跨越物聯(lián)網(wǎng)安全雷區(qū)面臨的5大挑戰(zhàn)

責(zé)任編輯:zsheng

2018-08-15 20:23:19

摘自:物聯(lián)之家網(wǎng) 

我今天收到了一封安全攝像頭供應(yīng)商的電子郵件。其產(chǎn)品的主要賣點(diǎn)是 “您可以在任何地方、任何設(shè)備、任何時(shí)間訪問您的視頻”。換句話說,“我們將您的數(shù)據(jù)存儲(chǔ)在云中”。只要快速瀏覽一下它的網(wǎng)站,就會(huì)發(fā)現(xiàn)沒有第三方審計(jì)或真正安全框架的證據(jù)。相反,有一大堆空洞的陳述,比如,“我們注意保護(hù)客戶數(shù)據(jù)的隱私。”

不用說,我肯定不會(huì)使用它們。然而,這揭示了困擾整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)的一個(gè)重大問題:您如何管理和充分保護(hù)所有這些設(shè)備?集中式門戶網(wǎng)站已經(jīng)成為首選解決方案,使客戶可以輕松地插入設(shè)備,在門戶中注冊(cè)并從世界任何地方訪問設(shè)備。

不幸的是,這種便利是有代價(jià)的。如果沒有適當(dāng)?shù)陌踩刂疲诳涂梢韵褡罱K用戶一樣從任何地方訪問這些設(shè)備。黑客不僅可以訪問和利用個(gè)人數(shù)據(jù)(例如由上述供應(yīng)商存儲(chǔ)的長(zhǎng)達(dá)120天視頻),這些設(shè)備還可以很容易地?cái)U(kuò)展以幫助有針對(duì)性的攻擊,包括分布式拒絕服務(wù)攻擊到加密貨幣挖掘。鑒于大多數(shù)設(shè)備運(yùn)行Linux,它們特別容易在某些任務(wù)中使用,例如Mirai惡意軟件。

盡管存在明顯風(fēng)險(xiǎn),但大多數(shù)物聯(lián)網(wǎng)供應(yīng)商都是事后才想到安全性。在使用門戶網(wǎng)站進(jìn)行設(shè)備管理時(shí),組織必須考慮許多最佳實(shí)踐,包括密碼恢復(fù)和帳戶鎖定程序。但是物聯(lián)網(wǎng)的安全問題遠(yuǎn)遠(yuǎn)超出了門戶網(wǎng)站。有時(shí),它會(huì)感覺像是在雷區(qū)航行。我將其縮小到了物聯(lián)網(wǎng)供應(yīng)商今天面臨的五大安全挑戰(zhàn):

1、硬件安全,包括默認(rèn)設(shè)置和網(wǎng)絡(luò)服務(wù);

2、云門戶安全性,以避免SQL注入和跨站點(diǎn)腳本編寫等漏洞;

3、保護(hù)設(shè)備到云的數(shù)據(jù)流量;

4、API安全性;

5、建立和維護(hù)將客戶數(shù)據(jù)存儲(chǔ)在云中的適當(dāng)控制。

不幸的是,這些問題沒有簡(jiǎn)單的解決辦法。與具有互聯(lián)網(wǎng)存在的任何其他產(chǎn)品或平臺(tái)一樣,安全性需要從一開始就被納入管理和開發(fā)過程——一旦產(chǎn)品或平臺(tái)建立起來,就很難解決。適當(dāng)?shù)陌踩赃€需要各級(jí)業(yè)務(wù)部門的承諾,而不僅僅是在開發(fā)級(jí)別。因此,強(qiáng)烈建議采用COSO或NIST這樣的安全框架,并利用第三方審核員來驗(yàn)證是否確實(shí)遵循了控制措施。

在本系列的下一篇文章中,我將更深入地探討與物聯(lián)網(wǎng)中使用門戶網(wǎng)站相關(guān)的安全問題,包括如何制定強(qiáng)有力的安全策略、確保安全控制到位的方法以及保護(hù)客戶的最佳實(shí)踐。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)