增強物聯網安全性的7個步驟

確保物聯網的安全是一項多方面的努力，需要大動作和小調整，以確保網路、系統、資料和裝置得到保護。以下是你可能沒有考慮過的7種安全措施。

物聯網(iot)最大的問題之一是確保網路、資料和裝置的安全。物聯網相關安全事件已經發生，it、安全和網路管理人員擔心類似事件會發生是有道理的。

安全標準和保證公司hitrust的標準和ciso副總裁jason taule說：「除了最嚴格的環境之外，在所有環境中，你都將擁有物聯網裝置。」「問題在於您將如何允許這些裝置連線到您的網路、系統和資料並與之互動。」

組織可以做些什麼來增強物聯網的安全性?有很多選擇，包括一些可能不那麼明顯的做法。

執行物聯網源**安全測試

研究和諮詢公司itic的負責人laura didio說，為了在iot中建立更好的安全性，組織應該從其網路基礎結構中最小的元件開始。

「大多數物聯網裝置都非常小，」didio說。「因此，源**往往是用通用語言——c、c++和c#語言編寫的，這些語言經常會成為記憶體洩漏和緩衝區溢位漏洞等常見問題的受害者。這些問題就相當於網路上的感冒。」

didio說，就像普通感冒一樣，它們令人討厭且持久。她說：「在物聯網環境中，它們會激增並成為乙個經常被忽視的安全大問題。」「這裡最好的防禦方法是測試、測試和重新測試。」 didio說，市場上有許多用於物聯網裝置的備受好評的測試工具。

didio說，安全和it管理員也可以使用堆疊cookie。這些是隨機資料字串，應用程式對其進行了編碼，以將它們寫入指令指標暫存器之前的堆疊中，如果發生緩衝區溢位，則資料將溢位到堆疊中。她說：「如果確實發生緩衝區溢位，則堆疊cookie將被覆蓋。」應用程式將進一步編碼，以驗證堆疊cookie字串將繼續與最初編寫**的方式匹配。如果堆疊cookie不匹配，則應用程式終止。

部署訪問控制

在連線資產、產品和裝置時，在物聯網環境中控制訪問是公司面臨的最大安全挑戰之一。這包括控制連線物件本身的網路訪問。

諮詢公司ip architects的總裁、物聯網安全專家john pironti說，組織應首先確定物聯網環境中的互聯事物認為可以接受的行為和活動，然後採取控制措施，做到這一點，但同時又不妨礙流程。

pironti說:「不要使用單獨的vlan(虛擬lan)或網路段，這可能會限制和削弱物聯網裝置。而是在整個網路中實施上下文感知的訪問控制，以允許適當的動作和行為，不僅在連線級別，而且在命令和資料傳輸級別。」

pironti說，這將確保裝置能夠按計畫執行，同時還限制了其執行惡意或未經授權的活動的能力。他說：「該過程還可以建立預期行為的基準，然後可以對其進行記錄和監視，以識別超出預期行為的可接受範圍內的異常或活動。」

要求物聯網裝置滿足安全標準

組織當然會僱傭各種各樣的服務提供者，在某些情況下，這些服務是通過放置在客戶場所的裝置提供的。在物聯網時代，機器很有可能被連線起來，因此很容易受到黑客攻擊和其他入侵。

安全諮詢公司sidechannelsec的合夥人，保險公司漢諾瓦保險集團(hanover insurance group)的前安全主管布萊恩·豪格裡(brian haugli)說：「合同是乙個起點。」「您的**商是否將物聯網作為其服務或解決方案的一部分推入您的企業? 如果是這樣，您必須了解它，並了解它是合同/採購的一部分。」

haugli說，請確保清楚由誰負責裝置的更新和生命週期，以及在發生事故時你是否能訪問這些裝置。他說：「我看到暖通空調(heating，ventural，and air conditioning)和印表機公司沒有放棄接入，導致響應工作停滯。」。「這些廠商會推遲對作業系統的日常修補責任或公升級」。

haugli說，在某些情況下，合同可能不會明確規定客戶何時會購買帶有支援作業系統的新裝置，而**商可能不願承擔成本。因此，乙個不受支援且易受攻擊的裝置可能被允許在網路上駐留的時間遠遠超過它應該駐留的時間。

「如果我們不向**商闡明我們的要求，不採取措施確認合規性，也不追究他們的責任，我們有什麼理由期待這些問題得到解決?」taule說。「正如硬體原始裝置製造商和軟體公司現在都希望承擔責任，找出並迅速解決其產品的弱點一樣，為我們提供ip攝像機、醫療裝置、印表機、無線接入點、冰箱的公司也應承擔責任。」

taule說，公司應該將通用安全框架中列出的控制方法應用到物聯網裝置上。例如，在合同中包含安全功能需求;請求最近的漏洞掃瞄或主張自己進行掃瞄的權利;**商有義務提供及時的更新以解決發現的缺陷;在韌體更新後重新掃瞄裝置，以確保已發現的問題已經解決，並且沒有引入新的問題。

防禦物聯網身份欺騙

這些年來，黑客和他們的技術已經變得越來越熟練，這可能是物聯網安全的一大威脅。

「他們不斷像造假者和偽造者一樣提高自己的遊戲水平，」 didio說。「物聯網裝置的指數級增長意味著攻擊面或攻擊媒介呈指數級增長。」

didio說，所有物聯網裝置都必須具有唯一身份。她說，在沒有唯一身份的情況下，組織很容易受到從微控制器級別到網路邊緣到應用程式和傳輸層的端點裝置的欺騙或黑客攻擊。

不要讓物聯網裝置啟動網路連線

pironti說，公司應該限制iot裝置啟動網路連線的能力，而只能使用網路防火牆和訪問控制列表連線到它們。

pironti說：「通過建立單向信任原則，物聯網裝置將永遠無法啟動到內部系統的連線，這將限制攻擊者利用它們作為跳轉點來探索和攻擊網路段的能力。」。

pironti說，雖然這並不能阻止對手攻擊與他們直接建立連線的系統，但會限制他們在網路內橫向移動的能力。

pironti說，企業還可以強制與iot裝置的連線通過跳轉主機或網路**。他說：「通過在漏斗點**連線，組織可以在進出iot裝置之前檢查網路流量，並更有效地查詢流量。」這使它能夠確定其承載的流量和有效載荷是否適合於要接收或傳輸的iot裝置。

為物聯網提供自己的網路

許多態別的控制裝置(例如恆溫器和照明控制項)通過無線連線。然而，大多數企業無線網路都需要wpa2-enterprise / 802.1x，電氣承包商rosendin electric網路安全和合規性高階總監james mcgibney說。

「大多數這些裝置不支援wpa2-enterprise，」mcgibney說。「開發一種更安全的裝置將是理想的。但是，如果環境支援，你可以把這些裝置放在它們自己的無線網路上，與生產網路隔離開，並且僅允許internet訪問。」

mcgibney說，這將需要建立乙個單獨的服務集識別符號(ssid)和虛擬區域網，並具有通過防火牆路由流量的能力。他說，隔離的無線網路將在乙個集中的位置配置和管理。

mcgibney說：「我們已經對某些裝置進行了此操作，例如需要internet訪問的自動售貨機，我們無法控制這些裝置。」「我們將它們放置在訪客網路中，該訪客網路與生產隔離。」他說，它在相同的硬體上執行，但在單獨的vlan上。

將安全性納入**鏈

物聯網工作通常涉及到**鏈中的多個合作夥伴，包括技術**商、**商和客戶，安全性必須考慮到這一點。

taule說：「如果您還沒有這樣做，請查閱合同，財務或組織中管理**鏈的任何其他部門。」「開始對話並與他們建立關係，除非獲得安全團隊的同意，否則不批准任何物聯網購買。」

taule說，如果安全部門願意承擔分析工作的重擔，這些部門會積極配合。

taule說，如何最好地增強**鏈**商的選擇過程完全取決於各個組織，但他建議考慮允許獨立驗證的製造商;提倡在裝置端設定寫保護開關，這樣韌體就不會在您不知情的情況下更新;只買**，不買仿冒品。

增強物聯網安全性的7個步驟

增強SSH安全性的7 條技巧

通過可見性逆轉物聯網安全性的7款工具

增強DNS安全性的措施

增強物聯網安全性的7個步驟

增強SSH安全性的7 條技巧

通過可見性逆轉物聯網安全性的7款工具

增強DNS安全性的措施

相關推薦