標籤: IoT

如何在2019年管理物聯網(IoT)的安全

Posted on by blogadmin

AT & T Cyber​​security物聯網解決方案實踐負責人Mike Feeney, 與我們在一起探索和瞭解, 如何在2019年管理物聯網(IoT)的安全

物聯網安全的挑戰

歡迎來到物聯網(IoT)世界,並展望未來。物聯網是物理世界與數位世界融合的地方。我們預計很快世界物聯網人口將比人口總數增加十倍,到2025年,可能有多達800億個互聯網設備。

當您目睹物聯網的全球和經濟增長加速時,您可能想知道您和您的企業如何建立聯繫並參與由物聯網創造的數萬億美元的機會。

對於每個人來說,這意味著不同的事物從連接的汽車到智能燈柱,可穿戴式健康監護器或工廠車間裝配線上的機器人。它甚至可能是—-在農場的田野上有一群小型的太陽能傳感器。

無論採用哪種方式,都面臨著艱鉅的任務:物聯網的加速,再加上這些設備的多樣性,其不同的功能以及可以部署的地方和方式,這使安全性成為一個獨特的挑戰。

您需要以一致的方式為您為業務的未來構想,部署和建立IoT的各個方面和維護安全性。

通過採用整體,多層的方法來保護您的IoT生態系統,它們連接的其他寶貴資產以及它們所在的物理世界,這一切就在您的範圍之內。

物聯網安全需求的解決方案,通過分層方法保護您的物聯網。

每個物聯網生態系統都有其獨特的安全需求。即使對於單個客戶端,看似相似的IoT部署也可能具有不同的基礎設計。例如,今天建造的工廠可能與幾年前建造的工廠完全不同。這意味著可能需要組合不同的解決方案以幫助為每個解決方案提供安全性。

物聯網的全面安全評估是一個多層過程。每層都需要照顧和關注。某些端點設備很複雜,可以通過多種方式訪問設備的內部功能。其他的則很簡單,

但在安全性方面落後於智能手機多年,您知道設備的安全功能嗎?

端點之間可以相互連接,可以通過網關相互連接,也可以與其他網路,Internet以及雲連接。他們可能使用包括有線,無線,短距離,行動和衛星的連接。有什麼可能破壞他們的溝通?

為了使IoT部署成功,必須從設備中獲取,傳輸,處理和使用數據。您如何提供對重要數據和應用程式的信任和適當訪問?

意識到某些物聯網生態系統可能與傳統的IT環境大相徑庭。工業物聯網部署使用運營技術,該技術可在經典模型上翻轉腳本以達到信息安全。可用性和完整性是重中之重,而機密性通常不是一個考慮因素。這需要專門的被動掃描工具來執行評估。對製造或公用事業流程的輕微破壞會導致巨大的財務損失。這方面的一個例子是一家工廠,每分鐘生產一輛皮卡車它負擔不起停機時間。對生命敏感的設備將影響補救和回應計劃。因此,例如,一個連接的醫療設備,例如胰島素泵,即使您認為有人正在訪問數據,也不想禁用該設備。

您處理設備威脅的正式計劃是什麼?你測試過了嗎?

高度保護與其他網路資產的連接

根據其定義,物聯網意味著您的設備將連接到外部世界,因此,世界可能會訪問您的設備以及它們所連接的所有其他設備。

您需要評估IoT網路如何連接到傳統IT網路。您是否在製定計劃時就建立了IoT網路,還是在部署新設備時臨時增加了它們?您知道分割它們並優化它們如何互連的最佳方法嗎?

一封打開的網路釣魚電子郵件可能會破壞您整個業務的利潤。您如何為傳統IT資產提供安全性以及如何防止IoT生態系統遭到破壞?

有條不紊地評估實際的風險

許多組織並不知道他們已經在使用大量的物聯網設備,以及這些設備如何影響網路安全性,隱私和人為風險。物聯網設備可以感知甚至改變其環境。因此,應分析和解決設備到設備,設備到系統以及設備到人的交互的潛在風險和嚴重性。

潛在威脅包括人,車輛,生物危害和自然災害。物聯網很容易遭到破壞,盜竊或污染。當您的設備有損壞,毀壞或被盜, 你有沒有其他的計劃?

依賴性和接近危險也成為考慮因素。例如,水處理設施最依賴於它們與電網的連接。遭受龍捲風警報系統的攻擊會導致911呼叫系統過載,從而引起廣泛的恐慌。您是否已預見到可能的結果,以計劃對抗骨牌效應?

經濟影響可能不僅限於您所在的地區,還包括周邊地區和人口。您是否考慮過這些影響可能是什麼?

有很多要考慮的問題。但是這些挑戰不會隨著時間而改變。所以問題是:您真的要等待,還是準備好現在就開始利用物聯網?您將如何保護物聯網世界的未來?

需要牢記的最佳物聯網安全實踐

了解現在和將來物聯網的實際外觀,成為您的IoT設備的清單,以及這些設備如何影響網路安全性,隱私和人為風險。

使物聯網成為您的網路安全計劃是不可或缺的一部分。過去“先連接它,然後再保護它”的通常做法是不可行的。進行端到端網路安全風險評估,將物聯網視為您整體風險的一部分。

請記住,物聯網安全需要分層的方法。您想確保端點設備,它們的通信(有線和無線網路和網關)以及它們的數據和應用程式受到高度保護。

注意物理世界中的物聯網生態系統風險。理想情況下,全面的IoT安全評估應包括物理環境,以及由人,車,生物危害和自然災害等威脅對連接設備造成的風險。

結論:我們從這裡去到那裡?

隨著物聯網的不斷發展,它將提供更多新的令人興奮的方式來轉變和發展您的業務。物聯網的未來將為您帶來新的機遇,以及新的安全風險和注意事項。您不必等待為物聯網提供安全性以使您的業務受益,您只需採取正確的方法即可。

現在是進入物聯網未來世界的最佳時機。

Source: http://spr.ly/60191B0O1

NIST(美國國家標準與技術研究院)發佈了針對物聯網業務的安全指南

Posted on by blogadmin

您是否有點擔心物聯網設備的安全隱患?美國國家標準與技術研究院(NIST)剛剛發佈了一份文件,以幫助物聯網用戶保護自己免受物聯網安全問題的影響。

 

管理物聯網(IoT)網路安全和隱私風險(NIST IR 8228)的注意事項借鑒了NIST網路安全框架中的一般網路安全原則,並使其適應物聯網時代,它是旨在幫助組織更好地了解物聯網安全風險。

 

該指南確定了物聯網設備的網路安全和隱私風險考慮因素,然後再探討緩解這些問題的一些挑戰。最後,它提出了一些廣泛的建議。

 

它警告IoT設備與實體世界的互動,可能會改變實體系統。它們還可以收集大量有關個人的數據。

 

IT團隊應通過適當的資產管理(維護適當的物聯網設備庫存)和漏洞管理(消除設備固體中的已知漏洞)來保護設備安全。他們還應該仔細管理對設備的訪問,並監控它們的數據和設備安全事件。報告補充說,他們應該防止數據篡改,管理個人數據流,同時為個人數據處理設置權限。

 

報告警告說,物聯網設備通常無法像一般IT設備那樣被訪問,管理或監控。他們經常採用“黑箱測試”方式,完全缺乏界面或管理功能。其中一些甚至沒有特有的識別碼。這些缺點可能會限制事件日誌等網路安全信息的可用性。

 

NIST提出了一些應對這些挑戰的建議。這些包括識別哪些設備具有物聯網特徵及其類型,評估每個設備的風險,然後通過接受,避免,減輕,共享或轉移來建立應對該風險的策略。

 

這是一份高級文檔,但它只是NIST在物聯網安全方面的一系列進一步文檔的開始。實際上,NIST刪除了本文檔中最初含蓋的附錄,其中給出了物聯網設備所需的網路安全和隱私功能的範例。報告補充說,它將在另一份出版物中發佈。

 

在一個充斥著物聯網設備的行業中,從運輸系統到水和能源網路管理的所有內容,看到物聯網安全的權威指南,真的讓人很高興!

 

Source: https://www.infosecurity-magazine.com/infosec/nist-iot-security-guidelines/