不用說,我肯定不會(huì)使用它們。然而,這揭示了困擾整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)的一個(gè)重大問題:您如何管理和充分保護(hù)所有這些設(shè)備?集中式門戶網(wǎng)站已經(jīng)成為首選解決方案,使客戶可以輕松地插入設(shè)備,在門戶中注冊(cè)并從世界任何地方訪問設(shè)備。
不幸的是,這種便利是有代價(jià)的。如果沒有適當(dāng)?shù)陌踩刂疲诳涂梢韵褡罱K用戶一樣從任何地方訪問這些設(shè)備。黑客不僅可以訪問和利用個(gè)人數(shù)據(jù)(例如由上述供應(yīng)商存儲(chǔ)的長(zhǎng)達(dá)120天視頻),這些設(shè)備還可以很容易地?cái)U(kuò)展以幫助有針對(duì)性的攻擊,包括分布式拒絕服務(wù)攻擊到加密貨幣挖掘。鑒于大多數(shù)設(shè)備運(yùn)行Linux,它們特別容易在某些任務(wù)中使用,例如Mirai惡意軟件。
盡管存在明顯風(fēng)險(xiǎn),但大多數(shù)物聯(lián)網(wǎng)供應(yīng)商都是事后才想到安全性。在使用門戶網(wǎng)站進(jìn)行設(shè)備管理時(shí),組織必須考慮許多最佳實(shí)踐,包括密碼恢復(fù)和帳戶鎖定程序。但是物聯(lián)網(wǎng)的安全問題遠(yuǎn)遠(yuǎn)超出了門戶網(wǎng)站。有時(shí),它會(huì)感覺像是在雷區(qū)航行。我將其縮小到了物聯(lián)網(wǎng)供應(yīng)商今天面臨的五大安全挑戰(zhàn):
1、硬件安全,包括默認(rèn)設(shè)置和網(wǎng)絡(luò)服務(wù);
2、云門戶安全性,以避免SQL注入和跨站點(diǎn)腳本編寫等漏洞;
3、保護(hù)設(shè)備到云的數(shù)據(jù)流量;
4、API安全性;
5、建立和維護(hù)將客戶數(shù)據(jù)存儲(chǔ)在云中的適當(dāng)控制。
不幸的是,這些問題沒有簡(jiǎn)單的解決辦法。與具有互聯(lián)網(wǎng)存在的任何其他產(chǎn)品或平臺(tái)一樣,安全性需要從一開始就被納入管理和開發(fā)過程——一旦產(chǎn)品或平臺(tái)建立起來,就很難解決。適當(dāng)?shù)陌踩赃€需要各級(jí)業(yè)務(wù)部門的承諾,而不僅僅是在開發(fā)級(jí)別。因此,強(qiáng)烈建議采用COSO或NIST這樣的安全框架,并利用第三方審核員來驗(yàn)證是否確實(shí)遵循了控制措施。
在本系列的下一篇文章中,我將更深入地探討與物聯(lián)網(wǎng)中使用門戶網(wǎng)站相關(guān)的安全問題,包括如何制定強(qiáng)有力的安全策略、確保安全控制到位的方法以及保護(hù)客戶的最佳實(shí)踐。