應用

技術

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

物聯(lián)網(wǎng)安全合規(guī)審核清單

2019-02-14 08:49 物聯(lián)之家網(wǎng)

導讀:一些企業(yè)傾向于將他們的物聯(lián)網(wǎng)安全合規(guī)外包給第三方機構,以確保業(yè)內最優(yōu)秀的人才能夠維護企業(yè)的物聯(lián)網(wǎng)安全和設備安全。然而,僅僅將您的安全合規(guī)框架委托給外部機構并不能降低您遭受網(wǎng)絡攻擊和物聯(lián)網(wǎng)安全違規(guī)的風險。

圖片來源:https://pixabay.com/photo-3090764/

編譯:驕陽

經(jīng)常發(fā)生網(wǎng)絡攻擊案例,如2016年的Dyn拒絕服務攻擊和2014年的Jeep黑客入侵,表明了任何物聯(lián)網(wǎng)設備都需要一個強大的物聯(lián)網(wǎng)安全框架來避免安全問題。任何入侵物聯(lián)網(wǎng)網(wǎng)絡的行為都可能使企業(yè)陷入停滯狀態(tài),這可能會導致品牌忠誠度下降、收入損失,以及更多取決于攻擊的性質和嚴重性。實際上,2017年網(wǎng)絡攻擊使美國企業(yè)平均損失了130萬美元??紤]到企業(yè)遭受網(wǎng)絡攻擊的平均成本從2016年的120萬美元增長到2017年的130萬美元,這是一個巨大數(shù)字,這也是中小企業(yè)違規(guī)成本11.7萬美元的10倍。

物聯(lián)網(wǎng)安全合規(guī)審核清單應該考慮的因素

一些企業(yè)傾向于將他們的物聯(lián)網(wǎng)安全合規(guī)外包給第三方機構,以確保業(yè)內最優(yōu)秀的人才能夠維護企業(yè)的物聯(lián)網(wǎng)安全和設備安全。然而,僅僅將您的安全合規(guī)框架委托給外部機構并不能降低您遭受網(wǎng)絡攻擊和物聯(lián)網(wǎng)安全違規(guī)的風險。您需要確保合規(guī)框架的安全審核清單中考慮以下因素:

▲產(chǎn)品/設備生命周期

從產(chǎn)品生命周期的初始階段就需要適當考慮安全性,而且安全注意事項應嵌入設計以及物聯(lián)網(wǎng)設備的功能中。還需要監(jiān)控組織中使用的設備的生命周期,例如,員工訪問當前數(shù)據(jù)后,設備不能留在網(wǎng)絡上。健全的安全合規(guī)框架必須密切監(jiān)控誰可以訪問特定設備,以及允許設備執(zhí)行哪些操作。

▲授權和認證

這是每個安全評估清單中必須存在的兩個關鍵詞。授權意味著對物聯(lián)網(wǎng)產(chǎn)品的功能進行基于角色的訪問控制,這不僅限制了多用戶產(chǎn)品中的訪問,而且還有助于在設備或產(chǎn)品的安全性受到損害時減輕影響。物聯(lián)網(wǎng)設備通過與其他物聯(lián)網(wǎng)設備和網(wǎng)絡相互通信,以發(fā)揮最大潛力,這就像一把雙刃劍,威脅有時會超過其中的好處。與不安全的設備或網(wǎng)絡通信會因惡意應用程序而引發(fā)安全漏洞,因此,安全框架必須只允許經(jīng)過身份驗證的設備相互連接。

▲數(shù)據(jù)保護

所有物聯(lián)網(wǎng)產(chǎn)品必須限制其收集的數(shù)據(jù),以降低數(shù)據(jù)泄露的可能性。存儲關于消費者的不必要數(shù)據(jù)會導致數(shù)據(jù)暴露給未授權方的可能性增加。制造企業(yè)還需要提供關于他們收集的數(shù)據(jù)的可見性,以及為什么是至關重要的。此外,只要有可能,應該有選擇退出的選項。

▲測試

測試是確保安全框架有效的重要組成部分。測試必須包括物理測試、數(shù)字測試和第三方測試。對于安全的物聯(lián)網(wǎng)安全合規(guī)框架,必須進行持續(xù)測試,然后進行相關修改。

▲靈活性

安全框架必須足夠靈活,以適應行業(yè)中出現(xiàn)的新工具和指導方針。這樣做的一個基本方法是使軟件更新盡可能自動化。允許這樣做意味著,當發(fā)現(xiàn)新威脅時,可以在所有設備上更新處理漏洞的機制,而無需等待用戶驗證。

▲遠程更新

您的所有物聯(lián)網(wǎng)產(chǎn)品都必須具有遠程更新功能,這有助于節(jié)省數(shù)千美元用于產(chǎn)品召回或供應商服務。使用此功能可以更輕松地進行安全管理,而且還可以改善用戶體驗。

▲入侵監(jiān)測

除非物聯(lián)網(wǎng)合規(guī)性框架能夠監(jiān)測入侵并實時發(fā)送適當警報,否則再多功能也是無用的。監(jiān)測入侵的主要挑戰(zhàn)是大多數(shù)平臺無法處理大量數(shù)據(jù)。由于需要從物聯(lián)網(wǎng)中分析的數(shù)據(jù)量非常龐大,因此用于處理此類數(shù)據(jù)的平臺必須兼容處理如此大量的數(shù)據(jù)。該平臺必須能夠提供洞察,例如流量模式中的異常、惡意行為,以提供行為分析。任何與正常行為的差異都可以觸發(fā)警報,從而提供所需行動的適當線索。

以上只是開發(fā)安全框架時必須考慮的主要因素,企業(yè)必須投資于詳細的物聯(lián)網(wǎng)安全合規(guī)框架,并采取足夠的安全措施,以確保物聯(lián)網(wǎng)安全。