保护物联网是一项多方面的工作,需要大动作和小调整以确保网络、系统、数据和设备受到保护。这里有7种您可能没有考虑过的安全措施。物联网(IoT)的最大问题之一是确保网络、数据和设备的安全。与物联网相关的安全事件已经发生,IT、安全和网络经理担心会发生类似事件是正确的。“除了最严格的环境之外,你将拥有物联网设备,”安全标准和保证公司HITRUST的标准副总裁兼首席信息安全官JasonTaule说。“问题是你将如何让这些设备连接到你的网络、系统和数据并与之交互。”ITIC负责人LauraDiDio表示,组织可以采取哪些措施来增强物联网安全性?有很多选择,包括一些可能不那么明显的选择。为了在物联网中构建更好的安全性,组织应该从其网络基础设施的最小组件开始,一家运行IoT源代码安全测试的研究和咨询公司。“大多数IoT设备都非常小,”DiDio说,“因此,源代码倾向于使用通用语言编写——C、C++和C#——-这些语言经常成为内存泄漏和缓冲区溢出漏洞等常见问题的牺牲品。这些问题相当于网络感冒。DiDio说,就像普通感冒一样,它们很讨厌而且会持续很长时间。“在物联网环境中,它们可以扩散并成为一个经常被忽视的巨大安全问题,”她说。“这里最好的防御就是测试、测试和重新测试。”备受赞誉的物联网设备测试工具。安全和IT管理员也可以使用堆栈cookie,DiDio说。这些是随机的数据字符串,应用程序将它们写入指令指针寄存器之前的堆栈中,如果发生缓冲区溢出,数据将溢出到堆栈中。“如果确实发生缓冲区溢出,堆栈cookie将被覆盖,”她说。应用程序将被进一步编码以验证堆栈cookie字符串将继续与代码最初编写的方式相匹配。如果堆栈cookie不匹配,则应用程序终止。部署访问控制在物联网环境中控制访问是公司在连接资产、产品和设备时面临的最大安全挑战之一。这包括控制连接对象本身的网络访问。咨询公司IPArchitects总裁兼物联网安全专家约翰·皮隆蒂(JohnPironti)表示,组织应首先确定哪些行为和活动对于物联网环境中的互联事物而言是可接受的,然后在不阻碍流程的情况下实施控制措施。.“不要使用单独的VLAN(虚拟LAN)或网段,这会限制和削弱物联网设备,”Pironti说。相反,在整个网络中实施上下文感知访问控制以允许适当的操作和行为,不仅在连接级别,而且在命令和数据传输级别。”Pironti说这将确保设备按预期运行,同时还限制了其执行恶意或未经授权活动的能力。他说:“该过程还建立了预期行为的基线,然后可以对其进行记录和监控,以识别预期行为可接受范围之外的异常或活动。”满足安全标准的设备肯定会雇用各种服务的提供商,这些服务在某些情况下是通过放置在客户场所的设备来提供的。在物联网时代,机器很可能被连接起来,因此容易受到黑客攻击和其他入侵“合同是一个起点,”安全咨询公司SideChannelSec的合伙人BrianHaugli说。d保险公司HanoverInsuranceGroup的前安全主管。作为他们的服务或解决方案的一部分被推入您的企业?如果是这样,你必须理解它并理解它是合同/购买的一部分。”Haugli说,确保明确谁负责设备的更新和生命周期,以及在发生事故时您是否能够访问这些设备。“我看到暖通空调(供暖、通风和空调)和打印机公司没有放弃访问权限,拖延了响应,”他说。“这些供应商推迟了对操作系统的日常修补责任或升级。”Haugli说,在某些情况下,合同可能不会指定客户何时购买带有受支持操作系统的新设备,并且供应商可能不愿意承担费用。因此,不受支持和易受攻击的设备可能会被允许在网络上驻留的时间比其应有的时间长得多。“如果我们不向供应商阐明我们的要求,采取措施确认合规性,并追究他们的责任,我们为什么要指望这些问题得到解决?”托尔说。“正如硬件原始设备制造商和软件公司现在希望承担起识别并迅速解决其产品弱点的责任,为我们提供IP摄像机、医疗设备、打印机、无线接入点、冰箱的公司也应该如此,”Taule说,公司应将通用安全框架中概述的控制措施应用于物联网设备。例如,在合同中包括安全功能要求;请求最近的漏洞扫描或声称有权自行进行扫描;供应商有义务及时提供更新以解决发现缺陷;固件更新后重新扫描设备,以确保发现的问题已经解决,没有引入新的问题。到物联网安全。“他们像造假者和造假者一样不断提高自己的游戏水平,”DiDio说d.“物联网设备的指数级增长意味着攻击面或攻击向量呈指数级增长。”因此,企业及其安全和IT部门必须验证与之通信的物联网设备的身份,并确保它们的关键通信、软件更新和下载是合法的。DiDio说,所有物联网设备都必须有一个独特的身份。如果没有唯一身份,组织很容易受到从微控制器级别到网络边缘再到应用程序和传输层的端点设备的欺骗或黑客攻击,她说。不要让物联网设备发起网络连接Pironti说,公司应该限制物联网设备发起网络连接的能力,并且只使用网络防火墙和访问控制列表连接到它们。“通过建立一种单向信任原则,物联网设备将永远无法启动与内部系统的连接,这将限制攻击者将它们用作跳转点来探索和攻击网段的能力,”Pironti说。Pironti说,虽然这不会阻止对手攻击直接连接到他们的系统,但会限制他们在网络内横向移动的能力。Pironti说,企业还可以强制与物联网设备的连接通过跳转主机或网络代理。“通过在漏斗点代理连接,组织可以在进入或退出物联网设备之前更有效地检查网络流量和查询流量,”他说。这使它能够确定它承载的流量和有效载荷是否适合接收或传输物联网设备。为物联网提供自己的网络许多类型的控制设备,例如恒温器和照明控制,都可以无线连接。然而,大多数企业无线网络都需要WPA2-Enterprise/802.1x,电气承包商RosendinElectric的网络安全和合规高级主管JamesMcGibney说。“这些设备中的大多数都不支持WPA2-Enterprise,”McGibney说。“开发更安全的设备将是最理想的。但是,如果环境支持,你可以将这些设备放在它们自己的无线网络上,与生产网络隔离,只允许互联网访问,”McGibney说。需要创建一个单独的服务集标识符(SSID)和VLAN,以便能够通过防火墙路由流量。他说,孤立的无线网络将在一个集中位置进行配置和管理。“我们已经用某些设备做到了这一点,比如需要互联网访问的自动售货机,我们无法控制,”McGibney说。“我们将它们放在与生产隔离的访客网络上。”他说,它在相同的硬件上运行,但在单独的VLAN上。将安全纳入供应链物联网工作通常涉及供应链中的多个合作伙伴,包括技术供应商、供应商和客户,安全必须考虑到这一点。“如果您还没有这样做,请查看您组织中管理供应链的合同、财务或任何其他部门,”Taule说。“开始对话并与他们建立关系,除非获得安全团队的批准,否则不要批准任何物联网。买。”Taule表示,如果安全部门愿意承担分析的重任,他们会合作。Taule说,如何最好地加强供应链供应商选择过程完全取决于各个组织,但他建议考虑允许独立验证的制造商;提倡在设备端使用写保护开关,这样固件就不会在您不知情的情况下被写入。更新以防万一;只买正品,不买假货。
