跨越物聯網安全雷區面臨的5大挑戰

圖片來源：https://pixabay.com/photo-203740/

編譯：冬夜

我今天收到了一封安全攝像頭供應商的電子郵件。其產品的主要賣點是 「您可以在任何地方、任何設備、任何時間訪問您的視頻」。換句話說，「我們將您的數據存儲在雲中」。只要快速瀏覽一下它的網站，就會發現沒有第三方審計或真正安全框架的證據。相反，有一大堆空洞的陳述，比如，「我們注意保護客戶數據的隱私。」

不用說，我肯定不會使用它們。然而，這揭示了困擾整個物聯網產業的一個重大問題：您如何管理和充分保護所有這些設備？集中式門戶網站已經成為首選解決方案，使客戶可以輕鬆地插入設備，在門戶中註冊並從世界任何地方訪問設備。

不幸的是，這種便利是有代價的。如果沒有適當的安全控制，黑客可以像最終用戶一樣從任何地方訪問這些設備。黑客不僅可以訪問和利用個人數據(例如由上述供應商存儲的長達120天視頻)，這些設備還可以很容易地擴展以幫助有針對性的攻擊，包括分散式拒絕服務攻擊到加密貨幣挖掘。鑒於大多數設備運行Linux，它們特別容易在某些任務中使用，例如Mirai惡意軟體。

儘管存在明顯風險，但大多數物聯網供應商都是事後才想到安全性。在使用門戶網站進行設備管理時，組織必須考慮許多最佳實踐，包括密碼恢復和帳戶鎖定程序。但是物聯網的安全問題遠遠超出了門戶網站。有時，它會感覺像是在雷區航行。我將其縮小到了物聯網供應商今天面臨的五大安全挑戰：

1、硬體安全，包括默認設置和網路服務；

2、雲門戶安全性，以避免SQL注入和跨站點腳本編寫等漏洞；

3、保護設備到雲的數據流量；

4、API安全性；

5、建立和維護將客戶數據存儲在雲中的適當控制。

不幸的是，這些問題沒有簡單的解決辦法。與具有互聯網存在的任何其他產品或平台一樣，安全性需要從一開始就被納入管理和開發過程——一旦產品或平台建立起來，就很難解決。適當的安全性還需要各級業務部門的承諾，而不僅僅是在開發級別。因此，強烈建議採用COSO或NIST這樣的安全框架，並利用第三方審核員來驗證是否確實遵循了控制措施。

在本系列的下一篇文章中，我將更深入地探討與物聯網中使用門戶網站相關的安全問題，包括如何制定強有力的安全策略、確保安全控制到位的方法以及保護客戶的最佳實踐。

延伸閱讀：

關於我們：網站內容更精彩！

我們難以獨自做到這一點，所以如果您相信我們的願景，想要投稿或合作，請聯繫我們！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！