What is the Internet of Things (IoT)
and how can we secure it?
瀚錸科技代理「ForceShield」,採用革命性的「動態應用安全架構」 |
來源:51CTO
物聯網已不再是一個遙不可及的夢想,而且客觀情況是,我們的現實世界,已經準備好運用它的各項最新成果了。在這些成果中,最受歡迎的特性包括:高效的機(器)對機(器)(Machine to Machine,M2M)通訊,多協議開發,各種應用技術/嵌入式裝置的統一,以及整體的智慧工作與生活。
在我們籌備智慧城市、智慧環境、智慧零售、以及智慧家居時,測試和評估物聯網,對於這些不同行業環境來說,是非常有意義的。
物聯網測試的技術,幾乎適用於整個物聯網領域,包括:近場通訊(near field communication,NFC)支付、行銷、金融、汽車、資訊通訊等方面。其中,最為重要的當屬:一個企業或團隊在其物聯網安全測試中,所需要考慮到的那些因素。
比如說:漏洞檢查、網路攻擊,資料安全、軟/硬體通訊、以及Web應用程式的安全性。雖然需要考慮的因素遠不止這些,但這些絕對是各類測試人員在物聯網環境的安全測試中,所需要面臨的當務之急。
比如說:漏洞檢查、網路攻擊,資料安全、軟/硬體通訊、以及Web應用程式的安全性。雖然需要考慮的因素遠不止這些,但這些絕對是各類測試人員在物聯網環境的安全測試中,所需要面臨的當務之急。
可以說,安全性是企業在實施各種物聯網解決方案時,所需要面對的最大問題之一。被連線的裝置需要得到控制,否則,它們不但在總體運作中會處於危險狀態,而且各種敏感資料也會從系統中悄然流逝出去。
同時,由於物聯網能夠對各種資源進行深入「解讀」,從而產生規模性價值。因此,你的企業如想實施和應用物聯網的各種解決方案,就必須重視和處置,任何可能涉及到安全的隱憂和問題。
同時,由於物聯網能夠對各種資源進行深入「解讀」,從而產生規模性價值。因此,你的企業如想實施和應用物聯網的各種解決方案,就必須重視和處置,任何可能涉及到安全的隱憂和問題。
1、記錄每一個新增的端點
隨著物聯網的擴充套件,每一個端點在被新增到網路中的時候,也同時增加了新的、更多的安全漏洞。然而,就物聯網裝置本身而言,來自多個開源領域,和不同型別的專有作業系統,所開發出的裝置有著不同的計算能力水平、儲存容量和網路配置。
因此,重要的是:每個新增端點,需要作為資產被記錄在冊,並保證得到在安全和效能方面的評估。你可以參考的最佳實踐是:對系統中的所有裝置建立一個編錄清單,並持續更新之。這也有助於我們,去監控整個物聯網系統中,各種裝置的增加、調整與刪除。
若要保持其長期有效,你還需設定好與物聯網專案相對應的資產發現、跟蹤和管理機制。
因此,重要的是:每個新增端點,需要作為資產被記錄在冊,並保證得到在安全和效能方面的評估。你可以參考的最佳實踐是:對系統中的所有裝置建立一個編錄清單,並持續更新之。這也有助於我們,去監控整個物聯網系統中,各種裝置的增加、調整與刪除。
若要保持其長期有效,你還需設定好與物聯網專案相對應的資產發現、跟蹤和管理機制。
2、密碼和身份憑證
這應該是我們在考慮物聯網環境的安全時,最值得推薦和需要明確保障的因素了。然而,為了避免使用那些,由裝置廠商所配置的預設密碼,我們必須繁瑣地逐一進行修改。這些都必須在專案的初始階段,就被正確地考慮到,否則,會給駭客留下攻擊系統,以及控制各種裝置的可乘之機。
3、資料介面
物聯網的核心,是能夠從一個端點,向另一個端點,進行有效和無縫的資料交換。因此,理解和評估各種裝置之間的互動連線方式,以及資料交換是否安全,則顯得非常重要。只要在整個通訊鏈路的某處發生了漏洞,都將導致資料的洩漏,並引起各種後續問題。
此外,密切注視物聯網範圍內的任何異常行為或活動也是至關重要的。因為在裝置系統內部,任何資料的流轉都可能會被別有用心的黑客所利用。所以,我們要保持高度警惕,徹底並持續地監控各個資料的介面。
4、持續更新
如今,諸多物聯網專案都能夠以「看得見,摸得著」的方式落地實施。這同時也意味著,它們與生俱來的安全性和風險性,也正在持續增加,因此我們要持續進行監測和管控。
而對於普通企業來說,他們存在著一個重大的問題:缺少不斷更新自己的聯網裝置的意識。固然他們在開發或購買裝置的時候,當時已經得到了更新。但是,隨著它們所處的技術環境的不斷變化,各種漏洞也會被迭代產生。這些漏洞往往會被那些一直在觀察和分析我們的系統、並伺機出來搞破壞的各類駭客,所迅速捕獲和利用。
而對於普通企業來說,他們存在著一個重大的問題:缺少不斷更新自己的聯網裝置的意識。固然他們在開發或購買裝置的時候,當時已經得到了更新。但是,隨著它們所處的技術環境的不斷變化,各種漏洞也會被迭代產生。這些漏洞往往會被那些一直在觀察和分析我們的系統、並伺機出來搞破壞的各類駭客,所迅速捕獲和利用。
因此,我們迫切需要能夠部署一套自動更新的機制,並將該因素自始至終地貫徹下去。
5、當心你的物聯網裝置供應商
身在「明處」的那些駭客,和外部因素固然能對你的物聯網系統產生威脅。但是,你又該如何去防範,那些向你兜售聯網裝置的公司,所可能留下的「後門」呢?
他們可以輕鬆地訪問到你的個人資料,甚至是你的貨幣交易相關資料。此外,透過這些裝置所收集到的資料,他們也可以在組織、甚至是個人層面上,以截然不同的方式反作用於使用者本身。
他們可以輕鬆地訪問到你的個人資料,甚至是你的貨幣交易相關資料。此外,透過這些裝置所收集到的資料,他們也可以在組織、甚至是個人層面上,以截然不同的方式反作用於使用者本身。
因此,任何選用了物聯網裝置的消費者,都必須在購買裝置時,閱讀並理解相關的協議,以確保共享的資料是保密的,而且是在徵得消費者同意的基礎上被用於共享。任何與資料使用和分發相關的協議,對於其所處的特定物聯網環境,都是至關重要的。可以說它們是整個專案的基礎與核心。
6、在裝置上保持「負載及即檢測」
由於物聯網專案,必然會涉及到跨裝置平台之間的資料交換,那麼在資料的傳輸過程中,偶爾出現負載的突發峰值,也是不足為奇的。
這樣的負載,可能會對系統的整體效能,產生負面影響,並導致效能與安全疊加的問題出現。由於各種裝置需要透過這些快速流轉的狀態資訊,來與系統進行通訊。因此我們需要在不同的網路條件下,對網路效能與相關的基礎設施進行測試。
有時候,我們甚至需要對各種物聯網裝置,和相應的應用程式,進行橫跨不同配置狀態的測試,以確保它們既能及時地做出響應,又不會丟失有效的資料。
這樣的負載,可能會對系統的整體效能,產生負面影響,並導致效能與安全疊加的問題出現。由於各種裝置需要透過這些快速流轉的狀態資訊,來與系統進行通訊。因此我們需要在不同的網路條件下,對網路效能與相關的基礎設施進行測試。
有時候,我們甚至需要對各種物聯網裝置,和相應的應用程式,進行橫跨不同配置狀態的測試,以確保它們既能及時地做出響應,又不會丟失有效的資料。
結論
Gartner公司已指出:到2026年,物聯網裝置的數量將增至200億以上。我個人覺得這是完全可以達到的。每一種可能影響到物聯網裝置效能的因素,都有能力將挑戰轉化成為新的機會。
而安全性,正是企業在採用物聯網解決方案時,所面臨的一項重大挑戰。
可見,如果上述這些因素能夠被定期地提及和處理的話,物聯網絕對能夠成為,企業在不同業務領域長足發展的助推劑。
沒有留言:
張貼留言