我今天收到了一封安全攝像頭供應(yīng)商的電子郵件。其產(chǎn)品的主要賣(mài)點(diǎn)是 “您可以在任何地方、任何設(shè)備、任何時(shí)間訪問(wèn)您的視頻”。換句話說(shuō)，“我們將您的數(shù)據(jù)存儲(chǔ)在云中”。只要快速瀏覽一下它的網(wǎng)站，就會(huì)發(fā)現(xiàn)沒(méi)有第三方審計(jì)或真正安全框架的證據(jù)。相反，有一大堆空洞的陳述，比如，“我們注意保護(hù)客戶數(shù)據(jù)的隱私。”

[[240115]]

不用說(shuō)，我肯定不會(huì)使用它們。然而，這揭示了困擾整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)的一個(gè)重大問(wèn)題：您如何管理和充分保護(hù)所有這些設(shè)備?集中式門(mén)戶網(wǎng)站已經(jīng)成為首選解決方案，使客戶可以輕松地插入設(shè)備，在門(mén)戶中注冊(cè)并從世界任何地方訪問(wèn)設(shè)備。

不幸的是，這種便利是有代價(jià)的。如果沒(méi)有適當(dāng)?shù)陌踩刂疲诳涂梢韵褡罱K用戶一樣從任何地方訪問(wèn)這些設(shè)備。黑客不僅可以訪問(wèn)和利用個(gè)人數(shù)據(jù)(例如由上述供應(yīng)商存儲(chǔ)的長(zhǎng)達(dá)120天視頻)，這些設(shè)備還可以很容易地?cái)U(kuò)展以幫助有針對(duì)性的攻擊，包括分布式拒絕服務(wù)攻擊到加密貨幣挖掘。鑒于大多數(shù)設(shè)備運(yùn)行Linux，它們特別容易在某些任務(wù)中使用，例如Mirai惡意軟件。

盡管存在明顯風(fēng)險(xiǎn)，但大多數(shù)物聯(lián)網(wǎng)供應(yīng)商都是事后才想到安全性。在使用門(mén)戶網(wǎng)站進(jìn)行設(shè)備管理時(shí)，組織必須考慮許多最佳實(shí)踐，包括密碼恢復(fù)和帳戶鎖定程序。但是物聯(lián)網(wǎng)的安全問(wèn)題遠(yuǎn)遠(yuǎn)超出了門(mén)戶網(wǎng)站。有時(shí)，它會(huì)感覺(jué)像是在雷區(qū)航行。我將其縮小到了物聯(lián)網(wǎng)供應(yīng)商今天面臨的五大安全挑戰(zhàn)：

1. 硬件安全，包括默認(rèn)設(shè)置和網(wǎng)絡(luò)服務(wù);
2. 云門(mén)戶安全性，以避免SQL注入和跨站點(diǎn)腳本編寫(xiě)等漏洞;
3. 保護(hù)設(shè)備到云的數(shù)據(jù)流量;
4. API安全性;
5. 建立和維護(hù)將客戶數(shù)據(jù)存儲(chǔ)在云中的適當(dāng)控制。

不幸的是，這些問(wèn)題沒(méi)有簡(jiǎn)單的解決辦法。與具有互聯(lián)網(wǎng)存在的任何其他產(chǎn)品或平臺(tái)一樣，安全性需要從一開(kāi)始就被納入管理和開(kāi)發(fā)過(guò)程——一旦產(chǎn)品或平臺(tái)建立起來(lái)，就很難解決。適當(dāng)?shù)陌踩赃€需要各級(jí)業(yè)務(wù)部門(mén)的承諾，而不僅僅是在開(kāi)發(fā)級(jí)別。因此，強(qiáng)烈建議采用COSO或NIST這樣的安全框架，并利用第三方審核員來(lái)驗(yàn)證是否確實(shí)遵循了控制措施。