防止物联网识别欺骗
多年来,黑客及其技术变得越来越熟练,这可能对物联网安全构成巨大威胁。
DiDio说:“他们像造假者和伪造者一样不断提高自己的水平。”“物联网设备的指数增长意味着攻击面或攻击向量的指数增长。”
这使得企业及其安全部门和IT部门必须验证与之通信的物联网设备的身份,并确保它们在关键通信、软件更新和下载方面是合法的。
DiDio说,所有的物联网设备必须有一个独特的身份。她说,在没有独特身份的情况下,组织面临着从微控制器级别到网络边缘的端点设备被欺骗或攻击到应用程序和传输层的高风险。
为物联网设备建立“单向”连接
Pironti说,公司应该限制物联网设备启动网络连接的能力,而应该只使用网络防火墙和访问控制列表来连接它们。
“通过建立单向信任原则,物联网设备将永远无法启动到内部系统的连接,这将限制攻击者利用它们作为跳转点来探索和攻击网络段的能力,”Pironti说。
Pironti说,虽然这不会阻止对手攻击与他们建立了直接联系的系统,但会限制他们在网络中横向移动的能力。
企业还可以强制连接到物联网设备,通过跳转主机和/或网络代理,Pironti说。“通过在漏斗点代理连接,组织可以在来自和到达物联网设备之前检查网络流量,并更有效地询问[流量],”他说。这使它能够确定它携带的流量和有效载荷是否适合IoT设备接收或发送。
考虑使用隔离网络
许多类型的控制设备,如恒温器和照明控制,通过无线连接。然而,大多数企业无线网络需要WPA2-Enterprise/802.1x,电子承包商Rosendin Electric的网络安全和合规高级主管James McGibney表示。
“大多数这些设备不支持WPA2-Enterprise,”McGibney说。“开发一种更安全的设备将是理想的选择。不过,如果环境支持的话,你可以把这些设备放在它们自己的无线网络上,与生产网络隔离,只允许互联网接入。”
McGibney说,这需要创建一个独立的服务集标识符(SSID)和虚拟局域网,并具有通过防火墙路由流量的能力。他说,隔离的无线网络将从一个集中的位置配置和管理。
“我们已经为一些设备做到了这一点,比如需要互联网接入的自动售货机,但我们无法控制这些设备。”McGibney说。“我们把它们放在与生产分开的客户网络上。它运行在相同的硬件上,但在一个单独的VLAN上。
将安全性插入供应链
物联网通常涉及供应链中的多个合作伙伴,包括技术供应商,供应商和客户,安全性必须考虑到这一点。
Taule提到,如果你还没有这样做过,那就去找你的合同、财务或其他管理供应链的部门。与他们展开对话,建立关系,除非安全团队同意,否则不会批准任何物联网购买。
Taule说,如果安全部门愿意承担分析工作的重担,这些部门将积极遵守这一规定。
Taule说,究竟如何最好地加强供应链供应商选择过程取决于个别组织,但他建议考虑允许独立验证的制造商; 提倡设备端的写保护开关,以便在您不知情的情况下无法更新固件; 并且只采购真正的产品而不是假冒产品。
