在处理整个物联网环境中可能涉及的云计算服务和物联网设备时,安全专业人员需要积极与他们的供应商和合作伙伴互动,以确保基本组件能够安全使用。例如,Acceptto公司首席安全架构师FaustoOliveira表示,物联网设备必须具有更改默认用户名和密码的能力,以及与网络中上游和下游系统进行加密通信的能力。Oliveira说:“企业需要供应商提供强有力的指导,并确保在选择过程中,安全是一项明确定义的功能。”他表示,这符合供应商及其用户的最大利益,以确保整个系统尽可能安全。
5.物联网连接安全性
当然会有一些小型组织(以及高度安全的政府或军事机构)的物联网设备不包含互联网连接。但是对于大多数组织而言,移动、分析和使用其边缘设备中的数据意味着将设备连接到全球互联网和一个或多个云计算服务。nVisium公司的Mannino指出,“随着边缘计算和分布式传感器网络的增加,云计算基础设施和边缘设备已成为一种趋势。而这对于网络攻击者来说越来越有吸引力。”
Vectra公司安全分析主管ChrisMorales简洁地解释了这一点。他说,“与传统的桌面系统不同,物联网设备需要确保存储和锁定的数据不会被窥视,物联网设备被设计为彼此共享信息,并共享到远程存储位置进行分析,并为企业提供对其数据的远程访问。这通常需要物联网设备制造商托管的云存储。”
在处理可能涉及整个物联网环境的云计算服务和物联网设备时,安全专业人员需要积极与其供应商和合作伙伴接洽,以确保基本组件能够安全使用。例如,Acceptto公司首席安全架构师FaustoOliveira表示,设备必须能够更改默认用户名和密码,以及与网络上下游系统进行加密通信的能力。他说,“组织需要向供应商提供强有力的指导,并确保在选择过程中,安全性是一个明确定义的特性,是不可选择的,确保整个系统尽可能安全符合供应商和客户的最大利益。”
6.专注于物联网设备敏捷性
物联网的两个特点使扩展运营技术(OT)变得如此脆弱,这就是大量物联网设备的不可改变的特性。易受攻击、静态和持久性并不是大多数专业人员在安全基础设施中需要的特性。
Acceptto公司的Oliveira说:“需要取消默认用户名和密码以及不安全的协议(如telnet),并采用更好的方法来实现可管理性,而无需使用易于妥协的默认帐户和不安全的协议。”他坚持认为,仅向供应商强调他们的设备必须允许更改默认凭据和协议是不够的。用户必须将这些作为购买设备的要求。
Oliveira说:“物联网设备需要被视为任何安全资产,因此需要定期管理和审核漏洞。”Nominet的Reed也对此表示认同,他说,“全面的从业人员必须确保他们具有正确的审核、控制、政策,以便能够放心地了解与他们合作的第三方,并且采取更好的安全措施。”