文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

物联网平台提供商如何保证物联网安全?

2024-12-01 01:28

关注

一旦控制了这些物联网设备,Mirai就会将它们作为机器人大军进行网络攻击。而这一网络攻击背后的企业主要以顶级域名系统(DNS)提供商为目标,显然是为了破坏Playstation网络。最终导致Reddit、Netflix和Twitter无法使用长达几个小时的时间。

同样的网络攻击行为可以让黑客自由支配商业物联网系统,从被盗数据到勒索软件甚至更糟,都可能造成灾难性影响。安全服务商卡巴斯基公司表示,从2020年上半年到2021年,物联网设备上的网络攻击事件增加了一倍多。

但也有好消息:依赖物联网的60%以上的企业并非无力保护自己。自从2016年以来,物联网的网络安全有了很大的进步。只要企业确保选择了拥有最先进防御的物联网合作伙伴,就基本可以保证安全。

如今,许多物联网系统在自助服务平台上运行,所有业务用户都可以构建定制的物联网应用程序,而无需从头开始设计。那么,面对安全威胁,如何决定哪个平台最能让自己安心?

向供应商询问以下这五个物联网安全问题。他们的答案将揭示他们是否遵循当今物联网安全的最佳实践,或者您是否应该继续搜索。

向物联网平台提供商提出的5个物联网安全问题

企业不能将传统的IT安全策略应用于物联网系统。每个设备都是潜在的入侵媒介,这种新范式需要新的网络防御方法。要评估物联网平台的安全级别,需要与供应商进行面谈,并从以下五个物联网安全问题开始:

(1)整体安全框架是什么?

网络安全是一个强大的领域,具有建立可靠防御的既定策略。企业的物联网平台提供商应该能够描述这些策略。欧盟网络和信息安全局建议采用纵深防御方法,其中多层防御可以阻止攻击;一个安全边界失效的地方,这个概念成立,另一个安全边界将继续存在。

纵深防御紧密地映射到物联网系统,企业和其物联网平台提供商必须在其中维护至少三个级别的安全性:

●保护设备本身,包括硬件、软件和网络连接。

●保护物联网云平台,包括管理层和数据访问。

●遵守数据隐私法,包括(取决于人们所在的位置)通用数据保护条例(GDPR)、当地法律和行业认证。

为了提供这些多层次的保护,物联网平台开发人员可以应用ISO27001等认证标准或遵循DevSecOps(开发、安全和运营)计划,该计划在开发过程的每一步都集成了安全性。他们可能采用多种方法。

与此同时,微软公司建议物联网安全的零信任原则。这个防御框架假定所有请求都是有罪的,直到被证明是无辜的;它需要在提供访问权限之前进行严格的验证。

需要注意的是,深度防御和零信任并不相互排斥。物联网平台中的强大安全性可能包括两者的元素。事实上,第三种策略(设计安全)涉及同时集成多个安全策略,将安全视为整个系统及其生命周期的整体要求。

(2)如何在平台中启用安全功能?

这是一个棘手的问题。在理想情况下,应默认启用安全功能。同样,在完全确定需要它们之前,应禁用打开潜在漏洞的设备功能。

在相关说明中,默认密码最初应该是健壮的。企业还应该在部署之前更改密码和用户名,这是2016年遭遇Mirai攻击的一个仍然相关的教训。

(3)如何防止设备级别的安全漏洞?

物联网平台的设备安全性可能很棘手;毕竟,他们并不总是控制用户使用的设备。与提供预集成设备库以供选择的提供商合作,并询问他们是否已验证设备固件中的安全协议。

一个关键的最佳实践是仅使用提供基于硬件的不可变信任根的设备。这是一个验证真实基本输入/输出系统(BIOS)的芯片,BIOS是启动系统的固件。如果没有这一验证,黑客可能会在损坏的BIOS上启动设备,这让他们可以完全控制。

(4)平台如何控制用户访问?

不要让恶意行为者进入系统。物联网平台中的用户控制主要是身份验证和授权问题,但并非所有身份验证协议都同样强大。为了与零信任安全保持一致,平台应单独保护系统资源。

最常见的资源授权协议称为OAuth2;选择包含OAuth2甚至更好的资源单点登录(SSO)授权的平台提供商,具体取决于分配的用户角色。说到角色,在企业的物联网平台中寻找基于角色的访问控制(RBAC)。这使企业能够为物联网项目中涉及的每个人(从管理员到内部用户再到第三方合作伙伴)授予不同级别的访问权限。

(5)如何处理软件和固件更新?

企业越早更新应用程序,其整个系统就会越安全。但是在一个拥有数十个(或数百个)设备的物联网系统中,仅使用人工方法是无法保持最新??状态的。

与其相反,寻找支持无线(OTA)更新的物联网系统,将新版本的软件和固件推送到云平台。可能还会询问更新服务器的安全性、设备连接以及更新包的加密方法。

克服物联网平台中的网络安全挑战

极其丰富的数据收集、前所未有的自动化、实时数据流等物联网的承诺,使这项技术成为竞争的关键。创造这些好处的相同特征导致了一系列新的安全挑战。

大多数物联网设备在物理尺寸和计算能力方面都设计得尽可能紧凑。这并不总是为安全功能留下空间。更糟糕的是,物联网市场尚未确定所有利益相关者的标准化安全协议。例如,设备制造商可能会采用完全不同的方法进行身份验证。平台提供商、系统集成商和运营商本身可能并不都在同一页面上。

选择一个单一的自助物联网平台可以消除这种碎片化。这些平台使整体安全设计策略相对简单。但在与任何平台提供商合作之前,请务必了解他们如何处理安全性。上面列出的物联网安全问题是一个很好的起点。

来源:e-works内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯