<p id="iuri5"><del id="iuri5"></del></p>
  • <p id="iuri5"></p>
  • 
    

      機房360首頁
      當前位置:首頁 ? 技術前沿 ? 物聯網平臺提供商如何保證物聯網安全?

      物聯網平臺提供商如何保證物聯網安全?

      來源:機房360 作者:Harris編譯 更新時間:2024/3/7 6:51:12

      摘要:同樣的攻擊行為可以讓黑客自由支配商業物聯網系統,從被盜數據到勒索軟件甚至更糟,都可能造成災難性影響。安全服務商卡巴斯基公司表示,從2020年上半年到2021年,物聯網設備上的網絡攻擊增加了一倍多。

          2016年10月21日,發生的一次物聯網安全故障導致大量互聯網中斷大約一天。罪魁禍首是臭名昭著的僵尸網絡(惡意流量雪崩或分布式拒絕服務攻擊),其名稱為Mirai。該惡意軟件發現數以萬計的消費級物聯網設備仍在使用默認密碼運行。而Mirai擁有這些密碼。
        
        一旦控制了這些物聯網設備,Mirai就會將它們作為機器人大軍進行網絡攻擊。而這一網絡攻擊背后的組織主要以頂級域名系統(DNS)提供商為目標,顯然是為了破壞Playstation網絡。最終導致Reddit、Netflix和Twitter無法使用長達幾個小時的時間。
        
        同樣的攻擊行為可以讓黑客自由支配商業物聯網系統,從被盜數據到勒索軟件甚至更糟,都可能造成災難性影響。安全服務商卡巴斯基公司表示,從2020年上半年到2021年,物聯網設備上的網絡攻擊增加了一倍多。
        
        但也有好消息:依賴物聯網的60%以上的企業并非無力保護自己。自從2016年以來,物聯網的網絡安全有了很大的進步。只要企業確保選擇了擁有最先進防御的物聯網合作伙伴,就基本可以保證安全。
        
        如今,許多物聯網系統在自助服務平臺上運行,所有業務用戶都可以構建定制的物聯網應用程序,而無需從頭開始設計。那么,面對安全威脅,如何決定哪個平臺最能讓自己安心?
        
        向供應商詢問以下這五個物聯網安全問題。他們的答案將揭示他們是否遵循當今物聯網安全的最佳實踐,或者您是否應該繼續搜索。
        
        向物聯網平臺提供商提出的5個物聯網安全問題
        
        企業不能將傳統的IT安全策略應用于物聯網系統。每個設備都是潛在的入侵媒介,這種新范式需要新的網絡防御方法。要評估IoT平臺的安全級別,請與供應商進行面談,并從以下五個物聯網安全問題開始:
        
       ?。?)整體安全框架是什么?
        
        網絡安全是一個強大的領域,具有建立可靠防御的既定策略。您的物聯網平臺提供商應該能夠描述這些策略。歐盟網絡和信息安全局建議采用縱深防御方法,其中多層防御可以阻止攻擊;一個安全邊界失效的地方,這個概念成立,另一個安全邊界將繼續存在。
        
        縱深防御緊密地映射到IoT系統,您(和您的平臺提供商)必須在其中維護至少三個級別的安全性:
        
        •保護設備本身,包括硬件、軟件和網絡連接。
        
        •保護物聯網云,包括管理層和數據訪問。
        
        •遵守數據隱私法,包括(取決于人們所在的位置)通用數據保護條例(GDPR)、當地法律和行業認證。
        
        為了提供這些多層次的保護,物聯網平臺開發人員可以應用ISO27001等認證標準或遵循DevSecOps(開發、安全和運營)計劃,該計劃在開發過程的每一步都集成了安全性。他們可能兩者都做,或者采取另一種方法。
        
        與此同時,微軟公司建議物聯網安全的零信任原則。這個防御框架假定所有請求都是有罪的,直到被證明是無辜的;它需要在提供訪問權限之前進行嚴格的驗證。
        
        請注意,深度防御和零信任并不相互排斥。物聯網平臺中的強大安全性可能包括兩者的元素。事實上,第三種策略(設計安全)涉及同時集成多個安全策略,將安全視為整個系統及其生命周期的整體要求。
        
       ?。?)如何在平臺中啟用安全功能?
        
        這是一個棘手的問題。理想情況下,應默認啟用安全功能。同樣,在完全確定需要它們之前,應禁用打開潛在漏洞的設備功能。
        
        在相關說明中,默認密碼最初應該是健壯的。企業還應該在部署之前更改密碼和用戶名,這是2016年Mirai攻擊的一個仍然相關的教訓。
        
       ?。?)如何防止設備級別的安全漏洞?
        
        物聯網平臺的設備安全性可能很棘手;畢竟,他們并不總是控制您使用的設備。與提供預集成設備庫以供選擇的提供商合作,并詢問他們是否已驗證設備固件中的安全協議。
        
        一個關鍵的最佳實踐是僅使用提供基于硬件的不可變信任根的設備。這是一個驗證真實基本輸入/輸出系統(BIOS)的芯片,BIOS是啟動系統的固件。如果沒有此驗證,黑客可能會在損壞的BIOS上啟動設備——這讓他們可以完全控制。
        
       ?。?)平臺如何控制用戶訪問?
        
        不要讓惡意行為者從前門進入。物聯網平臺中的用戶控制主要是身份驗證和授權問題,但并非所有身份驗證協議都同樣強大。為了與零信任安全保持一致,平臺應單獨保護系統資源。
        
        最常見的資源授權協議稱為OAuth2;選擇包含OAuth2甚至更好的資源單點登錄(SSO)授權的平臺提供商,具體取決于分配的用戶角色。說到角色,在您的物聯網平臺中尋找基于角色的訪問控制(RBAC)。這使企業能夠為物聯網項目中涉及的每個人(從管理員到內部用戶再到第三方合作伙伴)授予不同級別的訪問權限。
        
       ?。?)如何處理軟件和固件更新?
        
        企業越早更新應用程序,其整個系統就會越安全。但是在一個擁有數十個(或數百個)設備的物聯網系統中,僅使用人工方法是無法保持最新狀態的。
        
        與其相反,尋找支持無線(OTA)更新的物聯網系統,將新版本的軟件和固件推送到云端。您可能還會詢問更新服務器的安全性、設備連接以及更新包的加密方法。
        
        克服物聯網平臺中的網絡安全挑戰
        
        物聯網的承諾——極其豐富的數據收集、前所未有的自動化、實時數據流等等——使這項技術成為競爭的關鍵。創造這些好處的相同特征導致了一系列新的安全挑戰。
        
        大多數物聯網設備在物理尺寸和計算能力方面都設計得盡可能緊湊。這并不總是為安全功能留下空間。更糟糕的是,物聯網市場尚未確定所有利益相關者的標準化安全協議。例如,設備制造商可能會采用完全不同的方法進行身份驗證。平臺提供商、系統集成商和運營商本身可能并不都在同一頁面上。
        
        選擇一個單一的自助物聯網平臺可以消除這種碎片化。這些平臺使整體安全設計策略相對簡單。但在與任何平臺提供商合作之前,請務必了解他們如何處理安全性。上面列出的物聯網安全問題是一個很好的起點。
        
        編輯:Harris
        

      機房360微信公眾號訂閱
      掃一掃,訂閱更多數據中心資訊

      本文地址:http://www.thatfreebiesite.com/news/202437/n5610156409.html 網友評論: 閱讀次數:
      版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
      轉載聲明:凡注明來源的文章其內容和圖片均為網上轉載,非商業用途,如有侵權請告知,會刪除。
      相關評論
      正在加載評論列表...
      評論表單加載中...
      • 我要分享
      推薦圖片
      片源丰富、内容全面_亚洲A∨综合色区无码一区_亚洲91在线_精品国产在天天线在线