物联网安全有完美的解决方案吗?
物联网是把双刃剑,一方面在简化企业业务流程方面有很大的潜力,并给企业提供了与客户互动的有效方式,但另一方面也给网络犯罪和黑客提供了便利。
欧洲知名的IT研究公司Quocirca于2015年和2016年分别发布了相关报告,研究了物联网所带来的机会和威胁的相互影响,并提出了如何保护你所在组织中物联网的安全。物联网对于不同企业有着不同的意义,所以并不存在一个完美的安全方案,它涉及到所有已知部署的设备,比如说监控系统,也有一些在线的旧系统设备、员工带到工作场所的消费类设备等。
提升企业物联网安全,需要精心设计的应用、改造现有的IT安全方案以及一些应对多样化威胁的综合性方案。
物联网安全威胁
在Quocirca研究者看来,物联网领域主要存在四方面安全威胁:
(1)数据保护。很多设备收集的是敏感数据,不论是从商业角度,还是从管控角度,数据的传输、存储和处理都应该在安全情况下进行。
(2)攻击界面扩大化。物联网时代会有更多的设备在网上,这样IT基础设施会进一步扩大,攻击者会试探着去破解。与用户的终端不同,很多物联网设备需要永久在线和实时连接,这一特征使得它们更容易成为攻击的目标。
(3)对物联网运行过程的攻击。那些想干扰一个特定企业活动的行为,会让更多基础设施、设备和应用成为攻击目标,通过DoS攻击或通过危及、破坏个人设备。
(4)僵尸网络。未得到有效保护的物联网设备可能会招致僵尸网络攻击,大大降低企业的效率,长期如此将会导致企业声誉的损失。
所有这些威胁在一定程度上依赖于物联网设备的潜在漏洞,因此在部署和管理物联网设备时应该有安全的意识,精心设计,大量的工作应该列为高优先级。
设备数量、差异化和标识
Quocirca在其2016年的报告中显示,平均每一家欧洲企业希望在未来18个月中能够使用、管理7000个物联网设备。这一数据对于小企业来说可能有些遥不可及,但相对于其他机构的预计,这一数字仍然有些保守。对大量设备的管理应该是自动化进行的,而且也需要在设备自身上完成。
那些需要通过固件升级才能成为物联网设备的老旧设备更加脆弱,因为它们可能在设计时并没有线上安全的意识。由于新设备往往只有有限的存储、计算能力和功耗,而且需要运行特定的物联网操作系统,如TinyOS、Contiki、Nano-RK以及RIOT等,因此新的物联网设备实际上也存在一些安全问题。
很多类似的操作系统是开源的,制造商可以对其进行重新改造,从而形成多样化的物联网操作系统(当然,并非所有系统都是开源的,微软已经发布了支持物联网设备的操作系统Windows 10)。这样,最终就形成数百个潜在设备/操作系统的组合。
这样的情形,对那些开发敏捷性嵌入式设备安全软件厂商来说是一个挑战。而采用Agentless方式的设备安全则更实用,很多时候用来管理员工自有设备以及访客的终端节点,这些设备经过许可会不断地接入企业网络中。
然而,企业很有必要不断识别这些设备并保证它们的标识是一致的。蓄意破坏物联网设备部署的一种方式是将可信设备替换成"流氓"设备,现有的技术可以帮助避免这一问题。SSL/TLS加密技术不仅能保证设备的数据传输是安全的,还能确认设备标识。
这意味着随着设备的快速增长,会有更多的加密认证,也意味着不断升级的认证管理能力。物联网安全领域不断出现新的加密供应商,包括赛门铁克、金雅拓、泰雷兹、Entrust Datacard、Vormetric 以及Venafi等。
其他安全的方案在不断的研发,用于物联网设备的认证。第三方注册机构变得越来越流行,它们适用于对设备及其期望位置和功能的识别,诸如Neustar这样的DNS服务供应商会列出已知设备,也有像Xively这样的专业数据库提供服务。
对一个设备自身宣称的信息做到精准掌握非常重要,但实际上物联网安全需要一个更高级别的方法,要求单一的安全措施能够对大量设备起作用。
精心设计的物联网安全
Quocirca的参考架构为物联网安全设计一个"轮轴-辐条"式的方法,当然,这一方法依赖经过反复试验过的网络安全技术。Quocirca认为物联网的部署由一系列集中器或网关来管理(类似于轮毂或轮轴),并和各种物联网设备(类似于辐条)形成互操作,整个过程通过网络地址转换协议(NATs)在封闭网络中完成。这样的话,网络配置、管理、扩容和安全变得相对简单一些。
很多物联网网关是为特定目的而部署的,或者是对现有设备的改造,如网络路由器、机顶盒、智能手机等等。这些网关控制着设备之间的通信,也需要独一无二的IP地址,不过,在
- 物联网发展之路未来还会遇到的大难题(06-21)
- 物联网安全从B2B开始(08-23)
- 物联网安全问题以及处理办法(08-30)
- 脑波识别系统或成终极ID保护器(09-06)
- 物联网安全与网络安全如何共进(12-06)
- 物联网安全再敲警钟:国外某大学物联网设备被黑客攻击(02-14)