安全

跨越物联网安全雷区面临的5大挑战

字号+ 作者:Andrew Useckas 来源:物联之家网 2018-08-14 23:31

我今天收到了一封安全摄像头供应商的电子邮件。其产品的主要卖点是 “您可以在任何地方、任何设备、任何时间访问您的视频”。换句话说,“我们将您的数据存储在云中”


图片来源:
https://pixabay.com/photo-203740/


编译:冬夜


我今天收到了一封安全摄像头供应商的电子邮件。其产品的主要卖点是 “您可以在任何地方、任何设备、任何时间访问您的视频”。换句话说,“我们将您的数据存储在云中”。只要快速浏览一下它的网站,就会发现没有第三方审计或真正安全框架的证据。相反,有一大堆空洞的陈述,比如,“我们注意保护客户数据的隐私。”
 
不用说,我肯定不会使用它们。然而,这揭示了困扰整个物联网产业的一个重大问题:您如何管理和充分保护所有这些设备?集中式门户网站已经成为首选解决方案,使客户可以轻松地插入设备,在门户中注册并从世界任何地方访问设备。
 
不幸的是,这种便利是有代价的。如果没有适当的安全控制,黑客可以像最终用户一样从任何地方访问这些设备。黑客不仅可以访问和利用个人数据(例如由上述供应商存储的长达120天视频),这些设备还可以很容易地扩展以帮助有针对性的攻击,包括分布式拒绝服务攻击到加密货币挖掘。鉴于大多数设备运行Linux,它们特别容易在某些任务中使用,例如Mirai恶意软件。
 
尽管存在明显风险,但大多数物联网供应商都是事后才想到安全性。在使用门户网站进行设备管理时,组织必须考虑许多最佳实践,包括密码恢复和帐户锁定程序。但是物联网的安全问题远远超出了门户网站。有时,它会感觉像是在雷区航行。我将其缩小到了物联网供应商今天面临的五大安全挑战:
 
1、硬件安全,包括默认设置和网络服务;
 
2、云门户安全性,以避免SQL注入和跨站点脚本编写等漏洞;
 
3、保护设备到云的数据流量;
 
4、API安全性;
 
5、建立和维护将客户数据存储在云中的适当控制。
 
 
不幸的是,这些问题没有简单的解决办法。与具有互联网存在的任何其他产品或平台一样,安全性需要从一开始就被纳入管理和开发过程——一旦产品或平台建立起来,就很难解决。适当的安全性还需要各级业务部门的承诺,而不仅仅是在开发级别。因此,强烈建议采用COSO或NIST这样的安全框架,并利用第三方审核员来验证是否确实遵循了控制措施。
 
在本系列的下一篇文章中,我将更深入地探讨与物联网中使用门户网站相关的安全问题,包括如何制定强有力的安全策略、确保安全控制到位的方法以及保护客户的最佳实践。



(本文原创,转载请注明出处:“物联之家网”。违者必究!)



延伸阅读:

物联网对黑客来说是个好消息
 
警务人员应该抓住物联网机会
 
新的欧洲财团,旨在提高物联网安全性、互操作性
 
物联网安全问题:消费者与企业观点

保护物联网设备安全的入门指南
 
物联网设备制造商:解决安全问题或面临法律诉讼








相关文章
  • 工业物联网安全性设计师指南

    工业物联网安全性设计师指南

    2018-10-08 19:01

  • 不论物联网还是边缘计算,安全皆为首要

    不论物联网还是边缘计算,安全皆为首要

    2018-10-05 21:52

  • 为什么咖啡机需要自己的账户?

    为什么咖啡机需要自己的账户?

    2018-10-03 23:12

  • DDOS攻击:物联网的警钟

    DDOS攻击:物联网的警钟

    2018-09-30 01:11