如今,组织与物联网设备相关的安全风险不能忽视。如果组织的大数据计划包括物联网设备,请按照以下四个步骤,减少安全漏洞。
2016年10月21日,Dyn公司遭遇了一系列分布式拒绝服务(DDoS)攻击,这是由恶意软件僵尸网络Mirai造成的。一些知名的域名系统提供商的数百个主要网站都遭到攻击,其中包括Netflix,Twitter和PayPal公司。恶意软件在遭到黑客攻击的网络连接的摄像机和数字记录器的帮助下通过系统感染并传播。并且安全专家表示,他们对家庭电子和物联网(IoT)新威胁十分关注。
大数据的领导者应该特别注意最近的攻击行为,这就是为什么将物联网融入分析项目,其安全需要成为头等大事。
研究机构Gartner公司预计到2020年将部署260亿个物联网设备。这些物联网设备和传感器将连接到货运集装箱,设施报警,数据中心,HVAC环境监测设备,医院手术室等,并且将期望企业对从这些设备收集的信息。
已经部署在现场的物联网应用中,其中包括电气和燃气公用事业使用的智能电表。估计到2020年,全球将安装超过9亿部智能电表。亚洲正在向智能电网转型,其次是欧洲和北美。安装这些智能电表的成本超过1000亿美元,但预计的财务效益将达到1600亿美元。所以投资回报率(ROI)是存在的,但是企业还有什么需要担心的呢?
而使用智能电表,这些数百万计的具有物理暴露风险的设备,能够从多个入口点植入软件攻击,其损害的程度将会更大,这种物联网的暴露风险也适用于制造,物流和其他公司在企业边缘操作物联网设备,甚至到业务高度集中的公司,其中恶意软件可能通过物联网监控的HVAC或环境监控设备实施破坏。
2015年12月,乌克兰135个变电站中有30个遭到网络安全攻击,电力中断近6个小时。最初,黑客使用恶意软件指示电力设施的工业控制计算机断开变电站;然后,他们植入一个wiper病毒,使计算机不能操作。
2016年9月,大量的物联网设备和约15万个闭路电视摄像机成为了僵尸网络的一部分,攻击法国网络托管公司的基础设施,也影响了物联网设备。在此期间,每秒1.1T数据攻击该公司的网络系统。
PenTestPartners公司总裁科恩·蒙罗表示:“我们之前曾经猜测过有人可能会恶意使用物联网设备,但这个案例似乎是首个直接归因于大量物联网设备造成的大规模DDoS攻击。”
2016年9月的“互联网营销”杂志中援引蒙罗的话说:“我们每周都会发现易受攻击的物联网设备,每个星期都有大量的设备被攻击。近日,我们私下向供应商披露了一个物联网设备的远程代码执行漏洞,这个漏洞存在于30多万个设备中,这种遥控装置可以用于触发大量的请求,导致DoS攻击,这还只是一种设备类型...因此,我们不认为物联网所衍生DDoS的攻击已经得到控制。”
可以采取什么样的物联网安全措施
那些使用或在其大数据计划中使用物联网技术的公司所面临的一个问题是,目前尚未就如何在设备上实施物联网中的安全性达成共识。这种缺乏共识是标准委员会解决的问题,而不是企业的IT部门解决。那么,如果企业正在使用或计划使用物联网,该怎么办?应该遵循以下这些步骤。
首先,确定所有的物联网所披露的黑客和违规行为,并编写并制定计划,定期监控它们。这种监测应该在两个层面上进行:对设备进行定期物理检查,并对基于网络的系统对于这些设备进行持续的基于软件的监测和记录。并在任何时候检测到来自设备的异常活动,则应该有一种方法来立即关闭该设备。
第二,如果企业计划是在检测到异常活动时立即关闭设备,还应该具有灾难恢复和故障转移过程,以便使自己的工厂和环境监控系统或任何其他物联网应用程序可以继续运行。
第三,企业应该与其责任保险提供商会面协商。在实施物联网技术时,应该预计企业的预算中责任保险费的增加。企业的责任保险公司不希望看到因为数据泄露,妥协和损害导致成本上升。其保险公司可能有一个可以推荐的客户的最佳实践列表,可以帮助企业实现物联网规划,并提供应对策略。
最后但并非最不重要的,与企业的潜在物联网供应商讨论安全问题。他们的产品采用了哪些安全技术和最佳实践?他们愿意提供什么样安全保证和保护?在具有安全漏洞的情况下,他们提供什么级别的设备升级和支持?
利好消息
在大多数公司的大数据计划中,物联网仍然是一种新兴技术。在企业评估物联网最适合其运营和战略之后,还应该对于安全,故障转移,以及缓解有着周全的措施。因为大家知道,黑客将无处不在。
本文转自d1net(转载)
