我今天收到了一封安全攝像頭供應(yīng)商的電子郵件。其產(chǎn)品的主要賣點(diǎn)是 “您可以在任何地方、任何設(shè)備、任何時(shí)間訪問您的視頻”。換句話說，“我們將您的數(shù)據(jù)存儲(chǔ)在云中”。只要快速瀏覽一下它的網(wǎng)站，就會(huì)發(fā)現(xiàn)沒有第三方審計(jì)或真正安全框架的證據(jù)。相反，有一大堆空洞的陳述，比如，“我們注意保護(hù)客戶數(shù)據(jù)的隱私?！?/p>

不用說，我肯定不會(huì)使用它們。然而，這揭示了困擾整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)的一個(gè)重大問題：您如何管理和充分保護(hù)所有這些設(shè)備?集中式門戶網(wǎng)站已經(jīng)成為首選解決方案，使客戶可以輕松地插入設(shè)備，在門戶中注冊(cè)并從世界任何地方訪問設(shè)備。

不幸的是，這種便利是有代價(jià)的。如果沒有適當(dāng)?shù)陌踩刂?，黑客可以像最終用戶一樣從任何地方訪問這些設(shè)備。黑客不僅可以訪問和利用個(gè)人數(shù)據(jù)(例如由上述供應(yīng)商存儲(chǔ)的長(zhǎng)達(dá)120天視頻)，這些設(shè)備還可以很容易地?cái)U(kuò)展以幫助有針對(duì)性的攻擊，包括分布式拒絕服務(wù)攻擊到加密貨幣挖掘。鑒于大多數(shù)設(shè)備運(yùn)行Linux，它們特別容易在某些任務(wù)中使用，例如Mirai惡意軟件。

盡管存在明顯風(fēng)險(xiǎn)，但大多數(shù)物聯(lián)網(wǎng)供應(yīng)商都是事后才想到安全性。在使用門戶網(wǎng)站進(jìn)行設(shè)備管理時(shí)，組織必須考慮許多最佳實(shí)踐，包括密碼恢復(fù)和帳戶鎖定程序。但是物聯(lián)網(wǎng)的安全問題遠(yuǎn)遠(yuǎn)超出了門戶網(wǎng)站。有時(shí)，它會(huì)感覺像是在雷區(qū)航行。我將其縮小到了物聯(lián)網(wǎng)供應(yīng)商今天面臨的五大安全挑戰(zhàn)：

1. 硬件安全，包括默認(rèn)設(shè)置和網(wǎng)絡(luò)服務(wù);
2. 云門戶安全性，以避免SQL注入和跨站點(diǎn)腳本編寫等漏洞;
3. 保護(hù)設(shè)備到云的數(shù)據(jù)流量;
4. API安全性;
5. 建立和維護(hù)將客戶數(shù)據(jù)存儲(chǔ)在云中的適當(dāng)控制。

不幸的是，這些問題沒有簡(jiǎn)單的解決辦法。與具有互聯(lián)網(wǎng)存在的任何其他產(chǎn)品或平臺(tái)一樣，安全性需要從一開始就被納入管理和開發(fā)過程——一旦產(chǎn)品或平臺(tái)建立起來，就很難解決。適當(dāng)?shù)陌踩赃€需要各級(jí)業(yè)務(wù)部門的承諾，而不僅僅是在開發(fā)級(jí)別。因此，強(qiáng)烈建議采用COSO或NIST這樣的安全框架，并利用第三方審核員來驗(yàn)證是否確實(shí)遵循了控制措施。

網(wǎng)頁名稱：跨越物聯(lián)網(wǎng)安全雷區(qū)面臨的5大挑戰(zhàn)
鏈接URL：http://uogjgqi.cn/article/dhhsooe.html