我今天收到了一封安全摄像头供应商的电子邮件. 其产品的主要卖点是 "您可以在任何地方, 任何设备, 任何时间访问您的视频". 换句话说,"我们将您的数据存储在云中". 只要快速浏览一下它的网站, 就会发现没有第三方审计或真正安全框架的证据. 相反, 有一大堆空洞的陈述, 比如,"我们注意保护客户数据的隐私."
不用说, 我肯定不会使用它们. 然而, 这揭示了困扰整个物联网产业的一个重大问题: 您如何管理和充分保护所有这些设备? 集中式门户网站已经成为首选解决方案, 使客户可以轻松地插入设备, 在门户中注册并从世界任何地方访问设备.
不幸的是, 这种便利是有代价的. 如果没有适当的安全控制, 黑客可以像最终用户一样从任何地方访问这些设备. 黑客不仅可以访问和利用个人数据 (例如由上述供应商存储的长达 120 天视频), 这些设备还可以很容易地扩展以帮助有针对性的攻击, 包括分布式拒绝服务攻击到加密货币挖掘. 鉴于大多数设备运行 Linux, 它们特别容易在某些任务中使用, 例如 Mirai 恶意软件.
尽管存在明显风险, 但大多数物联网供应商都是事后才想到安全性. 在使用门户网站进行设备管理时, 组织必须考虑许多最佳实践, 包括密码恢复和帐户锁定程序. 但是物联网的安全问题远远超出了门户网站. 有时, 它会感觉像是在雷区航行. 我将其缩小到了物联网供应商今天面临的五大安全挑战:
硬件安全, 包括默认设置和网络服务;
云门户安全性, 以避免 SQL 注入和跨站点脚本编写等漏洞;
保护设备到云的数据流量;
API 安全性;
建立和维护将客户数据存储在云中的适当控制.
不幸的是, 这些问题没有简单的解决办法. 与具有互联网存在的任何其他产品或平台一样, 安全性需要从一开始就被纳入管理和开发过程 -- 一旦产品或平台建立起来, 就很难解决. 适当的安全性还需要各级业务部门的承诺, 而不仅仅是在开发级别. 因此, 强烈建议采用 COSO 或 NIST 这样的安全框架, 并利用第三方审核员来验证是否确实遵循了控制措施.
来源: http://iot.51cto.com/art/201808/581253.htm