IT需应对物联网世界的安全问题

简介:

物联网(Internet of Things,IoT)是否会带给我们安全的风险?但愿答案是否定的。但是,根据IBM和Intel安全专家的观点,物联网时代已经来临,CIO必须把安全防护放到重要位置。

在不远的将来,可能智能家电会被黑客入侵,导致整个家庭都完全失控:前门被人从远程打开,冰箱上的恒温器被重置导致食物腐坏,电灯被反复开关,各种垃圾广告被发送到眼镜、手表和跑步机上。

“这些其实都算不上什么,真正的危害正在迫近。”在最近举行的马萨诸塞技术领导力委员会物联网会议上,Intel的应用安全首席架构师和技术官Andy Thurai表示。

实际上,在物联网的世界中,任何连接到网络上的人或者物都可能被远程侵入,这也赋予了恐怖攻击这个词全新的含义。比如,医院设备被侵入,从而危及人们的生命;一个城市的交通控制中枢遭到服务拒绝攻击;对电网的攻击可能会导致人们断电数日之久。据Thurai举例,安全顾问公司Red Tiger Security就已经标识出了美国能源领域的38000个薄弱环节。

“在物联网世界中,我们需要保护的东西太多了。”IBM的WebSphere产品管理副总裁Michael Curry表示。Curry和Thurai一起主持了大会的闭幕环节“物联网世界带来的安全新趋势”。

对于这个连接无处不在的世界,安全保护是非常困难的。迄今为止已有的各种攻击都会扩散到那些保护不够或技术级别较低的基础设施上。Curry认为,很多物联网中潜在的受攻击目标很难有物理层面的安全保障。至少到目前为止,很多设备上的电力供应无法满足解密或认证的计算能耗需求,从而只能依赖于设备所连接到的云或者服务器架构来提供安全性。除此之外,更为重要的一点是,现在还没有针对物联网的、统一的安全标准。

由于存在着如此多的厂商、设备和协议,如果没有一致的标准,很难制定出具有普适性的安全策略。Curry认为,安全标准最终会出现,但是之前仍需经过一段漫长的等待。

即便标准已经就位,物联网的安全也是个不可能的任务。“我们可以做的,就是尽力降低风险。”Curry说:“但是,攻击是无法杜绝的。安全的含义是评估风险并尽可能地在风险下运转。”下面就是Curry关于物联网安全的4个要素,CIO们可以据此来应对那些难以避免的攻击和损害。

IT需应对物联网世界的安全问题

物联网安全的4个要素

1. 物理设备安全

在Curry看来,已经有一些非常不错的防篡改技术。比如,在设备被盗之后立即切断其网络连接并销毁所有数据。

另一个防篡改的技术是芯片厂商发明的安全启动机制。在设备启动时通过签名机制检查是否有什么东西与上次启动时不一致。“如果发现有任何改变,设备就不会继续启动。”Curry说。

另一个例子是认证控制,让设备只能在特定的地点或区域内工作,或只能与服务器进行特定的连接。为此,还需要用远程服务软件来管理设备。

“这些事情都是非常复杂的。”Curry说:“当你面对成千上万的设备时,难度可想而知。”

2.数据安全

“关于数据安全,最重要的是知道数据是什么。”Curry表示。设备上是否有个人识别信息(personally identifiable information,PII)?数据是否能够识别出隐藏在服务器上的控制信息?而有些数据又是无关紧要可以完全公开的。因此,要根据数据类型和业务风险来制定安全策略。

“于是,事情又回到了刚才所说的,我们到底能承受多大的风险?”Curry说。

当CIO们面对敏感信息时,Curry强烈建议使用端到端的加密方案。

“如果只关注了传输的层面,你可能会吧数据缓存留在了设备或服务器上,这样就会带来数据外泄的风险。”Curry警告说。

应用层的策略也是极其重要的。“你需要审查内容,梳理结构以确定得到的是自己所希望的数据。”Curry说。插入攻击(injection attacks)可以将代码附着在数据消息中,以此探知安全漏洞并篡改服务器的返回结果。

Curry建议使用数据屏蔽(data masking)技术,即生成结构相似但不含认证信息(比如个人识别信息或其他敏感信息)的数据。有时,数据的泄露在你意想不到的环节发生,因此要从一开始就进行屏蔽。“只有这样,你才可以不必担心数据流到了不该去的地方。”Curry表示。

3.网络安全

网络方面的情况让人感觉轻松些。“这是业界最为熟悉的领域,可能也是互联网和移动技术中最为标准的环节。”Curry说。比如,端到端的授权策略对数据安全非常有用。

“对于特定设备能够在服务器上进行什么操作,我们需要进行授权。同样的,在反方向也需要进行授权。”Curry说。因此,双向授权已经是业界普遍的策略。

针对诸如服务拒绝之类的互联网上的攻击,同样的工具可适用于物联网。“真正的问题在于受攻击的对象更多了,比如传感器和计量器等设备。因此,你必须设法把这些易受拒绝服务攻击的设备也纳入到防护范围之内。”Curry解释到。

4.事件监视和响应

企业常犯的一个错误是没有预想到最坏的情况。Curry认为,在物联网的世界中,必须要时刻提醒自己会遭受攻击。一旦形成了既定的认知,对于物联网安全的战略就会很自然地聚焦到事件监视和响应上。

对于网络中正在发生的一切,企业需要进行实时的监视。一旦发现问题,就要立即采取隔离措施,比如关掉传感器或者让服务器离线。“你要做的就是在问题扩散之前将其隔离。”Curry说。

为了进行实时的监视,企业需要对多个攻击点上的信息进行综合分析,了解当下的情况并识别出于正常情况的不同之处。

Curry所在IBM公司现在可以在30秒之内识别出攻击并进行隔离,进一步,IBM希望再把这个时间缩短。

附录:隐私相关

企业必须设计opt-in机制,即便现在还没有法律对此有强制的要求。Curry认为,这样有助于形成一种商业上的意识,即让用户决定自己的数据是否能被采集。通过一些额外的好处,可以让用户答应opt-in,比如折扣、服务费削减或其他高级的服务。

另外,这方面的立法也已经开始,而且企业也未必非得需要个人识别信息。“即便没有个人识别信息,我们的分析工作也丝毫不受影响。”Curry表示。在他看来,那些到处贩卖个人识别信息的搜索引擎,应该首先具备opt-in的政策;而对于那些主要关注建模的人,应该尽快去掉数据中的个人识别信息。



原文发布时间为:2014年10月30日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
1月前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
88 12
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第26天】随着物联网(IoT)技术的快速发展,智能设备已广泛应用于智能家居、工业控制和智慧城市等领域。然而,设备数量的激增也带来了严重的安全问题,如黑客攻击、数据泄露和恶意控制,对个人隐私、企业运营和国家安全构成威胁。因此,加强物联网设备的安全防护至关重要。
95 7
|
28天前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
1月前
|
监控 安全 物联网安全
物联网安全与隐私保护技术
物联网安全与隐私保护技术
72 0
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第27天】随着物联网技术的快速发展,智能设备已广泛应用于生活和工业领域。然而,物联网设备的安全问题日益凸显,主要威胁包括中间人攻击、DDoS攻击和恶意软件植入。本文探讨了物联网设备的安全防护策略和最佳实践,包括设备认证和加密、定期更新、网络隔离以及安全标准的制定与实施,旨在确保设备安全和数据保护。
69 0
|
2月前
|
安全 物联网 物联网安全
探索未来网络:物联网安全的最佳实践
随着物联网设备的普及,我们的世界变得越来越互联。然而,这也带来了新的安全挑战。本文将探讨在设计、实施和维护物联网系统时,如何遵循一些最佳实践来确保其安全性。通过深入分析各种案例和策略,我们将揭示如何保护物联网设备免受潜在威胁,同时保持其高效运行。
74 5
|
3月前
|
机器学习/深度学习 安全 物联网安全
探索未来网络:物联网安全的最佳实践与创新策略
本文旨在深入探讨物联网(IoT)的安全性问题,分析其面临的主要威胁与挑战,并提出一系列创新性的解决策略。通过技术解析、案例研究与前瞻展望,本文不仅揭示了物联网安全的复杂性,还展示了如何通过综合手段提升设备、数据及网络的安全性。我们强调了跨学科合作的重要性,以及在快速发展的技术环境中保持敏捷与适应性的必要性,为业界和研究者提供了宝贵的参考与启示。
|
3月前
|
存储 安全 物联网
探索未来网络:物联网安全的挑战与对策
本文深入探讨了物联网(IoT)技术的基本概念、发展现状以及面临的主要安全挑战,并提出了相应的解决策略。通过对当前物联网设备的安全漏洞和攻击手段的分析,文章强调了加强设备认证、数据加密和隐私保护等措施的重要性。同时,呼吁业界共同努力,制定统一的安全标准和规范,以促进物联网技术的健康发展。
|
2月前
|
存储 安全 物联网
|
3月前
|
存储 安全 物联网
探索未来网络:物联网安全的最佳实践与挑战
在数字化浪潮中,物联网作为连接万物的关键技术,已深刻改变我们的工作与生活方式。然而,随着其应用的广泛化,安全问题日益凸显,成为制约物联网发展的重要瓶颈。本文旨在深入探讨物联网的安全架构、风险点及应对策略,通过分析当前技术趋势和实际案例,提出一套切实可行的安全防护方案,以促进物联网技术的健康发展。

热门文章

最新文章

相关产品

  • 物联网平台