企业的安全团队应该采取一些措施和步骤,为2020年物联网面对不断发展的安全要挟做好准备。
在新的一年到来的ω时候,安全职业的人士总在问这些问题:在未来一年面对的安全挑战是否与往年有所不同?企业是否应该改变防护战略,尤其是在运营技能(OT)、物联网(IoT)和关键基础∞设施组件方面?
安全厂商Nominet公司网络安全副总裁StUARTReed表明:“在网络安全的整体趋@ 势中,我们看ω 到的是,这儿一向都是一个充满活力的地方,但现在网络进犯没有鸿沟。”他解释说,那些针对运营技能(OT)跨越鸿沟的网络进犯可能会产生超出IT体系之外,乃至对人类的生命和安◣全产生直接影响。
运营技能(OT)和物联网(IoT)设备的安◆全性工作很杂乱,而运营技能(OT)和物联网(IoT)的规划安全性现在不是IT体系的规范。Reed说:“许多控制体系和运营技能(OT)基础设施从ㄨ来没有规划过以数字方法连接到其他任何地方※。”他解释说,但是数字化的持续发展趋势意味着很︾少有运营技能(OT)体系可以长期隔离网络进犯。
跟着网络犯罪分子和激进国家的网络要挟不断发展,安全团队应采纳哪些过程来维护其组织具有的运营技能(OT)和物联网(IoT)体系?网〇络安全专家对如何应对」2020年物联网要挟提出了一些主张。他们期望在未来一年无论要挟环境如何变化,都确保其运营技能(OT)体系尽可能安全。以下是网络安全专家提出的七个安全注意∑ 事项:
1.留意边缘
nVisium公司首席执行官JackMannino说:“跟着边缘核算和分布式传感器网络的添加,云核算基础设备和边缘█设备成为网络侵犯者越来越注重的政策。使边缘设备不受侵犯者操控的要害是选用混合方法来处理问题。”
Mannino说,“边缘核算需求选用混合云方法,其中边缘设备和云核算服务有必要在每一△层树立信任。用户决定怎样树立信任并成为事务流程的一部分,首要要详细剖析边缘设备怎样生成数据、生成什么类型的数据,以及将数据传输到运用程序基础架构的其〖余部分的过程。”
就像传统的IT侵犯者一般选择用户ξ 作为进入网络的方法相同,那些想要损坏企业物联网设备的网络侵犯者或许会看到边缘设备保管最简单的进入端口,这运用户将留意力会集在网络中心上,忽视了边♀缘上比较软弱的设备。
2.安全练习
Reed说,尽管歹意软件和根据物联网的侵【犯变得越来越杂乱,但成功进行侵犯并不需求高度杂乱的技术。他解说说:“假定人们不了解自己在杰出的网络卫生中所扮演的人物和职责,那么或许会发作一些十分根柢∮的侵犯。”
这些人物和职责包括一些清楚∴清楚的要点,比如不要点击来自未知或意外来历的附件,但它们远︼远超出了这些根柢要求。究竟,维护重要的数据和基础设备,InformationSecurityForum常务董事SteveDurbin标明:“首要要求最终用户承受数据需求维护的理念。由于有着不同的社会规范,触及数据的公认价值,因而需求维护数据,以及谁应该首要√担任维护数据。”
Reed说,最大限度地下降职工行为危险的要害是安全教育和练习。他解说说:“除了练习课程,我以为安全教育能够选用多种不同的方法。例如在线媒体在更宽广网络安全教育方面※扮演着十分要害的人物。”
3.物联网的可见性
与安全专家进行对话时,一个一起的主题是需求更好地◢了解用户的网络和基础设备。这种需求不会跟着传统IT和物联网设备之间的差异而连续。
ThycoTIc公司首席安全科学家Carson说:“假定没有物联网设备及其带来的危险,就无法■承认物联网数据的潜在安全和隐私危险。要了解物联网设备的危险,用户首要想知道其功用或用途,例如是数据收集器、数据处理器仍是数据相关器。在承认』作为基础设备的一部分的设备之后,了解功用是第二步。”
安全专业人员在进步其整体基础设备的物联网的可见性方面应该做些什么?nVisium公司Mannino说,“这项作业应该从对物联网设备等资产的架构蓝图进行一起的安全剖析,以找出缺失和规划差错的架构操控,并在容许的情况下选用一起的安全代码剖析。”
4.顾∏客设备问题
假定用户有一个网络,则很有或许将消费类设备联接到基础设备。企业职工已将消费类设备作为日常日子的一部分,大多数职工都不愿意扔掉这些设备的优势。Durbin说,“当这些顾客作▽业时,他们也希望将这◎些功用强壮的设备用于事务运用,而在曩昔的几年↘中,这导致组织与个人之间,个人信息与揭露可用的详细信息之间的鸿沟越来越迷糊。”
在许多情况下,问题并非始于职工运用自己的设备,而是始于许多〗消费类设备在规划之初就并未被规划为安全的事务设备。此外,Dubirn说,“这些设备的运用方法迷糊了个人和企业运用与行为之间的鸿沟。其潜在的危险包括乱用设备自身、外部运用软件缝隙,以々及布置未经查验的、不牢靠的事务运用程序。”
在处理整个物联网环境中或许触及的云核算服务◣和物联网设备时▲,安全专业人员需求生动与他们的供货商和协作同伴互动,以保证根柢︽组件能够安全运用。例如,Acceptto公司首席安全架构师FaustoOliveira标明,物联网设备有必要具有更改默许用户↑名和暗码的才华■,以及与网络中上游和下流体系进行加密通讯的才华。Oliveira说:“企业需求供货商供给强有力的教导,并保证在选择过程中,安全是一项清楚认义的功用。”他标明,这契合供货商及其用户ㄨ的最大利益,以保证整个体系尽或许安全。
5.物∞联网联接安全性
当然会有一些小型组织(以及高度安全的政府或军事组织)的物联网设备不包括互联网联接。但是关于大多数组织而言,移动、剖析和运用其边缘设备中的数据意味着将设备联接到全球☆互联网和一个或多个〇云核算服务。nVisium公司的Mannino指出,“跟着边缘核算和分布式传感器网络的添加,云核算基础设备和边缘设备已成为一种趋势。而这关于网络侵犯者来说越来越有吸引力。”
Vectra公司安全剖析主管ChrisMorales简练地解说了◆这一点。他说,“与传统→的桌面体系不同,物联网设备需求保证存储和锁定的数据不会被窥探,物联网设备被规划为互相同享信息,并同享到长途存储方位进行剖析,并为企业供给对其数据的长途拜访。这一般需求物联网设备制作商保↓管的云存储。”
在处理或许触及整个物联网环境的云核算服⌒务和物联网设备时,安全专业人员需求生动与其供货商和协作同伴接洽,以保证根柢组件能够安全运用。例如,Acceptto公司首席安全架构师FaustoOliveira标明,设备有必要能够更改默许用户名和暗码,以及与网络上下流体系进行加♀密通讯的才华。他说,“组织需求向供货商供给强有力的教导,并保证在选择过程中,安全性是一个清楚认义的特性,是不可选择的,保证整个体系尽或许安全契合供货商和客户的◥最大利益。”
6.专注于物联网设备敏捷性
物联网的两个特征使扩展运营技术(OT)变得如此软★弱,这便是许多物联网设备的不可改动的特性。易受侵犯、静态和持久性并不是大多数专业人员在安全基础设备中需求的特性。
Acceptto公司的Oliveira说:“需求撤销默许用户名和暗码以及不安全的ξ协议(如telnet),并选用更∮好的方法来结束可办理性,而无需运用易于让步的默许帐户和不安全的协议。”他坚持以为,仅向供货商偏重他们的设备有必要容许更改默许凭证和协议是不可的。用户有ㄨ必要将这些作为购买设备的要求。
Oliveira说:“物联网设备需求被视为任何安全资产,因而需求定时办☉理和审理缝隙。”Nominet的Reed也对∮此标明认同,他说,“全面的从业人员有必要保证他们具有正确的审理、操控、政策,以便能够放心肠了解与他们协作的第三方,并且选用更好的安全措施。”
他们Ψ都供认,假定无法重新配置基础设备中◥的设备来处理缝隙,那么牢靠的审理和监督的影响将会十分有限。
7.无情数据
物联网的数据生成才华需求契合欧盟的《通用数据维护法则》和最新的《加州顾客⊙隐私法》等法规的要求。因而,Vectra公司的Morales说,“企业需求愈加留意设备收集的数据类型▓以及怎样运用这些数据。”他指出,在摄像头、GPS跟踪体系和传感器跟踪事务的每个阶段生成数据的时代,维护个人隐私关于维护用户信息自在至关重要。
Morales说:“物联网设备旨在互相同享信息,并同享给长途存』储方位以进行剖析,并为企业供给对其数据的长途拜访。并且,数据有必要在设备中以及从事务流程的一个阶段转移到另一个阶段时都受到维护。”
Acceptto公司的Oliveira说,“与设备之间的全部通讯都有必要加密,并且@ 在抱负情况下,数据流量有必要受根据场景和根据人物的拜访操控,除非在特∏别的情况下,否则没有理由让设备能够通过全球互联网进行联接。”
要了解怎样将“无情数据”运用到物联网的各个部分,首要要了解基ζ础设备及其启用的事务流程。ThycoTIc公司的Carson说:“假定没有物联网设备带来的危险,就无法承认其数据的潜在安全性和隐私危险。在了解物联网设备的效果以及与之相关的数据后,就能够评价选用物联网设备带来的危险。”
评论