经常发生网络攻击案例,如2016年的Dyn拒绝服务攻击和2014年的Jeep黑客入侵,表明了任何物联网设备都需要一个强大的物联网安全框架来避免安全问题。任何入侵物联网网络的行为都可能使企业陷入停滞状态,这可能会导致品牌忠诚度下降、收入损失,以及更多取决于攻击的性质和严重性。实际上,2017年网络攻击使美国企业平均损失了130万美元。考虑到企业遭受网络攻击的平均成本从2016年的120万美元增长到2017年的130万美元,这是一个巨大数字,这也是中小企业违规成本11.7万美元的10倍。
物联网安全合规审核清单应该考虑的因素
一些企业倾向于将他们的物联网安全合规外包给第三方机构,以确保业内最优秀的人才能够维护企业的物联网安全和设备安全。然而,仅仅将您的安全合规框架委托给外部机构并不能降低您遭受网络攻击和物联网安全违规的风险。您需要确保合规框架的安全审核清单中考虑以下因素:
1. 产品/设备生命周期
从产品生命周期的初始阶段就需要适当考虑安全性,而且安全注意事项应嵌入设计以及物联网设备的功能中。还需要监控组织中使用的设备的生命周期,例如,员工访问当前数据后,设备不能留在网络上。健全的安全合规框架必须密切监控谁可以访问特定设备,以及允许设备执行哪些操作。
2. 授权和认证
这是每个安全评估清单中必须存在的两个关键词。授权意味着对物联网产品的功能进行基于角色的访问控制,这不仅限制了多用户产品中的访问,而且还有助于在设备或产品的安全性受到损害时减轻影响。物联网设备通过与其他物联网设备和网络相互通信,以发挥最大潜力,这就像一把双刃剑,威胁有时会超过其中的好处。与不安全的设备或网络通信会因恶意应用程序而引发安全漏洞,因此,安全框架必须只允许经过身份验证的设备相互连接。
3. 数据保护
所有物联网产品必须限制其收集的数据,以降低数据泄露的可能性。存储关于消费者的不必要数据会导致数据暴露给未授权方的可能性增加。制造企业还需要提供关于他们收集的数据的可见性,以及为什么是至关重要的。此外,只要有可能,应该有选择退出的选项。
4. 测试
测试是确保安全框架有效的重要组成部分。测试必须包括物理测试、数字测试和第三方测试。对于安全的物联网安全合规框架,必须进行持续测试,然后进行相关修改。
5. 灵活性
安全框架必须足够灵活,以适应行业中出现的新工具和指导方针。这样做的一个基本方法是使软件更新尽可能自动化。允许这样做意味着,当发现新威胁时,可以在所有设备上更新处理漏洞的机制,而无需等待用户验证。
6. 远程更新
您的所有物联网产品都必须具有远程更新功能,这有助于节省数千美元用于产品召回或供应商服务。使用此功能可以更轻松地进行安全管理,而且还可以改善用户体验。
7. 入侵监测
除非物联网合规性框架能够监测入侵并实时发送适当警报,否则再多功能也是无用的。监测入侵的主要挑战是大多数平台无法处理大量数据。由于需要从物联网中分析的数据量非常庞大,因此用于处理此类数据的平台必须兼容处理如此大量的数据。该平台必须能够提供洞察,例如流量模式中的异常、恶意行为,以提供行为分析。任何与正常行为的差异都可以触发警报,从而提供所需行动的适当线索。
以上只是开发安全框架时必须考虑的主要因素,企业必须投资于详细的物联网安全合规框架,并采取足够的安全措施,以确保物联网安全。