保護企業(yè)物聯(lián)網(wǎng)安全的8大策略

E安全
佚名
隨著物聯(lián)網(wǎng)設備的增多,物聯(lián)網(wǎng)安全問題日益凸顯。為確保數(shù)據(jù)的隱私性,數(shù)據(jù)存儲的安全性以及完整性,以色列物聯(lián)網(wǎng)安全公司 SecuriThings 的營銷副總裁尤塔姆·古特曼給出了一些保護 IoT 設備安全的相關建議。...

隨著物聯(lián)網(wǎng)設備的增多,物聯(lián)網(wǎng)安全問題日益凸顯。為確保數(shù)據(jù)的隱私性,數(shù)據(jù)存儲的安全性以及完整性,以色列物聯(lián)網(wǎng)安全公司 SecuriThings 的營銷副總裁尤塔姆·古特曼給出了一些保護 IoT 設備安全的相關建議。

近年來,消費市場的物聯(lián)網(wǎng)(IoT)設備呈爆炸式增長,預計到2020年全球物聯(lián)網(wǎng)設備的使用量將達到240億臺。物聯(lián)網(wǎng)設備不斷增加,隱私和敏感數(shù)據(jù)丟失等安全問題引發(fā)擔憂。智慧城市、企業(yè)也會捕獲物聯(lián)網(wǎng)中有價值的數(shù)據(jù)。攻擊者擅長利用易受攻擊的聯(lián)網(wǎng)設備作為切入點,訪問網(wǎng)絡內(nèi)的敏感數(shù)據(jù)。

以色列物聯(lián)網(wǎng)安全公司 SecuriThings 的營銷副總裁尤塔姆·古特曼表示,物聯(lián)網(wǎng)設備的安全性在變得更好之前會越來越糟。

企業(yè)面臨的物聯(lián)網(wǎng)安全挑戰(zhàn)

每天都有大量新的設備聯(lián)網(wǎng),大規(guī)模攻擊將使得個人、企業(yè)和監(jiān)管機構要求物聯(lián)網(wǎng)服務提供商提供更具安全性的產(chǎn)品。在這一過程中,若存在成熟的安全解決方案,這些方案可能規(guī)?;越档屯{。在與企業(yè)意識和預算充足的情況下,企業(yè)便能有效降低安全風險。

古特曼表示,企業(yè)面臨著諸多物聯(lián)網(wǎng)安全挑戰(zhàn),其最突出的挑戰(zhàn)是對如何采用安全性策略缺乏意識。IT 人員的職責是保護涉及參數(shù)的 IT 系統(tǒng),而物聯(lián)網(wǎng)設備直接與云對話,這是一個截然不同的環(huán)境。他擔心,部分組織機構會認為物聯(lián)網(wǎng)安全影響 IoT 設備的運作方式。同樣,企業(yè)與安全提供商之間的信任有時也存在不確定性。

除此之外,企業(yè)還應要求部署安全機制的服務提供商提供可見性解決方案,使其能了解設備內(nèi)發(fā)生的情況,以便在其遭受感染時,將其斷網(wǎng)并移除。

物聯(lián)網(wǎng)安全之企業(yè)指南

以下為古特曼給出的保護 IoT 設備的相關建議:

保護企業(yè)物聯(lián)網(wǎng)安全之8大策略

1. 僅在必要時聯(lián)網(wǎng)

智能設備的具體安全準則是:不必要對互聯(lián)網(wǎng)開放時,則不聯(lián)網(wǎng)。例如,恒溫器在本地可運行時就可以不用連接到互聯(lián)網(wǎng)。

2. 將基本的 IT 安全程序應用到物聯(lián)網(wǎng)安全

管理用戶訪問設備、使用強密碼和用戶名的流程,避免使用設備的默認設置和密碼。

3. 勿忽視由第三方托管或安裝的 IoT 設備

企業(yè)經(jīng)常會通過物聯(lián)網(wǎng)服務提供商安裝和操作物聯(lián)網(wǎng)設備(例如遠程安全監(jiān)控)。然而,這些設備可能會導致隱私泄露和安全事件,因此,企業(yè)有必要對這些設備進行監(jiān)控,即使這些設備在技術上將并不屬于企業(yè)(這種情況下,責任在于物聯(lián)網(wǎng)服務提供商)。

4. 內(nèi)部威脅不容忽視

物聯(lián)網(wǎng)也可能會被內(nèi)部工作人員利用,以收集敏感數(shù)據(jù),因此企業(yè)需采用嚴格的訪問管理流程,監(jiān)控用戶、管理員和技術人員的行為。

5. 考慮隱私問題

物聯(lián)網(wǎng)設備可收集極其敏感的信息、錄像、錄音等,因此在部署物聯(lián)網(wǎng)設備時應當考慮隱私和和法律問題。

6.  實時監(jiān)控

實時監(jiān)控,隨后進行調(diào)查和采取補救措施。物聯(lián)網(wǎng)安全解決方案應當允許企業(yè)實時識別黑客攻擊嘗試,并對其進行阻止和調(diào)查。

7. 制定物聯(lián)網(wǎng)安全事件應急響應計劃

像 IT 安全一樣,組織機構需要制定物聯(lián)網(wǎng)安全計劃。然而與 IT 安全不同的是,入侵物聯(lián)網(wǎng)設備可能會產(chǎn)生現(xiàn)實的影響,因此企業(yè)必須制定應急計劃,以便在事件發(fā)生時迅速采取行動。

例如,物聯(lián)網(wǎng)設備在遭遇感染時,提前考慮“是否應斷開設備?是否應重啟設備?如果某些設備在執(zhí)行關鍵任務,是否應讓設備在線,直到被替換?”等等問題。

8. 讓利益相關者參與計劃階段

維護 IT 安全是首席信息官(CIO)/IT 部門的職責,而物聯(lián)網(wǎng)則涉及業(yè)務、運營、IT 基礎設施、物理安全和其它利益相關者,所有利益相關者均應參與設計物聯(lián)網(wǎng)安全解決方案和協(xié)議。

(原標題:企業(yè)物聯(lián)網(wǎng)安全之8大策略)

THEEND

本月熱門