如何将安全集成到物联网项目中
2020-08-10李汇
李汇
物联网正以惊人的速度发展。Gartner预测,2020年全球物联网终端数量将增长至58亿台,比2019年增长21 %。从制造业、公用事业、交通运输和零售等众多工商业的幕后应用,到健身跟踪器和健康可穿戴设备等面向消费者的应用,物联网几乎正在触及地球上的每一个领域。
随着连网终端数量的增加,网络攻击的风险也随之增加。物联网设备为网络罪犯分子提供了大量潜在的漏洞,无论是直接窃取数据、获得对更广泛组织网络的访问权,还是仅仅是造成广泛的破坏和中断。《福布斯》估计,数据泄露在2019年前6个月就暴露了41亿条记录,这是一个非同寻常的数字,而且F-Secure的安全研究人员发现,在此期间,网络攻击流量的大幅增加主要与物联网有关。
所有这一切意味着,如果您正在开展一个新的物联网项目———无论是在开发新的物联网产品或服务,还是在组织中部署物联网系统———从头开始集成强大的安全性是绝对必要的。
物联网安全:趋势与预测
首先,让我们来深入了解物联网安全的更广泛的概念,并考虑一些让安全管理员们忧心的主要趋势。
5G是一个有力的例子。随着部署持续,2020年很可能会出现专门针对5G网络的攻击。该协议越主流,通过该协议连接的传感器和设备的数量就越多,尤其是在智慧城市生态系统方面。这能为网络罪犯分子提供瘫痪整个街区或城市服务的手段吗?时间会证明一切,但需要强调的是,与其他无线连接协议一样,5G尤其容易受到分布式拒绝服务(DDoS)攻击的影响。
物联网安全关注的另一个重要领域是智能建筑。鉴于智能建筑在整个物联网终端中占有相当大的比例,它们成为网络罪犯分子的诱人目标也就不足为奇了。此外,典型智能建筑中涉及大量不同的供应商和制造商,这可能会在确保第三方供应商的安全方面带来特定挑战。2013年,由于针对其制冷承包商的网络攻击,Target有4 000万张信用卡信息被泄漏———在智能建筑时代,此类事件可能会变得更加普遍。
物联网安全原则
那么,将安全性集成到物联网项目中的核心原则是什么?
设计安全
这是物联网世界之外的公认原则,但值得在此再次强调。可能与您的期望相反,安全的设计方法并不总是物联网开发人员和设计师的首要任务。观念正在发生改变,尤其是考虑到物联网设备和传感器的整个生命周期,以及提供可使用的版本更新。无论是在开发还是部署物联网产品,安全的设计方法都应该是首要任务。
可信身份
物联网网络安全始于可信身份。也就是说,首先要能够识别物联网中的每一台设备、服务和用户,并确保它们的身份准确无误。这听起来可能显而易见,但鉴于典型物联网部署的规模和复杂性,这是一个具有挑战性的命题。像Device Authority这样的组织正在重新考虑身份在物联网时代的工作方式,并构建解决方案,以实现大规模物联网设备的安全注册和配置。
传输和存储中的数据加密
正如我们之前讨论的那样,物联网从根本上讲就是关于数据的———生成数据、分析数据和将数据转化为有形的见解并加以利用。这意味着,在整个典型的物联网生态系统中,无论是在端点设备之间,还是往返于集中式分析平台之间,都传输了大量数据。
因此,在整个流程中,使用行业标准、经过同行认可的加密功能对这些数据进行加密至关重要。从创建的那一刻开始,在每一个流程以及在存储的任何位置,都必须使用强大的加密措施来保护数据。
无线自动修复设备
任何IT安全要素的一个关键方面是,当发现新的漏洞或不良行为者开发的新工具和技术时,都需要对硬件和软件进行升级或修复。在物联网时代之前,打补丁已经是一项运维挑战———物联网引入的终端设备数量大幅增加意味着需要采取一种完全不同的方法。
一旦物联网设备部署到位,就必须有一个安全的更新机制。也就是说,设备必须在升级时从供应商处收到经过加密签名的更新,并且必须检查更新的签名,以确保该更新是有效的,且确实来自该供应商。此外,更新还必须通过无线网络自动进行,最终用户不需要手动操作。
管理和更新开源软件
与上面相关的一点是管理和更新任何用于支持物联网项目的开源软件。假设所述项目的每一个元素都不是自定义编寫的,则需要跟上其开源组件中发现漏洞的速度,并确保有人负责每次发布漏洞时更新软件、测试集成和重新评估风险。
注意Web应用程序
大多数物联网设备是使用Web应用程序进行管理的,这意味着与这些应用程序相关的所有安全漏洞都将转移到物联网部署中。您的开发人员应该在所有的Web开发中使用经过审查的框架。
从一开始就整合物联网安全
最重要的是,物联网项目,无论是全新的设计和开发项目,还是现有技术的部署,都需要从头开始考虑安全性。物联网安全不能在项目结束时添加,也不能外包给完全独立的个人或团队。从第一天起就需要将其彻底整合到项目中,并在最后进行评估,然后再不断进行重新考量。
围绕物联网的威胁形势异常动态。网络犯罪分子和破坏分子很快就能认识到,全球范围内连网设备数量的巨大增长,以及典型组织基础设施中涉及的第三方数量的增加,为他们提供了大量破坏、盗窃、渗透和勒索的新机会。无论组织涉及物联网的哪一部分,无论是向市场提供新的连网产品和服务,还是使用其他企业的物联网产品来提高自己的运营效率和创新,安全都应该是一个至关重要的问题。