久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

現(xiàn)如今，會(huì)議室的智能電視、智能化的加熱和空調(diào)系統(tǒng)、互聯(lián)網(wǎng)連接的電燈、智能設(shè)備控制的生產(chǎn)過程、智能手表和健身器材幾乎可以說是無(wú)處不在。

而這些還僅僅只是現(xiàn)在企業(yè)物聯(lián)網(wǎng)(IoT)的非常小的一部分。在更大的部分，幾乎所有的物理對(duì)象都能夠被智能化的連接到網(wǎng)絡(luò)。當(dāng)然，企業(yè)在享受到物聯(lián)網(wǎng)所帶來的便捷的同時(shí)，也要警惕黑客攻擊和數(shù)據(jù)泄露。

今年七月，物聯(lián)網(wǎng)的安全問題曾經(jīng)引起過人們的深切關(guān)注。彼時(shí)，兩名黑客遠(yuǎn)程控制了一輛大切諾基，使其在高速公路上以每小時(shí)70英里的速度行駛。他們通過無(wú)線控制雨刷的開啟和關(guān)閉，把空調(diào)開到最大，并在行駛過程中切換到一個(gè)不同的電臺(tái)廣播，然后禁用傳輸功能，所以這輛吉普車行至州際公路時(shí)放緩了速度。

這兩名黑客是為了宣傳汽車所面臨的物聯(lián)網(wǎng)所帶來的安全風(fēng)險(xiǎn)，而其也的確產(chǎn)生了效果——最終導(dǎo)致140萬(wàn)輛汽車被召回，不得不針對(duì)他們的系統(tǒng)打補(bǔ)丁。

不幸的是，面臨物聯(lián)網(wǎng)所帶來的安全問題，大部分企業(yè)并不能僅僅通過召回汽車和修補(bǔ)他們的計(jì)算系統(tǒng)就能夠輕易解決的。企業(yè)當(dāng)前所面臨的最大問題是：鑒于物聯(lián)網(wǎng)設(shè)備已經(jīng)在整個(gè)企業(yè)范圍內(nèi)得到廣泛的使用和傳播，企業(yè)的生產(chǎn)環(huán)境到底有多安全?而通過這些物聯(lián)網(wǎng)設(shè)備來入侵企業(yè)網(wǎng)絡(luò)有多容易?企業(yè)如何保護(hù)自身的安全?

在這篇文章中，我們將與大家分析有物聯(lián)網(wǎng)所帶來的相關(guān)安全風(fēng)險(xiǎn)，并確定哪些安全風(fēng)險(xiǎn)是最為重要的，以及如何防范提供一些針對(duì)性的建議。

物聯(lián)網(wǎng)安全問題是否真的存在?

讓我們從最基本的問題開始：企業(yè)當(dāng)前正面臨怎樣的物聯(lián)網(wǎng)相關(guān)的風(fēng)險(xiǎn)?

OpenDNS安全實(shí)驗(yàn)室安全研究部門高級(jí)總監(jiān)Andrew Hay說：“我們所觀察到的最大問題是，對(duì)于面向消費(fèi)者的網(wǎng)絡(luò)攝像頭和智能電視設(shè)備，當(dāng)期在被廠商制造時(shí)，確實(shí)是進(jìn)行了安全測(cè)試的，但只有當(dāng)運(yùn)行在一個(gè)非關(guān)鍵性的環(huán)境。他們沒有針對(duì)企業(yè)級(jí)的安全進(jìn)行測(cè)試。這是相當(dāng)令人震驚的，因?yàn)樵诂F(xiàn)如今的企業(yè)中，這些設(shè)備越來越被頻繁的用于訪問企業(yè)網(wǎng)絡(luò)。他們能連接到企業(yè)網(wǎng)絡(luò)，但企業(yè)只是像玩具一樣對(duì)待他們。并沒有像針對(duì)其他移動(dòng)設(shè)備一樣實(shí)施相同的安全BYOD管理策略。只被認(rèn)為是一些玩具和小玩意兒。”

安全公司Bastille的創(chuàng)始人和首席執(zhí)行官克里斯·魯蘭補(bǔ)充說，通常情況下，企業(yè)甚至沒有針對(duì)在他們的辦公室和設(shè)施中使用的所有無(wú)線設(shè)備進(jìn)行跟蹤記錄。

“我敢肯定，每家企業(yè)在他們的辦公環(huán)境中都有無(wú)線發(fā)射器，但他們卻并沒有意識(shí)到，這是相當(dāng)不安全的。”他說。“問題就在于，對(duì)于物聯(lián)網(wǎng)設(shè)備而言，目前還沒有發(fā)生類似于1999年的梅麗莎病毒(Melissa virus)這樣的分水嶺事件。”在那一年，梅麗莎病毒的傳播是如此廣泛——包括微軟和英特爾網(wǎng)絡(luò)都慘遭不幸——其提高了人們對(duì)于保護(hù)企業(yè)計(jì)算機(jī)和網(wǎng)絡(luò)，免受病毒侵害的重要性的意識(shí)。

兩種類型的物聯(lián)網(wǎng)危險(xiǎn)

在一般情況下，企業(yè)面臨著兩種主要的物聯(lián)網(wǎng)威脅——通過物聯(lián)網(wǎng)設(shè)備所帶來的專門針對(duì)企業(yè)的威脅，以及那些主要針對(duì)消費(fèi)者的威脅。您可能會(huì)想到，消費(fèi)類設(shè)備所構(gòu)成的危險(xiǎn)比那些專門針對(duì)企業(yè)的威脅更大。但許多安全專家表示說，情況并非如此。

思科安全業(yè)務(wù)部門產(chǎn)品營(yíng)銷經(jīng)理Marc Blackmer解釋說，“現(xiàn)如今，圍繞著諸如Nest恒溫器或智能電視可能成為企業(yè) 的安全隱患有太多太多的炒作了。”但更大的問題則是由企業(yè)級(jí)的物聯(lián)網(wǎng)設(shè)備的復(fù)雜性，及企業(yè)對(duì)于這些危險(xiǎn)性的不完全的理解所帶來的。他認(rèn)為：“我們太過關(guān)注于我們的冰箱在做什么。這可能使得我們可能會(huì)忽略了這樣一個(gè)事實(shí)，即目前的企業(yè)網(wǎng)絡(luò)中更多的路由協(xié)議。您甚至可以通過智能手機(jī)來自管理企業(yè)設(shè)備。”

為此，他列舉了2008年在土耳其的一個(gè)石油管道被攻擊的例子。該石油管道是通過IP連接的網(wǎng)絡(luò)監(jiān)控?cái)z像頭所監(jiān)控的，旨在保護(hù)管道設(shè)施。但具有諷刺意味的是，攻擊者利用攝像頭的漏洞闖入網(wǎng)絡(luò)，控制了石油管道。然后他們植入惡意軟件并遠(yuǎn)程獲得控制器在管道閥門站的控制權(quán)。之后，他們通過改變石油壓力炸毀了管道。他們還遠(yuǎn)程關(guān)閉了管道的應(yīng)急系統(tǒng)，使管道的業(yè)主沒有立即意識(shí)到被攻擊。

另一個(gè)嚴(yán)重的問題是由外部承包商連接到企業(yè)網(wǎng)絡(luò)，但其并不具備與企業(yè)相同的安全系統(tǒng)和規(guī)則所導(dǎo)致的。他們的設(shè)備可能不安全，可能會(huì)對(duì)企業(yè)網(wǎng)絡(luò)造成安全風(fēng)險(xiǎn)。

比利里奧斯，云安全公司Qualys的威脅情報(bào)總監(jiān)比利·里奧斯告訴《紐約時(shí)報(bào)》的記者說，“遠(yuǎn)程訪問這些(企業(yè))系統(tǒng)是很常見的，而集成商幾乎總是在企業(yè)網(wǎng)絡(luò)上。”由Qualys 公司所進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，有55000個(gè)采暖，通風(fēng)，空調(diào)(HVAC)系統(tǒng)連接到互聯(lián)網(wǎng)。而在大多數(shù)情況下，這些系統(tǒng)包含了基本的安全漏洞，可能使得攻擊者能夠很容易的進(jìn)入企業(yè)網(wǎng)絡(luò)。該公司表示。

約翰·佩斯卡托是一名安全專家，擁有漫長(zhǎng)的職業(yè)生涯，曾就職于美國(guó)國(guó)家安全局和GTE，現(xiàn)在是SANS研究所新興安全趨勢(shì)主管。他表示，企業(yè)一般擅長(zhǎng)管理電腦，移動(dòng)設(shè)備和用戶級(jí)交換機(jī)的威脅——而這些通常被認(rèn)為是IT部門的傳統(tǒng)領(lǐng)域。但是，當(dāng)非IT設(shè)備和系統(tǒng)連接到他們的網(wǎng)絡(luò)時(shí)，他們就有問題了。

“一家企業(yè)搬遷到了一幢新的建筑，而且空調(diào)系統(tǒng)、電梯以及攝像機(jī)卻仍在原來的同一個(gè)網(wǎng)絡(luò)上，這些東西不一定是被保護(hù)的。如果您企業(yè)甚至無(wú)法檢測(cè)您自己的網(wǎng)絡(luò)，那么您甚至都無(wú)法保護(hù)自己。”

來自消費(fèi)者物聯(lián)網(wǎng)的威脅

上述所有這一切并不意味著消費(fèi)者的物聯(lián)網(wǎng)設(shè)備并不對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)成威脅。他們同樣也會(huì)構(gòu)成安全威脅。有安全專家警告說，諸如電視機(jī)，照相機(jī)，可穿戴設(shè)備等智能設(shè)備的大量泛濫，更會(huì)對(duì)許多企業(yè)網(wǎng)絡(luò)造成嚴(yán)重的安全漏洞。

或許，針對(duì)這方面的安全威脅最廣泛全面的研究是由OpenDNS完成的。其題為《2015年企業(yè)物聯(lián)網(wǎng)》的報(bào)告分析了超過160個(gè)國(guó)家的約5000萬(wàn)名個(gè)人和企業(yè)用戶的網(wǎng)絡(luò)流量，其調(diào)查結(jié)果令人擔(dān)憂。研究發(fā)現(xiàn)，“在美國(guó)，亞洲和歐洲的消費(fèi)設(shè)備，如Dropcam網(wǎng)絡(luò)視頻攝像頭、Fitbit穿戴式健身器材、西數(shù)公司的‘我的云’存儲(chǔ)設(shè)備、各種連接的醫(yī)療設(shè)備以及三星的智能電視都無(wú)時(shí)無(wú)刻不連接到服務(wù)器——即使在不使用時(shí)也是如此。” 調(diào)查發(fā)現(xiàn)，智能電視似乎是通過不可信的安全證書與現(xiàn)有的基礎(chǔ)設(shè)施連接溝通的，而這種連接無(wú)疑是為大量知名的網(wǎng)絡(luò)攻擊打開了傳播途徑。

OpenDNS還發(fā)現(xiàn)了其他安全威脅，包括物聯(lián)網(wǎng)基礎(chǔ)設(shè)施與連接其的設(shè)備進(jìn)行通信很容易受到攻擊，這包括“Heartbleed”安全漏洞和FREAK。(有關(guān)該報(bào)告的更多細(xì)節(jié)，請(qǐng)參閱《兩項(xiàng)調(diào)查顯示物聯(lián)網(wǎng)安全危險(xiǎn)在企業(yè)中普遍存在》)

關(guān)于物聯(lián)網(wǎng)的安全威脅，還有一個(gè)鮮為人知的方面。安全公司Pwnie Express的首席執(zhí)行官保羅·佩吉特警告說：內(nèi)置Wi-Fi功能的小型廉價(jià)可編程處理器可以在一家企業(yè)留下“武器”來攻擊企業(yè)網(wǎng)絡(luò)。VoCore便是這樣的一個(gè)設(shè)備，用其制造商的話來形容就是：“一個(gè)具有Wi-Fi功能的硬幣大小的Linux電腦”，其售價(jià)僅為20美元。一份Pwnie Express的題為《邪惡的物聯(lián)網(wǎng)》的報(bào)告警告說，“只要稍稍具備一些如何正確利用其全部功能的相關(guān)知識(shí)，VoCore就可以被用來危及整個(gè)網(wǎng)絡(luò)。而且，即使是沒有經(jīng)驗(yàn)的用戶，也可以通過簡(jiǎn)單地將設(shè)備插入到以太網(wǎng)插孔，對(duì)網(wǎng)絡(luò)防御造成相當(dāng)大的安全漏洞。”

對(duì)物聯(lián)網(wǎng)的安全建議

鑒于上述這一切，企業(yè)要如何處理物聯(lián)網(wǎng)的安全威脅呢?如下是一些專家的建議。

找到您企業(yè)網(wǎng)絡(luò)上的所有物聯(lián)網(wǎng)設(shè)備并關(guān)閉。這是最簡(jiǎn)單的：您無(wú)法保護(hù)您根本不知道其存在的東西。找到所有連接到您企業(yè)網(wǎng)絡(luò)的設(shè)備，這不僅包括傳統(tǒng)的IT設(shè)備，而且還包括智能電視，恒溫器，員工的可穿戴設(shè)備，等等。但是，這僅僅只是一個(gè)開始。您還需要尋找并未連接到您網(wǎng)絡(luò)的Wi-Fi熱點(diǎn)，如可能是員工自己設(shè)置的熱點(diǎn)，以及諸如VoCore等設(shè)備。您企業(yè)還應(yīng)該確定識(shí)別使用移動(dòng)蜂窩數(shù)據(jù)的設(shè)備。

如果您企業(yè)沒有能力這樣做，有許多公司能夠提供這方面的服務(wù)。OpenDNS可以幫助您企業(yè)跟蹤網(wǎng)絡(luò)活動(dòng)及網(wǎng)絡(luò)與這些網(wǎng)絡(luò)活動(dòng)相關(guān)的個(gè)人設(shè)備上。SysAid公司能夠提供網(wǎng)絡(luò)發(fā)現(xiàn)工具，幫助您找到網(wǎng)絡(luò)上的所有設(shè)備。Pwnie Express和Bastille還能夠幫助您發(fā)現(xiàn)在辦公室的所有有線和無(wú)線設(shè)備，以及這些設(shè)備是否連接到網(wǎng)絡(luò)?；萜蘸退伎贫继峁┒喾N安全服務(wù)，從發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備開始，然后將其添加安全層。

檢查網(wǎng)絡(luò)身份驗(yàn)證和訪問權(quán)限。哪些規(guī)則控制怎樣的設(shè)備可以連接到您企業(yè)的網(wǎng)絡(luò)，以及他們有什么樣的訪問權(quán)限?此前，在制定這些規(guī)則和訪問權(quán)限時(shí)，并為考慮到物聯(lián)網(wǎng)設(shè)備的因素，那么，現(xiàn)在是將眼光擴(kuò)展到物聯(lián)網(wǎng)領(lǐng)域，針對(duì)這些規(guī)則進(jìn)行審視的一個(gè)很好的機(jī)會(huì)。例如，員工的智能手表是否被允許連接到企業(yè)網(wǎng)絡(luò)，如果有，他們有什么樣的訪問權(quán)限?溫控器呢?電燈泡呢?暖通空調(diào)設(shè)備呢?

鎖定外部連接到您的網(wǎng)絡(luò)。什么樣的外部服務(wù)，網(wǎng)絡(luò)和承包商能夠連接到您的網(wǎng)絡(luò)?您企業(yè)的暖通空調(diào)承包商是否有權(quán)限連接到您企業(yè)網(wǎng)絡(luò)?您企業(yè)的設(shè)施部門與制造車間的連接狀況如何?他們有很多的設(shè)備可能會(huì)導(dǎo)致問題。思科安全解決方案的安全實(shí)踐經(jīng)理馬克·哈蒙德說，“一套全面的安全計(jì)劃的一部分是對(duì)第三方風(fēng)險(xiǎn)和供應(yīng)商風(fēng)險(xiǎn)的管理。了解企業(yè)所有的供應(yīng)商，畢竟，您企業(yè)的相關(guān)數(shù)據(jù)是在這些企業(yè)之間傳輸，并且要讓您企業(yè)的安全控制到位。” 因此企業(yè)必須進(jìn)行詳細(xì)的審查，加強(qiáng)網(wǎng)絡(luò)安全連接，建立相關(guān)的規(guī)則，規(guī)定承包商是否可以訪問您企業(yè)的網(wǎng)絡(luò)，以及如何訪問。

對(duì)所有物聯(lián)網(wǎng)設(shè)備制定安全標(biāo)準(zhǔn)。SANS研究所的約翰·佩斯卡托建議說，從采購(gòu)周期開始，您企業(yè)就需要考慮網(wǎng)絡(luò)安全了。這適用于任何連接到企業(yè)網(wǎng)絡(luò)的設(shè)備，而并不僅僅意味著IT設(shè)備。現(xiàn)在，除了有智能恒溫器，已經(jīng)有智能冰箱和智能燈泡了。因此，安全標(biāo)準(zhǔn)需要針對(duì)一切會(huì)進(jìn)入企業(yè)的設(shè)備來設(shè)置。除非相關(guān)設(shè)備符合這些標(biāo)準(zhǔn)，否則就不應(yīng)該被允許訪問企業(yè)網(wǎng)絡(luò)。

重新反思IT在安全中的作用。專家認(rèn)為，在物聯(lián)網(wǎng)世界中，企業(yè)需要做的最重要的事情之一是重新思考安全在整個(gè)企業(yè)的角色作用。一家企業(yè)通常都是按照職能所組織架構(gòu)起來的，如設(shè)備部門負(fù)責(zé)采購(gòu)和維護(hù)采暖和空調(diào)系統(tǒng)等設(shè)備;而生產(chǎn)部門則負(fù)責(zé)處理生產(chǎn)相關(guān)的設(shè)備，包括控制設(shè)備;而IT部門則負(fù)責(zé)電腦，BYOD設(shè)備以及網(wǎng)絡(luò)。但在物聯(lián)網(wǎng)的世界中，這可能會(huì)導(dǎo)致問題。

SysAid Technologies公司的首席執(zhí)行官Sarah Lahav說，“今天，如果您想要購(gòu)買電腦或者想要帶上您自己的設(shè)備到公司，您需要與您企業(yè)的IT部門商量。但如果您是在設(shè)施部門，您想買一個(gè)溫控器，您不應(yīng)該向IT部門或公司的首席安全官打招呼。在物聯(lián)網(wǎng)時(shí)代，這已經(jīng)發(fā)生了改變。必須企業(yè)級(jí)的廣泛的安全規(guī)則。”

不同的企業(yè)將以不同的方式來處理這些變化。有些企業(yè)可能會(huì)在IT部門的支持下，采用許多類型的設(shè)備，而其他企業(yè)可能會(huì)擴(kuò)大首席安全官的作用，所以他們都會(huì)參與到對(duì)所有設(shè)備的采購(gòu)和安全要求的制定中，而不僅僅只是IT部門。但無(wú)論如何，Lahav說，重組必須發(fā)生。

回歸基本層面。思科公司的Marc Blackmer說，“從我的角度來看，您不能忘記的基本層面。人們擔(dān)心，“冰箱智能化，我們?cè)撛趺崔k?”但是這一切其實(shí)都要?dú)w結(jié)為風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理。如果您真的把它分解到詳細(xì)的具體是什么的層面，其只是設(shè)備的連接。對(duì)此，我們一直在處理，而且已經(jīng)有很長(zhǎng)一段時(shí)間了。解決方案是部署安全控制以減輕風(fēng)險(xiǎn)，然后重復(fù)循環(huán)該安全控制。如果您企業(yè)沒有這方面的認(rèn)識(shí)，那么物聯(lián)網(wǎng)只是一個(gè)大的，可怕的空間，而您企業(yè)也只是在黑暗中摸索。”