當(dāng)你部署的技術(shù)可被攻擊者用來殺人時(shí)，你最好確保其安全性。

多年來，網(wǎng)絡(luò)安全專家一直在強(qiáng)調(diào)各種聯(lián)網(wǎng)設(shè)備激增所帶來的威脅。

專家警告稱，IoT設(shè)備讓我們的生活變得便利，但如果不小心，IoT設(shè)備也可能終結(jié)我們。

prpl基金會(huì)是致力于下一代數(shù)據(jù)中心軟件和架構(gòu)的開源聯(lián)盟，該聯(lián)盟首席安全戰(zhàn)略師Cesare Garlati表示：“大多數(shù)這些IoT設(shè)備連接到或者直接控制物理對(duì)象，例如電梯或供暖系統(tǒng)。因此數(shù)據(jù)泄露事故不僅僅會(huì)導(dǎo)致數(shù)據(jù)丟失以及罰款，甚至可能導(dǎo)致涉及人員傷亡或者死亡的物理攻擊。”

潛在嚴(yán)重危害

從智能手機(jī)到聯(lián)網(wǎng)攝像頭、醫(yī)療植入裝置到工業(yè)控制器，各種各樣的設(shè)備都已經(jīng)被證明容易到攻擊，很多可能造成經(jīng)濟(jì)和物理破壞。

現(xiàn)在大量攻擊者都渴望獲得這種控制我們生活、企業(yè)和經(jīng)濟(jì)的能力--攻擊者希望控制我們以獲得贖金，網(wǎng)絡(luò)恐怖分子希望制造混亂，而國(guó)家行為者則旨在從事秘密網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。

諾丁漢大學(xué)數(shù)字經(jīng)濟(jì)學(xué)教授兼Horizon研究機(jī)構(gòu)主管Derek McAuley表示，這種威脅并不擴(kuò)張。“這對(duì)生命帶來巨大的威脅，這也是為什么國(guó)內(nèi)外安全服務(wù)正非常關(guān)注網(wǎng)絡(luò)防御的原因，”他表示，“隨著技術(shù)得到更廣泛部署，網(wǎng)絡(luò)攻擊可能消耗大量經(jīng)濟(jì)。我們?cè)?jīng)考慮如何保護(hù)電廠、電源線等，但如果攻擊者控制了劍橋100英里范圍內(nèi)所有智能電表，這種危害就像引爆發(fā)電廠一樣。”

然而，研究人員的警告并沒有阻止企業(yè)部署IoT的步伐。IoT帶來顯著的成本和節(jié)能優(yōu)勢(shì)，工業(yè)自動(dòng)化、更智能的城市以及更好的健康和安全，經(jīng)濟(jì)和社會(huì)因素往往會(huì)勝過安全因素。

深層安全隱患

網(wǎng)絡(luò)安全研究人員兼顧問John Walker表示：“我們快速部署這項(xiàng)技術(shù)，而沒有考慮更長(zhǎng)期的深層安全隱患。安全人員通常是最后一個(gè)了解發(fā)生了什么的人，但其實(shí)在最開始就應(yīng)該考慮安全因素。”

“在我看來，幾乎沒有或者沒有適當(dāng)?shù)募夹g(shù)風(fēng)險(xiǎn)評(píng)估以確保設(shè)備、代碼、數(shù)據(jù)和基礎(chǔ)設(shè)施得到充分保護(hù)。現(xiàn)在很多大型企業(yè)都存在不安全的系統(tǒng)和流程。”

但微軟對(duì)此仍然保持樂觀，微軟正致力于支持其客戶和合作伙伴的安全I(xiàn)oT部署。微軟公司國(guó)家安全官Stuart Aston稱：“不要過分夸大潛在安全風(fēng)險(xiǎn)，否則人們會(huì)認(rèn)為IoT安全太難以解決。但事實(shí)并不是這樣，關(guān)鍵是了解風(fēng)險(xiǎn)并部署適當(dāng)?shù)木徑獯胧?rdquo;

微軟已經(jīng)制定了IoT安全最佳做法清單，其中強(qiáng)調(diào)了各個(gè)企業(yè)必須解決IoT系統(tǒng)生命周期中不同的安全問題，其生命周期包括：制造和集成、軟件開發(fā)、部署和運(yùn)營(yíng)。

沒有通用標(biāo)準(zhǔn)

對(duì)于客戶來說，目前的問題是很難確定其選擇的所有軟件、硬件和服務(wù)合作伙伴是否正在采取必要措施來維持有效安全性。雖然國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)等機(jī)構(gòu)正在這一領(lǐng)域做大量工作，但目前仍然沒有針對(duì)IoT安全的通用可證明的標(biāo)準(zhǔn)。Aston稱：“標(biāo)準(zhǔn)正在制定中，但簡(jiǎn)短的回答是，如果你現(xiàn)在部署，你需要進(jìn)行盡職調(diào)查。”

Synopsys公司關(guān)鍵系統(tǒng)安全全球總監(jiān)Mike Ahmadi表示：“對(duì)于任何部署IoT設(shè)備的人來說，至關(guān)重要的是要求供應(yīng)鏈提供其遵照完整的采購指南的證據(jù)，涉及特定的可測(cè)量的標(biāo)準(zhǔn)。”

“用戶需要供應(yīng)商提供這樣的證據(jù)，并在內(nèi)部檢查。不要相信產(chǎn)品供應(yīng)商的話，而應(yīng)該驗(yàn)證他們告訴你的信息。讓他們提供證據(jù)，如果無法提供，則選擇其他供應(yīng)商。”

盡管微軟的IoT安全最佳做法指南是很高的標(biāo)準(zhǔn)，但網(wǎng)絡(luò)安全專家稱IT部門必須密切關(guān)注技術(shù)細(xì)節(jié)。諾丁漢大學(xué)的McAuley稱系統(tǒng)應(yīng)設(shè)計(jì)為讓設(shè)備盡可能在本地?cái)?shù)據(jù)。

McAuley稱企業(yè)應(yīng)該部署更安全的網(wǎng)絡(luò)身份驗(yàn)證，例如使用ID管理系統(tǒng)來確保用戶和設(shè)備的身份，而不是依靠SSID和密碼。

企業(yè)還應(yīng)該保持設(shè)備與網(wǎng)絡(luò)有效隔離，配置適當(dāng)?shù)姆阑饓σ?guī)則和網(wǎng)絡(luò)分段。McAuley說：“在我看來，所有設(shè)備最終都可能被攻擊，所以即使它們需要與互聯(lián)網(wǎng)連接，它們應(yīng)該只能與它們絕對(duì)需要的一兩個(gè)地方進(jìn)行交互。”

他還表示當(dāng)數(shù)據(jù)存儲(chǔ)在服務(wù)器時(shí)也應(yīng)該被加密，“很多企業(yè)只會(huì)加密傳輸中的數(shù)據(jù)，這并不夠。”

Prpl基金會(huì)的Garlati補(bǔ)充說：“不要使用涉及云計(jì)算組件的設(shè)備，除非100%必要。”

你還應(yīng)該避免使用未考慮基本網(wǎng)絡(luò)安全的設(shè)備，“我會(huì)試圖尋找要求多因素身份驗(yàn)證來更改配置的設(shè)備，”McAuley稱，“此外，設(shè)備不應(yīng)該使用默認(rèn)用戶名和密碼--當(dāng)用戶首次開啟設(shè)備時(shí)，應(yīng)被要求設(shè)置安全的登錄憑證。”

請(qǐng)記住，雖然對(duì)IoT的攻擊帶來比傳統(tǒng)系統(tǒng)更大的威脅，但很多IoT安全最佳做法與我們多年來通過保護(hù)電腦和移動(dòng)設(shè)備學(xué)到的最佳做法沒有什么不同。我們只需要確保這些最佳做法得到嚴(yán)格的部署。