|
|
1.企业当前正面临怎样的物联网相关的风险?
虽然物联网(IoT)看起来很有创意而且很方便,但这种趋势也带来了安全风险,企业和消费者都将不可避免地要面对这些风险。
具有操作系统的联网设备都可能受到攻击,所以这些设备可能会成为攻击者入侵企业的后门。
IoT的概念正在迅速遍及整个社会,它几乎可以改善每个人的生活和每个企业的运作。这给企业创造了巨大的机会来开发新的服务
和产品,从而为其客户提供更多的便利,并提高他们的满意度。
除了给个人用户带来的这些好处,IoT设备还能够给企业带来巨大优势,企业移动管理就是一个很好的例子。
但是,在IoT带来优势的同时,也带来了很多风险。连接到互联网的任何设备都有嵌入式操作系统部署在其固件中,由于嵌入式
操作系统通常没有将安 全性作为首要考虑因素,所以几乎所有这种操作系统都存在漏洞,针对Android设备的恶意软件数量就是
最好的例子。类似威胁也可能在IoT设备间传播。
物联网领域面对的六个风险问题:
1.破坏性攻击和拒绝服务攻击
为了避免潜在的运行故障和企业服务中断,企业的重点工作是确保IoT设备的持续可用性。
即使是增加新终端到网络这样看似简单的过程(特别是采用 机器对机器通信的自动设备,
例如帮助运行电站或建立环境控制的设备),企业都必须关注针对这些部署在远程位置的
设备的物理攻击。这将要求企业加强物理安全 以防止对安全外围之外的设备的未经授权访问。
2.了解漏洞的复杂性
了解这些复杂仪表的漏洞所在及其构成的威胁严重性,是非常重要的工作。为了降低这种风险,
任何涉及IoT设备的项目都必须在设计中考虑安全因素,并部署安全控制,以 及利用预先建立的
基于角色的安全模型。由于这些设备可能涉及企业可能从未见过的硬件、平台和软件,漏洞的类型
也可能也不同于企业先前面对的漏洞。
3.IOT漏洞管理
在IoT环境的另一大挑战是,弄清楚如何快速修复IoT设备漏洞以及如何优先排序漏洞修复工作。
由于大多数IoT设备需要固件升级来修复漏洞,远程完成修复工作将变得复杂。
同样具有挑战性的是,如何处理IoT设备首次使用时提供的默认登录凭证。通常情况下,无线
接入点或打印机等设备会使用已知的管理员ID和密码。
4.确定和部署安全控制
在IT世界,冗余性是关键;如果一个产品故障了,另一个产品应该能够接替它。分层安全概念的
工作原理与之类似,但这取决于企业如何分层安全和冗 余性来管理IoT风险。企业所面临的挑战在于,
对于这些新兴的联网设备,哪些位置需要安全控制,以及如何部署有效地控制。鉴于这些设备的多样性,
企业将需要进行自定义 风险评估,以发现有哪些风险以及如何控制这些风险,这种风险评估通常需要
依赖于第三方的专业技术。
5.满足对安全分析功能的需求
对于连接到互联网的各种新的Wi-Fi设备,企业将需要收集、汇总、处理和分析海量数据。
虽然企业会在这些数据中发现新的商业机会,但这也意味着新的风险。
企业必须能够识别IoT设备上的合法和恶意流量模式。 为了迎接这些挑战,企业必须构建
正确的工作和流程以提供足够的安全分析功能。
6.模块化硬件和软件组件
在IoT的各个方面都应该考虑和部署安全性,从而更好地控制联网设备的部件和模块。企业还应该预计到,
攻击者会试图破坏IoT设备的供应链,植 入恶意代码和其他漏洞,并在设备部署在企业环境后利用它们发动攻击。
企业应隔离这些设备到其自身的网段或vLAN。
2.你认为哪类风险最为严重?
破坏性攻击和拒绝服务攻击目前最为严重。
3.企业要如何处理物联网的安全威胁呢?
企业必须开始准备从保护个人电脑、服务器、移动设备和传统IT基础设施,过渡到管理更广泛的互连设备,包括可穿戴设备、
传感器和我们目前无法预见到的技术。企业安全团队现在应该采取措施来研究最佳安全做法以保护这些新兴设备,并且,
随着这些设备进入企业网络进行机器对机器通信、海量数据收集和很多其他用途,企业必须准备更新风险矩阵和安全政策。
企业内增加的复杂性不容忽视,同时,为了在日益互连的数字世界确保基本的机密性、完整性和可用性,威胁建模将是关键
|
|
楼主: 440活在梦里
IP卡
狗仔卡
发表于 2015-12-21 16:24
显身卡
发表于 2015-12-21 19:13
