物聯(lián)網(wǎng)安全需要宏觀和微觀兩種視角����。這種觀點必須是全球性和整體性的,不僅包括設備本身����,還包括連接它們的網(wǎng)絡���,管理平臺以及相關的合規(guī)和監(jiān)管標準�����。
國內最大的物聯(lián)卡交易平臺(http://kiddlux.com)表示,無論使用的是工業(yè)或消費物聯(lián)網(wǎng)設備,強大的物聯(lián)網(wǎng)安全態(tài)勢都包括嚴格的身份識別和身份驗證流程��。由于物聯(lián)網(wǎng)數(shù)據(jù)可能會穿越互聯(lián)網(wǎng)��,因此需要確保數(shù)據(jù)已加密,并且需要確保您的管理平臺能夠支持期望部署的物聯(lián)網(wǎng)設備���。
如果您決定在物聯(lián)網(wǎng)設備處或附近部署邊緣計算機,請調查這些邊緣計算設備是否提供端點物聯(lián)網(wǎng)設備可能不包含的安全控制�。您可能還想在邊緣計算機中實現(xiàn)應用程序�。換句話說����,評估邊緣計算機對攻擊面和漏洞以及端點��。
最后,您需要考慮您的企業(yè)是否符合相關合規(guī)性以及與您的行業(yè)相關的傳輸和存儲物聯(lián)網(wǎng)的相關法規(guī)要求。
攻擊面和漏洞
開放Web應用安全項目(OWASP)已經(jīng)編譯了一大堆物聯(lián)網(wǎng)攻擊面漏洞,如果您希望部署或實施物聯(lián)網(wǎng)技術�,這些漏洞應該很有用。該列表包括17個攻??擊面�,包括硬件����,存儲�����,網(wǎng)絡����,接口,應用程序�����,API���,身份驗證和授權���,并指定了131個漏洞。
這個漏洞列表可能是一個很好的起點,但沒有清單是詳盡的�。我們總能根據(jù)經(jīng)驗找到別的東西���。在考慮和部署物聯(lián)網(wǎng)設備時����,請遵循以下建議:
確保您的本地和遠程密碼都很強大�,并且需要多因素身份驗證�����。切勿使用具有硬編碼密碼的產品�����,因為攻擊者可以輕松使用它們��。管理您為訪問這些設備而委派的權限,并實施特權訪問管理�����。
不要對控制應用程序的安全特性或隱私策略做出假設�����。避免使用安全性和保密性差的設備����。將IoT設備連接到具有自己的監(jiān)控功能并位于防火墻后面的獨立網(wǎng)絡上。
關閉您不需要的物聯(lián)網(wǎng)設備上的任何功能�����。這些額外功能可能是用于繞過控制和安全流程的機制��。設備的物理訪問應該阻止入侵 -
也就是說����,您應該消除重置按鈕或更改端口和密碼的按鈕���。避免通過無線網(wǎng)絡進行自動連接。您可能希望實施網(wǎng)絡設備隔離以防止設備滲透����。
如果您未阻止傳入流量���,請確保允許遠程控制配置的軟件端口被適當限制��。盡可能采用加密技術。如果加密不可用,請不要將該物聯(lián)網(wǎng)設備放入網(wǎng)絡�??紤]部署一個VPN。
如果更新固件或軟件需要手動過程或必須在本地完成�,請不要購買這些產品。
當物聯(lián)網(wǎng)設備到達使用年限并且不再可更新或安全時�,請務必將其卸下。當您必須更換電源時,您也可能不得不關閉它們�。確保替代品符合您的政策和流程。
