物聯(lián)網(wǎng)給企業(yè)帶來的七大風險
2016年4月22日 來源:防爆云平臺--防爆產(chǎn)業(yè)鏈一站式O2O服務平臺 防爆電氣���、防爆電機�����、防爆通訊����、防爆空調(diào) 瀏覽 2477 次 評論 0 次
目前,隨著物聯(lián)網(wǎng)(IoT)的發(fā)展��,從手機和汽車到冰箱和燈開關�,幾乎所有的電子設備都可以連接到互聯(lián)網(wǎng)。現(xiàn)在連接到互聯(lián)網(wǎng)的設備數(shù)量正在迅速增長����,預計到2020年,這個數(shù)字將達到500億���。
但是��,雖然物聯(lián)網(wǎng)看起來很有創(chuàng)意而且很方便�����,但這種趨勢也帶來了安全風險�����,企業(yè)和消費者都將不可避免地要面對這些風險�。具有操作系統(tǒng)的聯(lián)網(wǎng)設備都可能受到攻擊���,所以這些設備可能會成為攻擊者入侵企業(yè)的后門����。
以下,我們將討論物聯(lián)網(wǎng)的發(fā)展情況���,并探討企業(yè)應該如何應對物聯(lián)網(wǎng)設備帶來的安全風險。
什么是IoT?為什么它越來越受歡迎?
IoT的概念正在迅速遍及整個社會�,它幾乎可以改善每個人的生活和每個企業(yè)的運作。這給企業(yè)創(chuàng)造了巨大的機會來開發(fā)新的服務和產(chǎn)品�,從而為其客戶提供更多的便利,并提高他們的滿意度�����。
而在用戶方面��,谷歌公司近宣布正在與主流汽車制造商(奧迪��、通用汽車和本田)合作����,將連接Android的汽車推向市場。目前���,谷歌公司正在 開發(fā)一款新的Android平臺���,用以連接汽車到互聯(lián)網(wǎng)����?����?赡懿痪靡院?���,汽車車主將能夠從計算機或者智能手機鎖定或者解鎖其車輛、啟動發(fā)動機甚至監(jiān)控車輛 性能�����。
除了給個人用戶帶來的這些好處��,IoT設備還能夠給企業(yè)帶來巨大優(yōu)勢�����,企業(yè)移動管理就是一個很好的例子���。想象一下��,快遞到企業(yè)的每個包裹附帶內(nèi) 置RFID芯片��,該芯片可以連接到企業(yè)的網(wǎng)絡�,并關聯(lián)到相關物流系統(tǒng)?����;蛘咴卺t(yī)療環(huán)境�����,檢查室的每臺儀器都連接到網(wǎng)絡����,并傳輸傳感器收集的病人數(shù)據(jù)����。在養(yǎng) 殖業(yè)方面也有優(yōu)勢,試想一下���,對每個動物進行數(shù)字化跟蹤����,以監(jiān)視其位置、健康情況和行為����。IoT的潛能是無限的,可連接到互聯(lián)網(wǎng)的設備數(shù)量也是無限的���。
但是�����,在IoT帶來優(yōu)勢的同時���,也帶來了很多風險。連接到互聯(lián)網(wǎng)的任何設備都有嵌入式操作系統(tǒng)部署在其固件中�����,由于嵌入式操作系統(tǒng)通常沒有將安 全性作為首要考慮因素����,所以幾乎所有這種操作系統(tǒng)都存在漏洞,針對Android設備的惡意軟件數(shù)量就是的例子����。類似威脅也可能在IoT設備間傳播�����。
企業(yè)和用戶必須準備好應對IoT的諸多風險問題����。下面列出了物聯(lián)網(wǎng)領域?qū)⒚鎸Φ钠邆€風險問題����,并提出了可以幫助企業(yè)應對這些風險的建議。
1.破壞性攻擊和拒絕服務攻擊
為了避免潛在的運行故障和企業(yè)服務中斷���,企業(yè)的重點工作是確保IoT設備的持續(xù)可用性��。即使是增加新終端到網(wǎng)絡這樣看似簡單的過程(特別是采用 機器對機器通信的自動設備,例如幫助運行電站或建立環(huán)境控制的設備)����,企業(yè)都必須關注針對這些部署在遠程位置的設備的物理攻擊。這將要求企業(yè)加強物理安全 以防止對安全外圍之外的設備的未經(jīng)授權訪問�。
破壞性網(wǎng)絡攻擊(例如拒絕服務攻擊)可能為企業(yè)帶來嚴重后果。如果數(shù)千臺IoT設備試圖訪問企業(yè)網(wǎng)站或者數(shù)據(jù)feed��,而發(fā)現(xiàn)其不可用時���,企業(yè)曾經(jīng)滿意的客戶將會感到不滿���,這會導致企業(yè)收入損失�、客戶不滿��,還可能影響企業(yè)在市場的聲譽�����。
IoT面臨的很多挑戰(zhàn)與攜帶自己設備到工作場所趨勢的挑戰(zhàn)很類似��。管理丟失或被盜設備的功能(無論是遠程擦除還是至少禁用其連接)對于處理受攻 擊IoT設備是關鍵因素��。部署這種企業(yè)戰(zhàn)略將能夠幫助減小企業(yè)數(shù)據(jù)落入壞人之手后的風險�。其他管理BYOD的政策也會有所幫助。
2.了解漏洞的復雜性
去年����,一個未知攻擊者利用了流行的聯(lián)網(wǎng)嬰兒監(jiān)視器中的已知漏洞來窺探一個兩歲小孩。這個事件表明��,IoT可能給企業(yè)和消費者帶來巨大的風險�。另 一個更具戲劇性的例子是,想象一下,使用溫控器等簡單IoT設備來操作核電廠的溫度讀數(shù)���。如果攻擊者攻擊了該設備��,后果可能是災難性的��。因此�,了解這些復 雜儀表的漏洞所在及其構成的威脅嚴重性�,是非常重要的工作。為了降低這種風險�,任何涉及IoT設備的項目都必須在設計中考慮安全因素,并部署安全控制�,以 及利用預先建立的基于角色的安全模型。由于這些設備可能涉及企業(yè)可能從未見過的硬件�、平臺和軟件,漏洞的類型也可能也不同于企業(yè)先前面對的漏洞���。企業(yè)絕對 不要低估IoT設備可能帶來的風險���。
3.IOT漏洞管理
在IoT環(huán)境的另一大挑戰(zhàn)是����,弄清楚如何快速修復IoT設備漏洞以及如何優(yōu)先排序漏洞修復工作。
由于大多數(shù)IoT設備需要固件升級來修復漏洞,遠程完成修復工作將變得復雜�����。例如����,如果打印機需要固件升級,IT部門不太可能像在服務器或桌面系統(tǒng)那樣快速地安裝補丁;升級自定義固件通常需要額外的時間和精力�。
同樣具有挑戰(zhàn)性的是,如何處理IoT設備首次使用時提供的默認登錄憑證����。通常情況下,無線接入點或打印機等設備會使用已知的管理員ID和密碼����。 此外,設備可能提供一個內(nèi)置web服務器�����,允許管理員遠程連接�����、登錄和管理設備。然而�����,這是一個巨大的漏洞����,可能讓IoT設備落入攻擊者的手中。對于這個 問題��,企業(yè)需要制定嚴格的調(diào)試過程����,還需要創(chuàng)造一個開發(fā)環(huán)境來測試和掃描設備的初始配置,以發(fā)現(xiàn)其中的漏洞���,并在設備轉(zhuǎn)移到生產(chǎn)環(huán)境之前解決這些問題��。同 時�,這還需要合規(guī)團隊來確認設備已經(jīng)可用于生產(chǎn)環(huán)境��,定期測試安全控制�����,并確保密切監(jiān)測和控制對設備的任何更改���,還有及時解決任何發(fā)現(xiàn)的操作漏洞�。
4.確定和部署安全控制
在IT世界���,冗余性是關鍵;如果一個產(chǎn)品故障了���,另一個產(chǎn)品應該能夠接替它。分層安全概念的工作原理與之類似��,但這取決于企業(yè)如何分層安全和冗 余性來管理IoT風險��。例如�����,在醫(yī)療保健行業(yè)���,醫(yī)療設備不僅可以監(jiān)控病人的健康狀態(tài)����,還能夠基于設備執(zhí)行的分析來配藥�。我們也不難想象到��,如果這些設備遭 受攻擊���,后果將多么嚴重。
企業(yè)所面臨的挑戰(zhàn)在于�����,對于這些新興的聯(lián)網(wǎng)設備����,哪些位置需要安全控制,以及如何部署有效地控制�����。鑒于這些設備的多樣性���,企業(yè)將需要進行自定義 風險評估,以發(fā)現(xiàn)有哪些風險以及如何控制這些風險�,這種風險評估通常需要依賴于第三方的專業(yè)技術���。這里一個有趣的例子是�,前副總統(tǒng)Dick Cheney因擔心恐怖分子會入侵他體內(nèi)植入的醫(yī)用心臟除顫器實施致命電擊����,而關閉了該除顫器的遠程連接功能�。遺憾的是,大多數(shù)企業(yè)無法讓這些設備離線�����。 在所有情況下���,擁抱IoT趨勢的企業(yè)必須定義自己的信息安全控制來確保對IoT的可接受的充分的保護����。隨著這種趨勢的日趨成熟���,行業(yè)專業(yè)人士肯定會開發(fā)出 做法��。
5.滿足對安全分析功能的需求
對于連接到互聯(lián)網(wǎng)的各種新的Wi-Fi設備,企業(yè)將需要收集�、匯總�、處理和分析海量數(shù)據(jù)���。雖然企業(yè)會在這些數(shù)據(jù)中發(fā)現(xiàn)新的商業(yè)機會����,但這也意味著新的風險��。
企業(yè)必須能夠識別IoT設備上的合法和惡意流量模式。例如,如果企業(yè)試圖下載看似合法的應用到其智能手機�����,而其實該應用包含惡意軟件��,企業(yè) 部署可操作的威脅智能措施來發(fā)現(xiàn)這種威脅。分析工具和算法不僅能夠檢測惡意活動,而且還能夠提高客戶的支持力度���,以及改進提供給客戶的服務。
為了迎接這些挑戰(zhàn)��,企業(yè)必須構建正確的工作和流程以提供足夠的安全分析功能。
6.模塊化硬件和軟件組件
在IoT的各個方面都應該考慮和部署安全性���,從而更好地控制聯(lián)網(wǎng)設備的部件和模塊����。企業(yè)還應該預計到���,攻擊者會試圖破壞IoT設備的供應鏈�����,植 入惡意代碼和其他漏洞��,并在設備部署在企業(yè)環(huán)境后利用它們發(fā)動攻擊���。企業(yè)可能還有必要為IoT設備采用Forrester Zero Trust等安全模型�。
如果可能的話�,企業(yè)還應該隔離這些設備到其自身的網(wǎng)段或vLAN��。此外�,微內(nèi)核或管理程序等技術可與嵌入式系統(tǒng)結(jié)合使用����,以在安全泄露事故中隔離系統(tǒng)。
7.快速增加的帶寬需求
根據(jù)Palo Alto公司進行的一項研究顯示�����,在2011年11月和2012年5月之間,在該供應商監(jiān)測的網(wǎng)絡中�����,網(wǎng)絡流量增加了700%,這主要歸功于流媒體�����、P2P應用和社交媒體�。隨著越來越多的設備連接到互聯(lián)網(wǎng)�����,這一數(shù)字還將繼續(xù)增加。
然而�,對互聯(lián)網(wǎng)的需求增加可能會提高業(yè)務連續(xù)性風險。如果關鍵應用不能獲得其所需的帶寬����,消費者將獲得糟糕的體驗,員工工作效率會受到影響���,企業(yè)盈利能力也可能會下降�����。
為了確保服務的高可用性�,企業(yè)必須考慮增加帶寬以及提高流量管理和監(jiān)控���。這不僅將降低業(yè)務連續(xù)性風險���,還可以防止?jié)撛诘膿p失。此外���,從項目規(guī)劃的角度來看����,企業(yè)需要進行容量規(guī)劃,并檢查網(wǎng)絡的增長速度����,以確保滿足快速增長的帶寬要求。
物聯(lián)網(wǎng)給消費者以及企業(yè)帶來了巨大的潛力�����,但同時也帶來了風險����。信息安全企業(yè)必須開始準備從保護個人電腦、服務器、移動設備和傳統(tǒng)IT基礎設 施���,過渡到管理更廣泛的互連設備��,包括可穿戴設備���、傳感器和我們目前無法預見到的技術。企業(yè)安全團隊現(xiàn)在應該采取措施來研究安全做法以保護這些新興設 備��,并且�����,隨著這些設備進入企業(yè)網(wǎng)絡進行機器對機器通信�����、海量數(shù)據(jù)收集和很多其他用途�,企業(yè)必須準備更新風險矩陣和安全政策。企業(yè)內(nèi)增加的復雜性不容忽 視��,同時�����,為了在日益互連的數(shù)字世界確保基本的機密性��、完整性和可用性�����,威脅建模將是關鍵����。
|
豫公網(wǎng)安備41130202000490號
| 豫ICP備19015714號-1
(版權所有 防爆云平臺 © Copyright 2009 - 2024 . All Rights Reserved.)
網(wǎng)絡警察提醒你
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
掃黃打非網(wǎng)舉報專區(qū)
