2020年11月2日 星期一

.欠缺統一標準!物聯網平台應如何做好安全防禦?

Defense in depth for IoT devices 

and software


來源:hkitblog 作者:James 

6c370005b1e564fd071f.jpg

物聯網(IoT)將會為各個行業帶來重大的影響,例如汽車行業可通過物聯網提供無邊界、不受限的車聯網體驗,並適時向使用者傳送重要訊息至於航空界亦可受惠於物聯網,令飛機可於飛行期間即時連線控制中心,控制中心除了能監測飛機的各種資料外,更可通過物聯網作即時的診斷及資料修正。


可見,物聯網將會成為未來的主要發展趨勢不過物聯網本身仍存在嚴重的安全隱憂,而其中最令人擔心的,就是欠缺統一性這個老問題。要知道,傳統的防禦方案在開發時,往往是針對已知的作業系統而進行的但現時物聯網系統並沒有統一性,簡單說就是不同開發者,會使用不一樣的系統作為物聯網(IoT) 裝置的基礎,如此一來傳統的防禦方式,將不能提供有效的防禦。


https://www.networkworld.com/article/3217664/how-to-improve-iot-security.html


全方位保護是解決方案

面對這種全新的情況,現時業界正提倡採用端到端方式的防禦政策。所謂的端到端是指整個 IT 系統,包括由控制中心、雲端服務、實體硬體裝置、感測器到傳統的防禦方案而要達此目的,聘請專家針對企業的基礎設施,進行安全策略制訂及評估是必不可少的。


北亞區新興技術專家侯嘉俊指:「要為物聯網 IoT 安全把關一點也不容易,你需要聘請專業人士協助,並針對 物聯網 IoT 基建及相關設施的安全風險作評估才可而裝置生產商、佈署人員、開發者、雲端服務供貨商的協作,亦十分重要,因為只有上下游通力合作下,才有機會堵塞所有漏洞。」



一般來說,專家都會就以下各點為企業制訂,針對物聯網 IoT 的策略或審計工作:


1、就流行的威脅作評估

在檢視你的物聯網 IoT 基建裝置前,專家會就現時流行的安全風險作估算,例如哪些流行的病毒、攻擊手法會對你造成最大影響?而針對來自內部的安全風險又有哪些員工使用電腦的習慣是否會構成安全問題


2、針對性防禦

針對性攻擊大家可能聽說過,就是駭客會透過長時間對目標的觀測,而作出十分精準的攻擊而針對性防禦的原理,就是針對最可能會攻擊企業的方式,從而作出十分精準的針對性防禦措施。


3、進行滲透測試

策略制訂後,便開始進行滲透測試。所謂的滲透測試,其實就是模擬駭客的攻擊。這種做法可找出仍然存在的未知漏洞而有些滲透測試,更會同時針對員工使用電腦的習慣及警覺性進行,例如傳送釣魚郵件,看看有多少員工會按郵件內容,進行相關的工作,這種做法持之有效。


4、周詳的訪問許可權規劃

由於物聯網本身並沒有統一標準,因此良好的訪問許可權規劃,亦是提升物聯網安全的不二法門另外針對不同廠商的物聯網硬體更改預設密碼,並設定一個安全的密碼組合亦十分重要最後當然亦需要定期與物聯網裝置廠商聯絡,並對物聯網硬體進行韌體(Firmware)更新。



除上面提及的各種安全層面之外,企業在制訂策略前,亦應該從物聯網基礎裝置起、一直到佈署過程,以至是營運的整個生命週期一併考慮同時你亦需認真考慮針對物聯網的整個架構,並且建立一個測試模型,就像以往的 Honeypot 一樣,以便吸引駭客進行攻擊,並就攻擊進行最全面的測試及分析,這樣便可有效提升整體物聯網系統與裝置的安全性。


★任何經過翻譯或轉載之中文資訊,我們為了盡量使用台灣常用相關名詞與慣用語法,將與原中文有所變更,但不改內容意義 – 3S MARKET


按此回今日3S Market新聞首頁

沒有留言:

張貼留言