保护物联网是一项多方面的工作,需要大动作和小调整,以确保网络、系统、数据和设备受到保护。以下是您可能没有考虑过的7种安全做法。物联网最大的担忧之一是保护网络、数据和设备。与物联网相关的安全事件已经发生,IT、安全和网络管理人员担心会发生类似事件是正确的。安全标准和保证公司HITRUST的标准副总裁兼首席信息安全官JasonTaule表示:“除了最严格的环境外,所有环境中都会有物联网设备。”“下一个问题不是是否允许,而是如何允许。”这些设备连接到您的网络、系统和数据并与之交互。”组织可以做什么来增强物联网安全性?有很多选择,包括一些可能不太明显的做法。1.物联网安全:从小做起研究和咨询公司ITIC的负责人LauraDiDio表示,要在物联网中构建更好的安全性,组织应该从网络基础设施的最小组件——代码开始。“大多数物联网设备都非常小,”DiDio说。“因此,源代码往往是用通用语言编写的——C或C++和C#——这些语言经常成为内存泄漏和缓冲区溢出漏洞等常见问题的受害者。这些问题相当于网络上的普通感冒。”DiDio说,就像普通感冒一样,它们既讨厌又顽固。“在物联网环境中,它们可以扩散并成为一个大的、经常被忽视的安全问题,”她说。“这里最好的防御就是测试、测试、再测试。市场上有很多,”DiDio说。广泛认可的测试工具已经用于物联网设备。“安全和IT管理员也可以使用堆栈cookie,”DiDio说。这些是随机的数据串,应用程序被编码为在指令指针寄存器之前写入堆栈,如果发生缓冲区溢出,数据将溢出到指令指针寄存器。“一旦发生缓冲区溢出,堆栈cookie就会被覆盖,”她说。应用程序将被进一步编码以验证堆栈cookie字符串将继续与代码最初编写的方式相匹配。如果堆栈cookie不匹配,应用程序将终止。2.部署上下文感知访问控制物联网环境中的访问控制是企业在连接资产、产品和设备时面临的最大安全挑战之一。这包括控制连接对象本身的网络访问。该咨询公司总裁、IP架构师和物联网安全专家约翰·皮隆蒂(JohnPironti)表示,组织应首先确定哪些行为和活动被认为对于物联网环境中的互联事物是可接受的,然后实施控制以在不阻碍流程的情况下解决这个问题。“与其使用会限制和削弱物联网设备的单独VLAN(虚拟局域网)或网段,不如在整个网络中实施上下文感知访问控制,允许适当的操作和行为,而不仅仅是在连接级别,”Pironti说,而且在命令和数据传输级别。”Pironti表示,这将确保设备按预期运行,同时限制它们从事恶意或未经授权活动的能力。“这个过程还建立了预期行为的基线,然后可以记录和监控该基线,以识别预期行为之外的异常或活动,并将其提高到可接受的阈值,”他说。物联网设备负责组织当然会雇用各种服务提供商,在某些情况下,这些服务是通过放置在客户场所的设备提供的。在物联网时代,机器很可能被连接起来,因此容易受到黑客攻击和其他入侵。如果出现问题,客户有责任确保。“首先从合同内部开始,”安全咨询公司SideChannelSec的合伙人、保险公司HanoverInsuranceGroup的前安全主管BrianHaugli说。“您的供应商是否将物联网视为他们的服务或解决方案?推进业务的一部分?”如果是这样,您必须了解它并确保它是合同/采购的一部分。Haugli说,确保弄清楚谁负责设备的更新和生命周期,以及在发生事故时您是否有权访问它。“我看到HVAC(供暖、通风和空调)和打印机公司没有放弃访问权限,导致响应工作停滞不前。”这些供应商将推迟例行的修补工作或操作系统升级。Haugli说,在某些情况下,合同可能没有具体说明客户何时购买带有受支持操作系统的新设备,供应商可能不愿意承担这笔费用。因此,可以利用不受支持且易受攻击的设备。允许在网络上驻留的时间比它应该的长得多。“如果我们没有向供应商阐明我们的需求,采取措施确认合规性,并追究他们的责任,我们有什么基础可以期望这些问题得到解决?”托尔说。“正如硬件OEM和软件公司现在希望能够识别并快速解决其产品中的弱点一样,公司应该为我们提供IP摄像头、医疗设备、打印机、无线接入点、冰箱、环境控制和无数其他物联网我们越来越依赖的设备。”Taule表示,公司应将通用安全框架中概述的控制措施应用于物联网设备。例如,在合同中包含安全功能要求;要求最近进行漏洞扫描或声称有权自行扫描;要求供应商及时提供更新以解决已识别的缺陷;以及并在固件更新后重新扫描设备,以确保发现的问题已得到解决,并且没有出现新的问题。4.防止物联网识别欺骗这些年来,黑客及其技术越来越高明,这可能对物联网造成巨大威胁DiDio说:“他们像造假者和造假者一样不断提高自己的游戏水平。物联网设备的指数级增长意味着攻击面或攻击向量的指数级增长。”这使得企业及其安全和IT部门必须验证与其通信的物联网设备的身份,并确保它们在关键通信、软件更新和下载方面是合法的。所有物联网设备都必须具有唯一的身份,DiDio说。独特的身份,组织面临从微控制器级别到网络边缘再到应用程序和传输层的端点设备欺骗或攻击的高风险,她说。5.为物联网设备建立“单向”连接Pironti说公司应该限制??物联网设备发起网络连接的能力,应该只使用网络防火墙和访问控制列表来连接它们。“通过建立单向信任原则,物联网设备将永远无法发起与内部系统的连接,这将限制攻击者将它们用作跳转点来探索和攻击网段的能力,”Pironti说。虽然这不会阻止广告Pironti说,从与他们有直接联系的攻击系统中获取rsaries,这将限制他们在网络内横向移动的能力。Pironti说,企业还可以通过跳转主机和/或网络代理强制连接到物联网设备。“通过在漏斗点代理连接,组织可以检查网络流量并在它来自和到达IoT设备之前更有效地询问[traffic],”他说。这使它能够确定它承载的流量和有效载荷是否适合物联网设备接收或传输。6.考虑使用隔离网络,其中许多类型的控制设备(例如恒温器和照明控制)以无线方式连接。然而,大多数企业无线网络都需要WPA2-Enterprise/802.1x,电子承包商RosendinElectric的网络安全和合规高级主管JamesMcGibney说。“这些设备中的大多数都不支持WPA2-Enterprise,”McGibney说。“开发更安全的设备将是理想的选择。但是,如果环境支持,您可以将设备放在自己的无线网络上,与生产网络隔离,只允许互联网访问,”McGibney说。这需要创建一个单独的服务集标识符(SSID)和VLAN,并能够通过防火墙路由流量。他说,隔离的无线网络将从一个集中位置进行配置和管理。“我们已经为一些设备做到了这一点,比如需要互联网接入的自动售货机,但我们无法控制这些设备,”McGibney说。“我们将它们放在与生产分开的客户网络上。它在相同的硬件上运行,但在单独的VLAN上。7.将安全纳入供应链物联网通常涉及供应链中的多个合作伙伴,包括技术供应商、供应商和客户,安全必须考虑到这一点。Taule提到,如果您还没有这样做,请转到合同、财务或其他管理供应链的部门。与他们交谈开始对话,建立关系,除非安全团队同意,否则不会批准任何物联网采购。Taule说,如果安全部门愿意承担分析的重任,这些部门将积极遵守。究竟如何最好地加强供应链供应商选择过程取决于各个组织,但他建议考虑允许独立验证的制造商;在设备端推广写保护开关,以便在您不知情的情况下无法更新固件;并且只采购正品而不是假冒产品。
