增强物联网安全性的结构过程
发布时间:2022-07-27 10:50:10 所属栏目:安全 来源:互联网
导读:物联网(IoT)最大的问题之一是确保网络、数据和设备的安全。物联网相关安全事件已经发生,IT、安全和网络管理人员担心类似事件会发生是有道理的。 安全标准和保证公司HITRUST的标准和CISO副总裁Jason Taule说:除了最严格的环境之外,在所有环境中,你都将拥
|
物联网(IoT)最大的问题之一是确保网络、数据和设备的安全。物联网相关安全事件已经发生,IT、安全和网络管理人员担心类似事件会发生是有道理的。 安全标准和保证公司HITRUST的标准和CISO副总裁Jason Taule说:“除了最严格的环境之外,在所有环境中,你都将拥有物联网设备。”“问题在于您将如何允许这些设备连接到您的网络、系统和数据并与之交互。” 组织可以做些什么来增强物联网的安全性?有很多选择,包括一些可能不那么明显的做法。  运行物联网源代码安全测试 研究和咨询公司ITIC的负责人Laura DiDio说,为了在IoT中建立更好的安全性,组织应该从其网络基础结构中最小的组件开始。 “大多数物联网设备都非常小,”DiDio说。“因此,源代码往往是用通用语言——C、C++和C#语言编写的,这些语言经常会成为内存泄漏和缓冲区溢出漏洞等常见问题的受害者。这些问题就相当于网络上的感冒。” DiDio说,就像普通感冒一样,它们令人讨厌且持久。她说:“在物联网环境中,它们会激增并成为一个经常被忽视的安全大问题。” “这里最好的防御方法是测试、测试和重新测试。” DiDio说,市场上有许多用于物联网设备的备受好评的测试工具。 DiDio说,安全和IT管理员也可以使用堆栈cookie。这些是随机数据字符串,应用程序对其进行了编码,以将它们写入指令指针寄存器之前的堆栈中,如果发生缓冲区溢出,则数据将溢出到堆栈中。她说:“如果确实发生缓冲区溢出,则堆栈cookie将被覆盖。” 应用程序将进一步编码,以验证堆栈cookie字符串将继续与最初编写代码的方式匹配。如果堆栈cookie不匹配,则应用程序终止。 部署访问控制 在连接资产、产品和设备时,在物联网环境中控制访问是公司面临的最大安全挑战之一。这包括控制连接对象本身的网络访问。 咨询公司IP Architects的总裁、物联网安全专家John Pironti说,组织应首先确定物联网环境中的互联事物认为可以接受的行为和活动,然后采取控制措施,做到这一点,但同时又不妨碍流程。 Pironti说:“不要使用单独的VLAN(虚拟LAN)或网络段,这可能会限制和削弱物联网设备。而是在整个网络中实施上下文感知的访问控制,以允许适当的动作和行为,不仅在连接级别,而且在命令和数据传输级别。” Taule说,公司应该将通用安全框架中列出的控制方法应用到物联网设备上。例如,在合同中包含安全功能需求;请求最近的漏洞扫描或主张自己进行扫描的权利;供应商有义务提供及时的更新以解决发现的缺陷;在固件更新后重新扫描设备,以确保已发现的问题已经解决,并且没有引入新的问题。 防御物联网身份欺骗 这些年来,黑客和他们的技术已经变得越来越熟练,这可能是物联网安全的一大威胁。 “他们不断像造假者和伪造者一样提高自己的游戏水平,” DiDio说。“物联网设备的指数级增长意味着攻击面或攻击媒介呈指数级增长。” 因此,企业及其安全和IT部门必须验证与其通信的IoT设备的身份,并确保它们对于关键通信、软件更新和下载是合法的。 DiDio说,所有物联网设备都必须具有唯一身份。她说,在没有唯一身份的情况下,组织很容易受到从微控制器级别到网络边缘到应用程序和传输层的端点设备的欺骗或黑客攻击。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号