IOT安全

什么是IOT安全?

IoT安全是确保连接器互联网的正在进行的过程,以及连接到的网络,是网络威胁的安全。

事物互联网或物联网指的是,全球的数十亿物理设备,现在可以连接到互联网,收集和共享数据。几乎任何您可以想象的设备是,或者最终会成为IoT的一部分(例如,飞机,汽车,药丸,扬声器,电视’S,冰箱,胰岛素泵,灯泡)。这增加了一个难以想象的数字智能水平“network of devices”这将是愚蠢的,使他们能够沟通和支持近实时自动分析驱动的决策和动作。

其承诺是无限的;它将改变我们生活的主要部门,包括楼宇自动化,农业,能源,运输和医学。它的危险几乎是无限的;需要新的安全设计,制造,部署,使用和验证我们各自的IOT脚印的方法。

孙子曾经说过,“如果忽视你的敌人和自己,你肯定会在危险之中”,很好地说,今天是真的,因为它是2500多年前的真实。

 

物联网是一个生态系统。 IOT通常有三个组件:云,应用程序和设备。云组件可以复杂,因为它通常由网络和自己的应用程序组成。在应用程序级别,可能存在一个Web应用程序和/或可能有API。在移动组件级别是用于配置和控制将从云中消耗API的设备的移动应用程序或厚客户端。然后你’通过设备本身,设备本身可以具有嵌入式Web服务器,它可能有自己的API。它可以通过移动应用与移动设备交谈,并且生态系统中可能有多个设备”

 

John Verry,在Pivot Point Security管理伙伴

IoT安全如何与传统的网络安全性不同?

物联网安全差异

IOT以四种主要方式与传统(人+ PC)计算不同:

  1. 设备自主权。IOT的通信通常是设备到设备,基于数据采取行动,几乎没有人为干预。
  2. 使用案例终点。IOT设备监控并控制工业过程,军事技术,建筑物,房屋,车辆的几乎无限的事件频谱......即使是“身体互联网”(IOB)。
  3. 规模和复杂性。成数十亿个设备生成数十个Zetabytes的数据每日创造了一个巨大的攻击表面,以及几乎无限的互操作性网络。
  4. 安全事件的潜在影响。物联网的规模和互连意味着安全违反关键物联网系统的潜在影响可能是同等庞大的企业,推翻经济体或导致危及生命的灾难。

物联网安全的3个基础

虽然物联网安全可能会出现更复杂(有充分的理由)信息安全的基础仍然直接适用于IOT的世界:

保护设备–确保物理&设备的逻辑安全性

需要保护:

  1. 身体篡改– Device intrusion
  2. 物理界面–USB,以太网,序列等。
  3. 逻辑接口–ZigBee,WiFi,BLE等
  4. 设备安全–最大限度地减少物理访问
保护云–确保机密性,完整性,&数据的可用性& communications
  1. 信任但要验证–验证和授权所有通信
  2. 安全协议–杠杆经过验证的方法(例如,TL​​S,SSH)
  3. 加密–保护数据与分类相称& requirements
  4. 日志& Monitor –保持符合错误&安全管理目标
保护应用程序–确保他们防御高级应用程序安全漏洞
  1. 验证所有输入–服务器端验证所有通信
  2. 解决方案架构–按照规定,最佳实践,& risk assessment
  3. 在SDLC中烘焙安全–从安全要求到安全认证测试
  4. 解决所有方式–API,浏览器,移动,代理,& firmware

 

理解IOT的风险’T非常不同(但它非常重要)

物联网安全影响

更大的影响需要更强大的风险管理流程

“组织应确保他们正在解决整个IoT设备生命周期的网络安全和隐私风险考虑因素和挑战… “, NIST 8228

 

强大的范围有效减轻了物联网风险& Risk Analysis

良好的风险对于确定最佳地应用关键安全控制以减轻IoT风险的途中至关重要,以合理,适当& acceptable level.

如何证明您的IOT是安全的?

组织如何向客户,商业伙伴,董事会和其他利益相关者展示他们扩展的物联网环境是安全的,可以保持如此?

确保IoT安全性的一些关键步骤包括:

  • 利用经过验证的框架,了解信息安全和隐私,包括IOT,例如ISO 27001., ISO 27701.NIST 8259.
  • 利用验证的Web应用程序安全框架,如OWASP应用程序安全验证标准(余值),保护软件在IOT设备上
  • 利用专家指导和一个经过验证的过程评估您的IOT安全生态系统并确定下一步的优先级,目标是简化您的IoT安全挑战。
CISO角色印第安纳琼斯

使您的物联网可证明的安全可以提供多种福利,包括较短的销售周期和更短的收入时间,减少处理安全问卷和客户审计的努力,以及与安全和隐私法规的可证明对齐,以减少法律和合规风险。

准备开始您的旅程以提供可执行的物联网安全?开始谈话

IOT安全常见问题解答’s

什么是IOT安全?

物联网或事物互联网,是指全球的数十亿物理设备,现在连接到互联网,收集和共享数据。 IOT安全性是保护构成IOT生态系统的云,应用程序和设备的努力。

什么是物联网安全评估?

物联网安全评估是由合格的评估员执行的测试,旨在了解物联网生态系统中的安全差距。这通常包括测试任何IOT生态系统的三个主要组件:云,应用程序和设备。

我为什么要获得物联网评估?

这些驱动程序中的一个或多个是您可能需要IOT评估的原因:

  • 法规 - 现在许多法规需要组织来评估其IoT环境的安全性。这里的关键是完全了解您需要确保您的“符合”所需的数量(以及几乎没有多少)。
  • 客户 - 如果您的客户(或管理或监管机构)需要证明您的环境是安全的,您可能有关于如何证明该证据的选择。必须知道证明的形式最适合您和您的客户是至关重要的。
  • 伙伴 - 亚历克萨和Spotify等云服务正在围绕云环境,并要求证明您可以安全地利用其服务(通常要求您遵守其特定要求)。如果访问第三方云服务以扩展产品生态系统,则必须遵守其安全要求。