销售热线:400-0875-119
销售热线:400-0978-119

消防物联网

当前位置:首页 > 新闻资讯 > 消防物联网

物联网:企业需 要面临七大风险

发布时间:2015-02-18 00:00:00

目前,随着物联网(IoT)的发展,从手机 和汽车到冰箱和灯开关,几乎所 有的电子设备都可以连接到互联网。现在连 接到互联网的设备数量正在迅速增长,预计到2020年,这个数字将达到500亿。

虽然物 联网看起来很有创意而且很方便,但这种 趋势也带来了安全风险,企业和 消费者都将不可避免地要面对这些风险。具有操 作系统的联网设备都可能受到攻击,所以这 些设备可能会成为攻击者入侵企业的后门。

以下,我们将 讨论物联网的发展情况,并探讨 企业应该如何应对物联网设备带来的安全风险。

什么是IoT?为什么 它越来越受欢迎?

IoT的概念 正在迅速遍及整个社会,它几乎 可以改善每个人的生活和每个企业的运作。这给企 业创造了巨大的机会来开发新的服务和产品,从而为 其客户提供更多的便利,并提高他们的满意度。

而在用户方面,谷歌公 司最近宣布正在与主流汽车制造商(奥迪、通用汽车和本田)合作,将连接Android的汽车推向市场。目前,谷歌公 司正在开发一款新的Android平台,用以连 接汽车到互联网。可能不久以后,汽车车 主将能够从计算机或者智能手机锁定或者解锁其车辆、启动发 动机甚至监控车辆性能。

除了给 个人用户带来的这些好处,IoT设备还 能够给企业带来巨大优势,企业移 动管理就是一个很好的例子。想象一下,快递到 企业的每个包裹附带内置RFID芯片,该芯片 可以连接到企业的网络,并关联 到相关物流系统。或者在医疗环境,检查室 的每台仪器都连接到网络,并传输 传感器收集的病人数据。在养殖 业方面也有优势,试想一下,对每个 动物进行数字化跟踪,以监视其位置、健康情况和行为。IoT的潜能是无限的,可连接 到互联网的设备数量也是无限的。

但是,在IoT带来优势的同时,也带来了很多风险。连接到 互联网的任何设备都有嵌入式操作系统部署在其固件中,由于嵌 入式操作系统通常没有将安全性作为首要考虑因素,所以几 乎所有这种操作系统都存在漏洞,针对Android设备的 恶意软件数量就是最好的例子。类似威胁也可能在IoT设备间传播。

企业和 用户必须准备好应对IoT的诸多风险问题。下面列 出了物联网领域将面对的七个风险问题,并提出 了可以帮助企业应对这些风险的建议。

1.破坏性 攻击和拒绝服务攻击

为了避 免潜在的运行故障和企业服务中断,企业的 重点工作是确保IoT设备的持续可用性。即使是 增加新终端到网络这样看似简单的过程(特别是 采用机器对机器通信的自动设备,例如帮 助运行电站或建立环境控制的设备),企业都 必须关注针对这些部署在远程位置的设备的物理攻击。这将要 求企业加强物理安全以防止对安全外围之外的设备的未经授权访问。

破坏性网络攻击(例如拒绝服务攻击)可能为 企业带来严重后果。如果数千台IoT设备试 图访问企业网站或者数据feed,而发现其不可用时,企业曾 经满意的客户将会感到不满,这会导 致企业收入损失、客户不满,还可能 影响企业在市场的声誉。

IoT面临的 很多挑战与携带自己设备到工作场所趋势的挑战很类似。管理丢 失或被盗设备的功能(无论是 远程擦除还是至少禁用其连接)对于处理受攻击IoT设备是关键因素。部署这 种企业战略将能够帮助减小企业数据落入坏人之手后的风险。其他管理BYOD的政策也会有所帮助。

2.了解漏洞的复杂性

去年,一个未 知攻击者利用了流行的联网婴儿监视器中的已知漏洞来窥探一个两岁小孩。这个事件表明,IoT可能给 企业和消费者带来巨大的风险。另一个 更具戏剧性的例子是,想象一下,使用温控器等简单IoT设备来 操作核电厂的温度读数。如果攻 击者攻击了该设备,后果可能是灾难性的。因此,了解这 些复杂仪表的漏洞所在及其构成的威胁严重性,是非常重要的工作。为了降低这种风险,任何涉及IoT设备的 项目都必须在设计中考虑安全因素,并部署安全控制,以及利 用预先建立的基于角色的安全模型。由于这 些设备可能涉及企业可能从未见过的硬件、平台和软件,漏洞的 类型也可能也不同于企业先前面对的漏洞。企业绝对不要低估IoT设备可能带来的风险。

3.IOT漏洞管理

在IoT环境的另一大挑战是,弄清楚如何快速修复IoT设备漏 洞以及如何优先排序漏洞修复工作。

由于大多数IoT设备需 要固件升级来修复漏洞,远程完 成修复工作将变得复杂。例如,如果打 印机需要固件升级,IT部门不 太可能像在服务器或桌面系统那样快速地安装补丁;升级自 定义固件通常需要额外的时间和精力。

同样具有挑战性的是,如何处理IoT设备首 次使用时提供的默认登录凭证。通常情况下,无线接 入点或打印机等设备会使用已知的管理员ID和密码。此外,设备可 能提供一个内置web服务器,允许管理员远程连接、登录和管理设备。然而,这是一个巨大的漏洞,可能让IoT设备落 入攻击者的手中。对于这个问题,企业需 要制定严格的调试过程,还需要 创造一个开发环境来测试和扫描设备的初始配置,以发现其中的漏洞,并在设 备转移到生产环境之前解决这些问题。同时,这还需 要合规团队来确认设备已经可用于生产环境,定期测试安全控制,并确保 密切监测和控制对设备的任何更改,还有及 时解决任何发现的操作漏洞。

4.确定和部署安全控制

在IT世界,冗余性是关键;如果一个产品故障了,另一个 产品应该能够接替它。分层安 全概念的工作原理与之类似,但这取 决于企业如何分层安全和冗余性来管理IoT风险。例如,在医疗保健行业,医疗设 备不仅可以监控病人的健康状态,还能够 基于设备执行的分析来配药。我们也不难想象到,如果这 些设备遭受攻击,后果将多么严重。

企业所 面临的挑战在于,对于这 些新兴的联网设备,哪些位 置需要安全控制,以及如 何部署有效地控制。鉴于这 些设备的多样性,企业将 需要进行自定义风险评估,以发现 有哪些风险以及如何控制这些风险,这种风 险评估通常需要依赖于第三方的专业技术。这里一 个有趣的例子是,前副总统DickCheney因担心 恐怖分子会入侵他体内植入的医用心脏除颤器实施致命电击,而关闭 了该除颤器的远程连接功能。遗憾的是,大多数 企业无法让这些设备离线。在所有情况下,拥抱IoT趋势的 企业必须定义自己的信息安全控制来确保对IoT的可接 受的充分的保护。随着这 种趋势的日趋成熟,行业专 业人士肯定会开发出最佳做法。

5.满足对 安全分析功能的需求

对于连 接到互联网的各种新的Wi-Fi设备,企业将需要收集、汇总、处理和分析海量数据。虽然企 业会在这些数据中发现新的商业机会,但这也 意味着新的风险。

企业必须能够识别IoT设备上 的合法和恶意流量模式。例如,如果企 业试图下载看似合法的应用到其智能手机,而其实 该应用包含恶意软件,企业最 好部署可操作的威胁智能措施来发现这种威胁。最佳分 析工具和算法不仅能够检测恶意活动,而且还 能够提高客户的支持力度,以及改 进提供给客户的服务。

为了迎接这些挑战,企业必 须构建正确的工作和流程以提供足够的安全分析功能。

6.模块化 硬件和软件组件

在IoT的各个 方面都应该考虑和部署安全性,从而更 好地控制联网设备的部件和模块。企业还应该预计到,攻击者会试图破坏IoT设备的供应链,植入恶 意代码和其他漏洞,并在设 备部署在企业环境后利用它们发动攻击。企业可能还有必要为IoT设备采用Forrester ZeroTrust等安全模型。

如果可能的话,企业还 应该隔离这些设备到其自身的网段或vLAN。此外,微内核 或管理程序等技术可与嵌入式系统结合使用,以在安 全泄露事故中隔离系统。

7.快速增加的带宽需求

根据PaloAlto公司进 行的一项研究显示,在2011年11月和2012年5月之间,在该供 应商监测的网络中,网络流量增加了700%,这主要归功于流媒体、P2P应用和社交媒体。随着越 来越多的设备连接到互联网,这一数 字还将继续增加。

然而,对互联 网的需求增加可能会提高业务连续性风险。如果关 键应用不能获得其所需的带宽,消费者 将获得糟糕的体验,员工工 作效率会受到影响,企业盈 利能力也可能会下降。

为了确 保服务的高可用性,企业必 须考虑增加带宽以及提高流量管理和监控。这不仅 将降低业务连续性风险,还可以 防止潜在的损失。此外,从项目 规划的角度来看,企业需 要进行容量规划,并检查 网络的增长速度,以确保 满足快速增长的带宽要求。

物联网 给消费者以及企业带来了巨大的潜力,但同时也带来了风险。信息安 全企业必须开始准备从保护个人电脑、服务器、移动设备和传统IT基础设施,过渡到 管理更广泛的互连设备,包括可穿戴设备、传感器 和我们目前无法预见到的技术。企业安 全团队现在应该采取措施来研究最佳安全做法以保护这些新兴设备,并且,随着这 些设备进入企业网络进行机器对机器通信、海量数 据收集和很多其他用途,企业必 须准备更新风险矩阵和安全政策。企业内 增加的复杂性不容忽视,同时,为了在 日益互连的数字世界确保基本的机密性、完整性和可用性,威胁建模将是关键。

友情链接: