侵权投诉
订阅
纠错
加入自媒体

加强物联网安全的7个步骤

2019-07-02 14:16
来源: IT168

确保物联网的安全是一项多方面的工作,需要大动作和小调整,以确保网络、系统、数据和设备受到保护。下面是您可能没有考虑过的7种安全实践。

物联网最大的问题之一是确保网络、数据和设备的安全。与IOT相关的安全事件已经发生,IT、安全和网络管理人员担心类似的事件会发生是有道理的。

安全标准和保证公司HITRUST负责标准和CISO的副总裁Jason Taule说:“除了最严格的环境之外,所有环境中都将有物联网设备。”“接下来的问题不是是否允许,而是如何允许这些设备连接到您的网络、系统和数据,并与之交互。”

组织可以做些什么来增强物联网的安全性?有很多选择,包括一些可能不那么明显的实践。

物联网安全:从小处着手

研究和咨询公司ITIC的负责人Laura DiDio说,为了在物联网中构建更好的安全性,组织应该从网络基础设施中最小的组件开始——代码。

“大多数物联网设备都非常小,”DiDio说。“因此,源代码往往是用通用语言编写的——C或c++和c#语言,这些语言经常成为内存泄漏和缓冲区溢出漏洞等常见问题的受害者。这些问题相当于网络上的普通感冒。”

DiDio说,就像普通的感冒一样,它们讨厌而且顽固。她说:“在物联网环境中,它们可能会扩散,成为一个大的、常常被忽视的安全问题。”“这里最好的防御就是测试,测试,再测试。DiDio说:“市场上有很多被广泛认可的测试工具已经被用于物联网设备。

“安全和IT管理员也可以使用堆栈cookie” DiDio说。这些是随机的数据字符串,应用程序被编码在指令指针寄存器之前写入堆栈,如果发生缓冲区溢出,数据将溢出到指令指针寄存器。“一旦缓冲区溢出发生,堆栈cookie就会被覆盖,”她说。应用程序将进一步编码,以验证堆栈cookie字符串将继续匹配最初编写代码的方式。如果堆栈cookie不匹配,应用程序将终止。

部署上下文感知的访问控件

控制物联网环境中的接入是企业在连接资产、产品和设备时面临的较大安全挑战之一。这包括控制连接对象本身的网络访问。

组织应首先确定物联网环境中被联系事物认为可接受的行为和活动,然后实施控制措施以解决这一问题但同时不妨碍流程,咨询公司总裁、IP架构师和物联网安全专家John Pironti说。

Pironti说:“不要使用单独的VLAN(虚拟LAN)或网络段,这会限制和削弱物联网设备,而是在整个网络中实现上下文感知的访问控制,允许适当的操作和行为,不仅在连接级别,而且在命令和数据传输级别。”

Pironti说,这将确保设备能够按计划运行,同时限制它们进行恶意或未经授权活动的能力。他说:“这个过程还可以建立一个预期行为的基线,然后可以对其进行记录和监控,以识别超出预期行为的异常或活动,使其达到可接受的阈值。”

让供应商对他们的物联网设备负责

组织当然会雇佣各种各样的服务提供者,在某些情况下,这些服务是通过放置在客户场地上的设备提供的。在物联网时代,机器很有可能被连接起来,因此容易受到黑客和其他入侵。

如果出了什么问题,客户要确保有责任。

安全咨询公司SideChannelSec合伙人、保险公司汉诺威保险集团(Hanover Insurance Group)前安全高管Brian Haugli表示:“首先要从合同内部着手。”“你的供应商是否正在把物联网作为他们服务或解决方案的一部分推进你的企业?”如果是这样,你必须了解它,并确保它是合同/采购的一部分。”

Haugli说,要确保弄清楚谁负责更新和设备的生命周期,以及在发生事故时你是否有权使用这些设备。他说:“我看到HVAC(采暖、通风和空调)和打印机公司没有放弃接入,导致响应工作陷入停滞。”“同样是这些供应商,他们会推迟对操作系统的例行修补职责或升级。”

Haugli说,在某些情况下,合同可能没有规定客户什么时候会购买带有支持操作系统的新设备,供应商可能不愿承担成本。因此,一个不受支持且易受攻击的设备可以被允许在网络上驻留的时间比它应该驻留的时间长得多。

“如果我们没有向供应商阐明我们的需求,没有采取步骤来确认遵从性,也没有追究他们的责任,那么我们有什么基础来期待这些问题得到解决呢?”Taule说。”就像硬件OEM和软件公司现在都希望能够确定并快速解决其产品中的弱点一样,公司也应该为我们提供IP摄像机、医疗设备、打印机、无线接入点、冰箱、环境控制和无数我们越来越依赖的其他物联网设备。”

Taule说,公司应该将通用安全框架中列出的控制应用于物联网设备。例如,在合同中包含安全功能需求;要求最近的漏洞扫描或声称有权扫描他们自己;要求供应商提供及时的更新,以解决已识别的缺陷;并在固件更新后重新扫描设备,以确保已识别的问题已得到解决,且没有新问题出现。

1  2  下一页>  
声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号