信息技術(shù)在演進中，而安全未能保持同步。當(dāng)從汽車到工業(yè)控制系統(tǒng)到冰箱的所有事物互聯(lián)起來，它們發(fā)送著或接收著來自移動應(yīng)用與云服務(wù)的數(shù)據(jù)，計算機技術(shù)的應(yīng)用在我們的日常生活中變得更為普遍。我們需要整體安全方法來跟上成長中的物聯(lián)網(wǎng)(IoT)。

[[121777]]

盡管一次針對智能調(diào)溫器的攻擊似乎微不足道，但涉及7千多萬客戶信息泄露的Target數(shù)據(jù)泄露事件，正是由于公司門店的加熱與通風(fēng)管理控制系統(tǒng)安全性較差所致。而其他引人注目的物聯(lián)網(wǎng)攻擊也已浮出水面，從Carna嵌入式設(shè)備僵尸網(wǎng)絡(luò)與TRENDnet網(wǎng)絡(luò)攝像頭攻擊代碼，到Linux.Darlloz蠕蟲，以及由Proofpoint發(fā)現(xiàn)的Thingsbot攻擊。Proofpoint是一家安全即服務(wù)(SaaS)提供商。

安全缺失

物聯(lián)網(wǎng)設(shè)備的多樣性急劇增加攻擊代碼及惡意軟件的攻擊面。HP安全研究的一份報告提供了10大消費者設(shè)備名單，并發(fā)現(xiàn)了數(shù)量驚人的漏洞(未進行傳輸加密、不安全的Web界面、授權(quán)與軟件防護問題)及隱私問題。

糟糕的物聯(lián)網(wǎng)安全主要由兩個問題導(dǎo)致：

· 新設(shè)備搶占市場意味著其設(shè)計階段未包含安全、或安全考慮存在嚴(yán)重局限性，或糟糕的實現(xiàn)。

· 制造或運輸?shù)阮I(lǐng)域的舊有嵌入式系統(tǒng)，其開發(fā)者沒有考慮安全控制，因為這些系統(tǒng)最初是與IP網(wǎng)絡(luò)隔離的且采取了氣隙安全措施。隨著工業(yè)控制系統(tǒng)日益網(wǎng)絡(luò)化以及可遠(yuǎn)程管理，這些物理隔離正在快速消失。

HP研究表明，即使是已經(jīng)教育了20多年的基本安全原則，如使用強密碼，也沒有用于產(chǎn)品開發(fā)周期中。為改進物聯(lián)網(wǎng)安全，我們可以做什么?

新的安全模型和標(biāo)準(zhǔn)對物聯(lián)網(wǎng)防護至為關(guān)鍵。我們現(xiàn)有PC及智能手機的安全模型不適用物聯(lián)網(wǎng)設(shè)備。大多數(shù)物聯(lián)網(wǎng)設(shè)備處理和存儲能力有限。工業(yè)控制系統(tǒng)通常安裝在關(guān)鍵的運營環(huán)境中。許多”智能”產(chǎn)品在消費者手中落入”安裝即忘記”的擱置狀態(tài)。我們現(xiàn)有的定期更新安全補丁、安裝和更新防病毒軟件以及配置主機防火墻等安全模型，對這些類型的物聯(lián)網(wǎng)設(shè)備而言都不可行。

除了新的安全模型，新的標(biāo)準(zhǔn)對于確保物聯(lián)網(wǎng)設(shè)備的安全性及互操作性也至關(guān)重要。消費者物聯(lián)網(wǎng)市場監(jiān)管松散并且缺乏安保與安全標(biāo)準(zhǔn)。諸如醫(yī)藥、制造、汽車以及運輸?shù)绕渌袌鲆延械陌脖Ｅc安全標(biāo)準(zhǔn)都必須更新，將物聯(lián)網(wǎng)設(shè)備補充進去。有幾個小組正在探索物聯(lián)網(wǎng)標(biāo)準(zhǔn)，包括工業(yè)互聯(lián)網(wǎng)聯(lián)盟、Thread、AllJoyn，以及開放互聯(lián)聯(lián)盟。開放互連聯(lián)盟由Broadcom、戴爾、英特爾和三星等企業(yè)創(chuàng)建于7月。未來哪項標(biāo)準(zhǔn)將占到上風(fēng)且最為廣泛使用將是有趣的話題。

物聯(lián)網(wǎng)安全措施

在新的安全模型和標(biāo)準(zhǔn)出現(xiàn)之前，物聯(lián)網(wǎng)設(shè)備最低限度應(yīng)實施以下安全實踐：

使用安全開發(fā)實踐。OWASP物聯(lián)網(wǎng)Top 10提供了良好的安全控制基線。如強認(rèn)證與安全的Web界面等基本控制，原本應(yīng)可以解決HP Foritfy在消費者物聯(lián)網(wǎng)設(shè)備中識別到的眾多安全問題。

保護數(shù)據(jù)。物聯(lián)網(wǎng)領(lǐng)域，數(shù)據(jù)是移動的而網(wǎng)絡(luò)邊界是模糊的。為確保隱私，必須對靜止的和傳輸過程中的數(shù)據(jù)都加以保護。

披露對個人身份信息(PII)的處理機制。廠商應(yīng)該披露正收集和共享的PII，以及對它是如何進行保護的。

加密、加密還是加密。加密是物聯(lián)網(wǎng)安全的關(guān)鍵部件。當(dāng)數(shù)據(jù)遍歷于設(shè)備間、設(shè)備與移動應(yīng)用間以及移動應(yīng)用間或設(shè)備與諸如云這樣的其他網(wǎng)絡(luò)間時，必須對之加密。此外，對設(shè)備的軟件更新也應(yīng)該進行加密處理。

進行安全評估。IT安全人員應(yīng)該進行他們自己的產(chǎn)品安全評估，檢查設(shè)備、應(yīng)用及通信是否安全。

組織如何能改進物聯(lián)網(wǎng)安全?目前新的標(biāo)準(zhǔn)和安全模型以及安全設(shè)備尚在開發(fā)中，有這樣一些措施可供安全專家用于改進現(xiàn)有物聯(lián)網(wǎng)設(shè)備的安全：

· 風(fēng)險管理以及持續(xù)監(jiān)控戰(zhàn)略中應(yīng)包括物聯(lián)網(wǎng)設(shè)備

· 將用于網(wǎng)絡(luò)與移動設(shè)備的相同安全方法充分利用于保護物聯(lián)網(wǎng)設(shè)備

· 為那些由防火墻保護及入侵防御系統(tǒng)監(jiān)控的設(shè)備以及一個已劃分的網(wǎng)絡(luò)，創(chuàng)建一份資產(chǎn)清單

· 通過更改默認(rèn)設(shè)置、創(chuàng)建強密碼，盡可能多的啟用端點安全

· 對新設(shè)備執(zhí)行主動掃描

· 為物聯(lián)網(wǎng)設(shè)備創(chuàng)建補丁策略

使用消費者物聯(lián)網(wǎng)設(shè)備的員工，應(yīng)該啟用可用的安全特性，如加密、更改默認(rèn)設(shè)置以及啟用強密碼。

企業(yè)應(yīng)該購買安全內(nèi)置的產(chǎn)品，包括那些對數(shù)據(jù)及軟件更新進行加密的產(chǎn)品。我們的計算需求正在發(fā)生變化，而安全必須是主動的而非被動的。盡管某些物聯(lián)網(wǎng)設(shè)備比較新奇，但許多設(shè)備對人、財產(chǎn)和資源的安全至關(guān)重要。一旦出現(xiàn)缺口，生命和安全處于風(fēng)險中，那就說什么都太晚了。