江苏龙网

  1. 首页 > 人文 > >

物联网增强物联网安全性的7个步骤( 二 )


Haugli说 , 在某些情况下 , 合同可能不会明确规定客户何时会购买带有支持操作系统的新设备 , 而供应商可能不愿承担成本 。 因此 , 一个不受支持且易受攻击的设备可能被允许在网络上驻留的时间远远超过它应该驻留的时间 。
“如果我们不向供应商阐明我们的要求 , 不采取措施确认合规性 , 也不追究他们的责任 , 我们有什么理由期待这些问题得到解决?”Taule说 。 “正如硬件原始设备制造商和软件公司现在都希望承担责任 , 找出并迅速解决其产品的弱点一样 , 为我们提供IP摄像机、医疗设备、打印机、无线接入点、冰箱的公司也应承担责任 。 ”
Taule说 , 公司应该将通用安全框架中列出的控制方法应用到物联网设备上 。 例如 , 在合同中包含安全功能需求;请求最近的漏洞扫描或主张自己进行扫描的权利;供应商有义务提供及时的更新以解决发现的缺陷;在固件更新后重新扫描设备 , 以确保已发现的问题已经解决 , 并且没有引入新的问题 。
防御物联网身份欺骗
这些年来 , 黑客和他们的技术已经变得越来越熟练 , 这可能是物联网安全的一大威胁 。
“他们不断像造假者和伪造者一样提高自己的游戏水平 , ” DiDio说 。 “物联网设备的指数级增长意味着攻击面或攻击媒介呈指数级增长 。 ”
因此 , 企业及其安全和IT部门必须验证与其通信的IoT设备的身份 , 并确保它们对于关键通信、软件更新和下载是合法的 。
DiDio说 , 所有物联网设备都必须具有唯一身份 。 她说 , 在没有唯一身份的情况下 , 组织很容易受到从微控制器级别到网络边缘到应用程序和传输层的端点设备的欺骗或黑客攻击 。
不要让物联网设备启动网络连接
Pironti说 , 公司应该限制IoT设备启动网络连接的能力 , 而只能使用网络防火墙和访问控制列表连接到它们 。
Pironti说:“通过建立单向信任原则 , 物联网设备将永远无法启动到内部系统的连接 , 这将限制攻击者利用它们作为跳转点来探索和攻击网络段的能力 。 ” 。
Pironti说 , 虽然这并不能阻止对手攻击与他们直接建立连接的系统 , 但会限制他们在网络内横向移动的能力 。
Pironti说 , 企业还可以强制与IoT设备的连接通过跳转主机或网络代理 。 他说:“通过在漏斗点代理连接 , 组织可以在进出IoT设备之前检查网络流量 , 并更有效地查询流量 。 ”这使它能够确定其承载的流量和有效载荷是否适合于要接收或传输的IoT设备 。
为物联网提供自己的网络
许多类型的控制设备(例如恒温器和照明控件)通过无线连接 。然而 , 大多数企业无线网络都需要WPA2-Enterprise / 802.1x , 电气承包商Rosendin Electric网络安全和合规性高级总监James McGibney说 。
“大多数这些设备不支持WPA2-Enterprise , ”McGibney说 。 “开发一种更安全的设备将是理想的 。 但是 , 如果环境支持 , 你可以把这些设备放在它们自己的无线网络上 , 与生产网络隔离开 , 并且仅允许Internet访问 。 ”
McGibney说 , 这将需要创建一个单独的服务集标识符(SSID)和虚拟局域网 , 并具有通过防火墙路由流量的能力 。 他说 , 隔离的无线网络将在一个集中的位置配置和管理 。
McGibney说:“我们已经对某些设备进行了此操作 , 例如需要Internet访问的自动售货机 , 我们无法控制这些设备 。 ”“我们将它们放置在访客网络中 , 该访客网络与生产隔离 。 ”他说 , 它在相同的硬件上运行 , 但在单独的VLAN上 。
将安全性纳入供应链
物联网工作通常涉及到供应链中的多个合作伙伴 , 包括技术供应商、供应商和客户 , 安全性必须考虑到这一点 。
Taule说:“如果您还没有这样做 , 请查阅合同 , 财务或组织中管理供应链的任何其他部门 。 ” “开始对话并与他们建立关系 , 除非获得安全团队的同意 , 否则不批准任何物联网购买 。 ”


推荐阅读


上一篇:群众网运营商公然造假?工信部正式发话,网友:这太夸张了

下一篇:科学天文学家发现了另一个太阳