的。在物联网领域中,许多联网器件都是配备有采集数据节点的微控制器(MCU)、传感器、无线设备和制动器。在通常情况下,这些节点将由电池供电运行,或者根本就没有电池,而是通过能量采集来获得电能。特别是在工业装置中,这些节点往往被放置在很难接近或者无法接近的区域。这意味着它们必须在单个纽扣电池供电的情况下实现长达数年的运作和数据传输。
“电池的安装、养护和维修不仅难度很高,同时也会带来高昂的开销。而在某些车间或厂房内,这些 *** 作甚至非常危险。”关注无线和低功耗充电领域的Harsha表示,“我们的目标就是让用户在器件的使用寿命内无需更换电池。”基于此,Harsha和他的团队正在研究尽可能延长微型电池供电时间的方法。例如,借助太阳能来供电,无论是室内或是户外光源,即使是只从光源中采集很少的能量,其影响也是巨大的。同时,通过工厂中某一物件的内外环境温差,也能够实现能量的采集,例如温度高于外部空气的高温液体管道。此外,在工业装置中,车间内机器所产生的振动也能被用于能量采集。通过住所内来自WiFi的无线电波,也可以为支持物联网节点的电池生成一个小电荷。
以上种种方法的目标是将电池的使用寿命延长10%或20%。虽然消费类电子元器件更新换代的速度越来越快,但是工业应用中的物联网技术可以持续很长的时间。通过使用能量采集来延长电池的使用寿命,一块电池可以持续供电20年到30年,直到所有的节点需要更换。在某些情况下,由于能量采集的使用,这些节点甚至可以实现无电池运行。
挑战二:感测必不可少
如果没有感测,那么物联网也将不复存在。传感器、微型器件和节点是构成整个物联网系统的基石,它们能够测量、生成数据并将数据发送给其他节点或云端设备。无论是感测住宅的房门是否关闭,还是汽车的机油是否需要更换,抑或是生产线上的某个设备会不会出现故障,传感器采集到的数据都是关键信息。
“感测在需要作出决策的时候便会发挥作用,这一过程不一定需要人工干预。”专注电流感测领域的Jason表示,“如果传送带正在传输某个物体,传感器能够帮助确定这个物体是什么、重量为多少以及传送带是否过热等。例如,分析电机内的电流能够让人们了解电机的健康状况、是不是出现了故障。这些都是在进行工厂控制时需要了解的内容,而传感器使这一切变为可能。当提供实时数据时,这些重要数据的结合将影响到方方面面。”
因为传感器采集了海量的数据,特别是在工业物联网(IIoT)中更是如此,所以传感器软件的创新与传感器硬件的创新同样重要。当获得了海量的信息时,如何确定信息是不是过多?如何判定所掌握的数据是不是有用?其中极为重要的一环就是算法。一旦有了合适的算法并且得以充分利用,它们将改变制造业。工厂会变得越来越小,效率却越来越高。
挑战三:连通性选择由繁化简至关重要
一旦传感器数据被低功耗节点采集,这些数据必须被传送到某个地方。在大多数情况下,它会被传送至一个网关,这是物联网系统中互联网与云或其他节点之间的中间点。目前,根据独特的使用情况和不同的需求,我们可以选择多种有线或无线的方式来连接设备。各项不同连通性标准和技术都有其特殊的价值与用途,不过将WiFi、Bluetooth、Sub-1 GHz和以太网中的所有这些标准都整合起来却是一项巨大的工程。鉴于产品的多样性以及需要将连通性添加到很多标准与技术并不相同且大多数此前并不具备互联网连通性的产品中,这就需要采用复杂的技术,并使其变得更加简单。
挑战四:管理云端连通性是关键
一旦数据通过一个网关,它在大多数情况下会直接进入云端。在这里,数据被分析、检查,然后付诸实施。物联网的价值源自云端服务上运行的数据。正如连通性一样,云端服务的选择也有很多,这也是物联网发展中另一个复杂点。
“目前,云端供应商的种类繁多,数量也不尽相同,并且没有针对云端设备连接和管理方式的标准。”专注物联网市场发展领域的Gil表示。为了满足那些使用多个云端服务的用户的需求,必须开发物联网云端生态系统,提供集成的TI技术解决方案。可喜的是,由于云端技术已经实现了良好的成本效益,物联网目前正以极快的步伐飞速发展。不过,为了实现物联网的进一步增长,在复杂度简化方面还有很多工作要做。
挑战五:安全性是广泛采用的关键
整个系统的安全性是制约物联网被广泛采用的最大障碍之一。随着越来越多的设备变得“智能化”,越来越多的潜在安全性漏洞将出现。这需要业界研究构建先进的硬件安全机制,同时将安全机制成本和功耗保持在较低的水平上。这需要相关厂商在集成安全协议和安全性软件方面投入大量的人力物力,努力减少把高级安全性功能添加到物联网产品中所遇到的障碍,以确保在保障安全性方面降低门槛。
挑战六:为经验不足的开发人员提供简易物联网解决方案
虽然物联网技术曾经主要由技术公司使用,但是从目前来看甚至在未来一段时间里,物联网技术将在有着一定技术背景限制的行业中被广泛应用。以一个生产龙头公司为例。直到目前,由于没有任何需求,电气工程师也许从未在龙头制造公司工作过。但是如果这家公司打算生产接入互联网的花洒,那么其在人力和时间方面的投入将是巨大的。因此,物联网技术必须能够轻松地添加到其现有和未来的产品中,而无须网络和安全工程师参与其中。这些公司不需要像一家互联网技术公司那样,在技术学习方面投入,他们现在可以从相关企业获得现成可用的技术。对于相关技术公司来说,如何为这些经验不足的开发人员提供简易且立即见效的物联网解决方案,既是挑战更是机遇。
由于我们生活中越来越多的事物正在与网络建立互联,并且随着物联网应用的不断普及与拓展,还有大量的工作需要去完成。以物联网为代表的信息化应用是对我们未来方方面面高品质生活的巨大展望,包括我们的住所、汽车和高效工厂内的用户便利性与生活方式等,而这一切将最终使我们的世界变得更加美好。最大限度的保证物联网的安全,做好以下三点:
第一,对大数据的收集持谨慎态度。之所以在前面用很多文字引用了华为和三星的战略内容,是有原因的。看华为,它有一个“集中收集、管理、处理数据后向合作伙伴、行业开放”的细节。而三星,也有一个“能够与云端连接”的细节。这些,是典型的收集大数据存储在云端的行为。这种行为,如果不加约束则危险很大。之前,三星智能电视监听事件,我们应该记忆犹新。试想,物联网之下,我们在这些硬件面前是“赤裸裸”的。所以,物联网企业应该“自律”,不要在大数据采集方面为所欲为。
第二,对大数据的转移和利用持谨慎态度。前面第一点里已经提到过一个细节:“处理数据后向合作伙伴、行业开放”。这应该是大数据在不同企业间转移、利用的过程。而大数据在转移与利用的这个过程里,也有危险。毕竟,各个厂商的安全意识、安全水平、硬件水平不一,安全隐患很大。欧洲反计算机病毒协会创始人、德国歌德塔(G
Data)安全软件公司安全顾问Eddy
Willems在接受我的采访时也曾说过,“企业不同设备之间的安全过滤措施不够”。所以,这种大数据之间的合作很让人担忧。这个问题,必须解决。
第三,严防外部危险因素的侵入。如果说前两点属于物联网企业的“内因”的话,那么第三点就是严防“外因”。目前,黑客利用商用WIFI入侵的例子已经很多,甚至连飞机都难以幸免。这就要求我们的物联网企业,必须重视安全防范问题。这些问题包括,商用WIFI的过度商业化的问题,软件的漏洞问题,智能硬件和数据库的密码问题,硬件设备的加密问题,物联网企业安全意识不强的问题,物联网用户安全意识不强的问题,还有不同物联网企业之间的终端设备兼容问题。如果这些问题不予解决,那黑客会无孔不入的。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)