防止在IoT安全墙中形成裂缝的7种策略?
来源:CPDA数据分析师网 / 作者:数据君 / 时间:2021-03-09
为什么需要物联网治理策略?
物联网正在迅速成为万物互联,截至2020年,全球有超过300亿个IoT设备在使用,随着互联设备的大规模采用和扩展,随之而来的还有风险,毕竟支持物联网的技术仍然不成熟,而且基本上不受监管,在计算机往往具有广泛用例的地方,IoT设备通常是为非常特定的目的而设计的,尽管计算机肯定永远不会100%安全,但可用来增强其安全弹性的工具和选项远远超过了IoT设备目前可用的工具和选项,使IoT安全格局变得更加复杂的是,通常没有明显的迹象表明IoT设备被滥用,但是访问智能电灯开关或传感器不会造成任何伤害……还是存在?
您可能会感到惊讶
例如如果恶意行为者能够监视看似无害的智能电灯开关或传感器的使用,则他们可能能够读取周围是否存在特定房屋的居民或办公室的租户的模式,这对于了解是否计划抢劫将是一个很好的信息,此类设备还可用于挖掘加密货币,攻击者甚至可以从作为其入口点访问的设备进入网络,然后转移到同一网络上的其他设备,这可能会导致他们成功获得对敏感或个人身份信息的访问,从而提供了执行DDoS攻击或分发恶意软件的机会。
如果对互联网连接的设备进行不负责任的管理,则可能会带来很大的风险
确保企业机构的风险小,到目前为止,政府并没有对设备制造商施加太大压力,他们要求以监管标准的形式将安全性纳入其设计过程中,同时消费者通常会搜索设备的版本,而该版本仍将在其购买决策的中心完成任务,由于政府和消费者的压力对于制造商而言不是问题,因此安全性被视为生产的非必要要素,但是这并不能消除风险,负责开发支持IoT设备的软件的设备制造商应确保安全的开发实践和“按设计的安全性”原则是每个软件开发过程的基础。
应使用静态应用程序安全测试(SAST),软件组成分析(SCA)和交互式应用程序安全测试(IAST),以确保整个生态系统的安全,原因是即使是IoT设备或连接的技术(例如,移动应用程序)中小的安全漏洞,也可能导致大量潜在的利用。
尽管设备安全性还处于不成熟的状态
但是可以通过一些可行的方式来管理家庭和/或组织中使用的IoT设备,以将风险降至。其中一些策略包括,将物联网设备放在自己的网络上。这样,如果一个或多个设备遭到破坏,则不会直接影响运营网络,对所有正在使用的物联网设备进行分类和跟踪。对每个连接的设备进行分类并跟踪其活动,甚至在跟踪那些看似良性的智能交换机时,组织也可能能够获得一些异常的网络通信,这些通信实际上可能是有害的,通信增加或与未知服务器的通信可能很好地表明出了问题。
不要忽略支持软件
组成物联网设备或其生态系统的软件或移动应用程序会构成潜在的安全/隐私威胁。保持目录分类,如果出现补丁或更新,或者发现已知漏洞,组织将可以立即采取行动,限制使用不受信任的设备。选择值得认真对待安全性的可信赖品牌,这样为该设备的使用创建治理模型更加容易,员工从家里带来的个人设备(例如,智能手表)应被视为不受信任的设备,这样的设备应该只能连接到单独的网络,这为员工提供了不会对组织的主要网络构成直接威胁的解决方案。
教育员工根据他们与物联网设备之间的关系,教育应与组织中的各种角色相关
所有员工必须知道什么是物联网设备,他们需要通过更新/补丁来维护它们,并且由于它们可能带来的风险而无法在公司生态系统中充分使用它们,对操作IoT公司设备的技术人员进行适当的维护以及如何发现可疑活动的教育。对网络人员进行教育,并为他们提供工具,以帮助监视这些设备并限制其对网络的访问。
尽可能限制设备的Internet连接
如果设备需要Internet访问才能更新服务,请手动应用更新或定义一个窗口,设备可以在其中访问Internet并应用更新,不断连接到互联网的物联网设备会增加潜在威胁,不要忽视供应链治理和数据隐私合规性,每个物联网生态系统都是不同的,许多物联网制造商拥有自己的管理门户和存储系统,可在计算机或移动设备上使用的应用程序,以控制或设置设备。这些要素应成为组织供应链治理政策的一部分,同样重要的是,还要检查供应商和制造商是否符合您组织的政策,软件是否值得信赖以及数据是否符合内部政策以及其他法规(例如GDPR)。
大流行的影响以及未来
尽管这绝不是要成为围绕物联网治理的全面“方法”计划,但它却提供了构建的基础,新的5G网络上的支持技术(如蓝牙,Wi-Fi)也可以成为开发的切入点。各国政府已开始讨论物联网对政府的使用意味着什么,有朝一日可能会导致制定政策,甚至可能制定整个行业的监管标准,有趣的是,随着全球大流行的开始,形势发生了巨大变化。随着员工在今年早些时候过渡到远程工作,许多组织别无选择,只能做出安全性让步,安全和运营团队努力制定了一项计划,以在这些新情况下保护设备的安全,同时还面临着成功的网络攻击的急剧增加,正如成功的勒索软件攻击的头条新闻所证明的那样(仅举一个例子)。
绝大多数开发团队已经准备好过渡到完全远程的工作文化
物联网正在迅速成为万物互联,截至2020年,全球有超过300亿个IoT设备在使用,随着互联设备的大规模采用和扩展,随之而来的还有风险,毕竟支持物联网的技术仍然不成熟,而且基本上不受监管,在计算机往往具有广泛用例的地方,IoT设备通常是为非常特定的目的而设计的,尽管计算机肯定永远不会100%安全,但可用来增强其安全弹性的工具和选项远远超过了IoT设备目前可用的工具和选项,使IoT安全格局变得更加复杂的是,通常没有明显的迹象表明IoT设备被滥用,但是访问智能电灯开关或传感器不会造成任何伤害……还是存在?
您可能会感到惊讶
例如如果恶意行为者能够监视看似无害的智能电灯开关或传感器的使用,则他们可能能够读取周围是否存在特定房屋的居民或办公室的租户的模式,这对于了解是否计划抢劫将是一个很好的信息,此类设备还可用于挖掘加密货币,攻击者甚至可以从作为其入口点访问的设备进入网络,然后转移到同一网络上的其他设备,这可能会导致他们成功获得对敏感或个人身份信息的访问,从而提供了执行DDoS攻击或分发恶意软件的机会。
如果对互联网连接的设备进行不负责任的管理,则可能会带来很大的风险
确保企业机构的风险小,到目前为止,政府并没有对设备制造商施加太大压力,他们要求以监管标准的形式将安全性纳入其设计过程中,同时消费者通常会搜索设备的版本,而该版本仍将在其购买决策的中心完成任务,由于政府和消费者的压力对于制造商而言不是问题,因此安全性被视为生产的非必要要素,但是这并不能消除风险,负责开发支持IoT设备的软件的设备制造商应确保安全的开发实践和“按设计的安全性”原则是每个软件开发过程的基础。
应使用静态应用程序安全测试(SAST),软件组成分析(SCA)和交互式应用程序安全测试(IAST),以确保整个生态系统的安全,原因是即使是IoT设备或连接的技术(例如,移动应用程序)中小的安全漏洞,也可能导致大量潜在的利用。
尽管设备安全性还处于不成熟的状态
但是可以通过一些可行的方式来管理家庭和/或组织中使用的IoT设备,以将风险降至。其中一些策略包括,将物联网设备放在自己的网络上。这样,如果一个或多个设备遭到破坏,则不会直接影响运营网络,对所有正在使用的物联网设备进行分类和跟踪。对每个连接的设备进行分类并跟踪其活动,甚至在跟踪那些看似良性的智能交换机时,组织也可能能够获得一些异常的网络通信,这些通信实际上可能是有害的,通信增加或与未知服务器的通信可能很好地表明出了问题。
不要忽略支持软件
组成物联网设备或其生态系统的软件或移动应用程序会构成潜在的安全/隐私威胁。保持目录分类,如果出现补丁或更新,或者发现已知漏洞,组织将可以立即采取行动,限制使用不受信任的设备。选择值得认真对待安全性的可信赖品牌,这样为该设备的使用创建治理模型更加容易,员工从家里带来的个人设备(例如,智能手表)应被视为不受信任的设备,这样的设备应该只能连接到单独的网络,这为员工提供了不会对组织的主要网络构成直接威胁的解决方案。
教育员工根据他们与物联网设备之间的关系,教育应与组织中的各种角色相关
所有员工必须知道什么是物联网设备,他们需要通过更新/补丁来维护它们,并且由于它们可能带来的风险而无法在公司生态系统中充分使用它们,对操作IoT公司设备的技术人员进行适当的维护以及如何发现可疑活动的教育。对网络人员进行教育,并为他们提供工具,以帮助监视这些设备并限制其对网络的访问。
尽可能限制设备的Internet连接
如果设备需要Internet访问才能更新服务,请手动应用更新或定义一个窗口,设备可以在其中访问Internet并应用更新,不断连接到互联网的物联网设备会增加潜在威胁,不要忽视供应链治理和数据隐私合规性,每个物联网生态系统都是不同的,许多物联网制造商拥有自己的管理门户和存储系统,可在计算机或移动设备上使用的应用程序,以控制或设置设备。这些要素应成为组织供应链治理政策的一部分,同样重要的是,还要检查供应商和制造商是否符合您组织的政策,软件是否值得信赖以及数据是否符合内部政策以及其他法规(例如GDPR)。
大流行的影响以及未来
尽管这绝不是要成为围绕物联网治理的全面“方法”计划,但它却提供了构建的基础,新的5G网络上的支持技术(如蓝牙,Wi-Fi)也可以成为开发的切入点。各国政府已开始讨论物联网对政府的使用意味着什么,有朝一日可能会导致制定政策,甚至可能制定整个行业的监管标准,有趣的是,随着全球大流行的开始,形势发生了巨大变化。随着员工在今年早些时候过渡到远程工作,许多组织别无选择,只能做出安全性让步,安全和运营团队努力制定了一项计划,以在这些新情况下保护设备的安全,同时还面临着成功的网络攻击的急剧增加,正如成功的勒索软件攻击的头条新闻所证明的那样(仅举一个例子)。
绝大多数开发团队已经准备好过渡到完全远程的工作文化
实际上开发团队的远程工作并不是什么新鲜事,通过协作工具,远程存储库等,创新得以继续,借助可以直接插入开发环境的安全工具,安全性实际上已经在编码过程中被内置到了软件中,变化是不变的,随着开发速度的提高,随着万物互联的不断发展,将安全性注入到流程中变得至关重要,这是构建坚固,可靠安全的软件的前进之路,该软件可为IoT及以后的产品提供支持。
商业联合会数据分析专业委员会
京公网安备 11010502034401号
课程体系 
试听申请 
复听申请 
在线报名 
考试大纲 
考试报名 
准考证打印 
