物联网供应链的调整如何缩小安全漏洞
在物联网方面,传统的网络安全方法难以集成,无法保证操作设备的安全。许多嵌入式设备方法隔离系统,仅提供部分保护,并且仅针对已知的攻击媒介。能否通过对供应链的简单调整来解决我们所有的物联网安全问题?
在我看来,是的,如果我们开始将其视为物联网信任供应链。物联网安全基金会在 2016 年 5 月提出了一个想法,即物联网安全没有单一的所有者,所有供应商都有责任关心他们的直接客户和更广泛的生态系统。
让我们以更实际的方式考虑一下。如果您是制造商,信任供应链会了解您从何处采购软件或硬件,并了解您采购的任何产品的内部安全性。归结为对每一层安全性的所有权。
问题
根据 Gartner 的数据,预计 2017 年全球将有超过 80 亿台物联网设备使用——高于 2016 年的 60 亿台——指数级增长的前景是显而易见的。已经到了这样的地步:每家公司,无论其业务如何,都认为他们需要创建一个互联网连接产品。
问题是这些公司只专注于制造他们的小部件,而不是组成该小部件的零件。因此需要物联网信任供应链。
例如,假设一家公司想要制作具有 Wi-Fi 功能的闪亮新小部件。他们通常不会从头开始创建 Wi-Fi 芯片;他们会从一家已经生产了数百万个这样的芯片的公司购买芯片。
但是这家不擅长安全的小部件生产公司,并没有花时间去了解和测试芯片制造商的安全协议。如果他们不花时间了解芯片的来源、运行该芯片所需的固件以及该芯片被黑客入侵的可能性,那么他们就会在他们的原型中构建一种非常不安全的技术。
考虑由第三方构建并最终出现在最终小部件中的所有组件。物联网设备的安全性取决于其最薄弱的一层。
当然,我们可以将其归咎于公司将物联网产品推向市场的压力,但遗憾的是,我认为这仍然源于缺乏良好的网络安全治理。每个人都乐于谈论他们的网络态势,但我们仍然缺乏规范的安全标准和广泛采用现有的物联网制造行业最佳实践。我们想指责,只承担我们自己的风险。
解决办法是什么?
长期解决方案:认证过程。尽管许多行业组织都在努力开展这些工作,但我们已经迫不及待地期待这些标准。
短期来看,有两种方法。
首先,如果您要为自己或您的企业购买物联网设备,请花时间进行研究。具有良好安全记录的信誉良好的公司有很多选择。在检查成本时,如果您的企业因让不安全的设备进入您的网络而遭受破坏,则需要考虑所需的资金。
其次,如果您正在制造 IoT 设备,请考虑您内置到设备中的每个硬件的安全性。在这方面做得很好的一家公司是 Taser,这是一家传导式电子武器、随身摄像机和数字证据管理解决方案的开发商、制造商和分销商。 Taser 创建了一个由硬件、软件和安全专家组成的内部团队,以在所有产品上市之前对其进行审查。这个多元化的小组考虑产品将如何集成到现有的产品组合中,确保存在安全性并进行渗透测试。公司的前期投资确保考虑任何新设备的供应链。
在我们让组织将 IoT 设备标记为“好”或“坏”之前,企业需要努力做好每一层的安全保障。
物联网技术