物聯(lián)網(wǎng) （IoT） 在我們?nèi)找婕夹g(shù)化的世界中占據(jù)了中心舞臺。互聯(lián)設備正變得越來越實用和實惠。..

然而，隨著我們開始見證節(jié)省時間，削減成本，提高效率和提高生活質(zhì)量的無限潛力，我們也意識到，有了所有這些潛在的好處，也存在數(shù)據(jù)漏洞和安全漏洞的新實例。

惠普安全研究公司發(fā)布一項研究回顧了 10 種最受歡迎的物聯(lián)網(wǎng) （IoT） 設備，其中包括某種形式的云服務和移動應用程序。結(jié)果顯示，令人震驚的70%的人受到嚴重安全漏洞的影響。其中一些問題包括身份驗證/密碼強度不足，缺少傳輸加密，Web界面憑據(jù)薄弱以及軟件更新不安全。

隨著越來越多的參與者通過新的連接設備和應用程序進入市場，安全性將不被視為差異化點 - 這將是一種期望。在部署之前，請考慮以下五個問題，這些問題可以幫助保護連接的應用程序：

1. 數(shù)據(jù)加密 – 您的數(shù)據(jù)是否受到保護？

上述報告表明，高達90%的機器對機器（M2M）設備會收集某種個人信息，這使得應用程序能夠?qū)@些信息保密至關(guān)重要。對于任何通過網(wǎng)絡傳輸機密信息的M2M應用程序，例如POS系統(tǒng)（信用卡信息），移動醫(yī)療（患者數(shù)據(jù)）或基于使用情況的保險（GPS坐標和車輛信息），都需要加密。

雖然加密可能在許多互聯(lián)網(wǎng)應用中被廣泛實踐，但M2M帶來了一些獨特的挑戰(zhàn)。乍一看，許多開發(fā)人員可能傾向于使用SSL進行安全通信。但是，由于設備需要額外的處理能力和內(nèi)存來支持 SSL，以及由于網(wǎng)絡通信開銷增加而增加的無線數(shù)據(jù)成本，這在 M2M 應用中可能會出現(xiàn)問題。

還可能嘗試在運行功能齊全的操作系統(tǒng) （OS）（如 Linux）的設備中從設備端創(chuàng)建虛擬專用網(wǎng)絡 （VPN） 隧道。不幸的是，設備端加密在M2M中可能并不總是實用的。

最實用的解決方案是創(chuàng)建從 M2M 操作員到后端服務器網(wǎng)絡的站點到站點 VPN 隧道。這允許在網(wǎng)絡路徑最脆弱的部分 - 互聯(lián)網(wǎng)上進行加密數(shù)據(jù)傳輸。站點到站點 VPN 還可以通過不增加使用的無線數(shù)據(jù)量以及將所有加密和解密處理卸載到功能強大的網(wǎng)絡設備來提高效率。

在選擇站點到站點 VPN 隧道之前，開發(fā)人員必須假定移動網(wǎng)絡運營商 （MNO） 和 M2M 運營商的網(wǎng)絡是可信的（稍后將詳細介紹），并且對用于保護連接的端點和 MNO 系統(tǒng)之間的無線通信的加密算法感到滿意。

2. 控制訪問 – 誰可以訪問您的數(shù)據(jù)/系統(tǒng)？

雖然私人信息需要加密，但在某些情況下，機密性可能遠不如訪問和身份驗證重要。例如，使用無線命令打開車門傳輸?shù)臄?shù)據(jù)可能不是機密的，但至關(guān)重要的是，未經(jīng)授權(quán)的各方無法通過該系統(tǒng)解鎖車門。

安全性需要一種有條不紊的方法，利用技術(shù)堆棧中的每個元素。從操作系統(tǒng)開始，一直到硬件級別，至關(guān)重要的是要了解沒有一道防線足以提供完整的保護。

M2M硬件應設計為內(nèi)部組件，允許封閉和保護無線連接。確保具有可移動SIM卡的設備已采取措施，以便不容易訪問SIM卡。被盜的SIM卡可能會導致意外的無線數(shù)據(jù)費用，甚至更糟的是，允許黑客直接訪問您的后端應用程序服務器。

除了安全硬件之外，您還應該采取措施防止訪問您的軟件系統(tǒng)?？紤]使用安全無線 （OTA） 應用程序更新。數(shù)據(jù)簽名還可用于確保傳輸數(shù)據(jù)的真實性和完整性。

3. 監(jiān)控每一層 – 您知道何時出現(xiàn)問題嗎？

即使是最好的預防性安全系統(tǒng)也不是萬無一失的。當事件發(fā)生時，建立監(jiān)控系統(tǒng)非常重要。檢測到事件后，必須觸發(fā)響應操作以防止惡意使用設備或活動 SIM 卡。

后端應用程序應具有適當?shù)墓δ埽梢杂涗浧浣邮盏臄?shù)據(jù)中的異常。例如，如果設備被編程為間歇性地發(fā)送傳感器數(shù)據(jù)，但莫名其妙地破壞了模式，則系統(tǒng)應通知管理員，并在可能的情況下阻止設備與服務器通信。在應用程序服務器和 M2M 操作員之間設置站點到站點 VPN 隧道的一個優(yōu)點是，行為異常的設備將具有固定的 IP 地址，從而更容易隔離和阻止。

您的 M2M 操作員應提供解決方案提供商可用于協(xié)助欺詐檢測和預防的警報工具。您可以選擇將 GPS 與位置和時間戳信息相關(guān)聯(lián)，以驗證后端系統(tǒng)中收到的定位數(shù)據(jù)。

您還可以考慮使用移動設備和 M2M 服務器之間的數(shù)字簽名數(shù)據(jù)消息來監(jiān)視惡意干擾，以識別更改的消息、掃描國際移動用戶標識 （IMSI） 捕獲器的頻譜，或在硬件上設置篡改警報以觸發(fā)服務器通知。

4. 網(wǎng)絡合作伙伴 – 您的網(wǎng)絡合作伙伴安全嗎？

成功和安全的 M2M 應用程序需要高質(zhì)量的合作伙伴。大多數(shù)依賴于蜂窩連接的M2M應用程序通過三個網(wǎng)絡傳輸數(shù)據(jù)：MNO，M2M運營商和互聯(lián)網(wǎng) - 通常由三個獨立的組織管理。應用程序開發(fā)人員應自行執(zhí)行盡職調(diào)查，以驗證第三方管理的任何網(wǎng)絡是否滿足必要的安全要求。

作為 MNO 或互聯(lián)網(wǎng)提供商安全盡職調(diào)查的一部分，應提出的一些可能問題包括：

1. 組織網(wǎng)絡中的所有服務器和網(wǎng)絡組件是否都使用最新的安全補丁和更新進行了更新？

阿拉伯數(shù)字。 是否有及時應用新補丁和更新的流程？

3. 使用什么型號的防火墻？

4. 是否有入侵防御系統(tǒng) （IPS）？

5. 是否存在分布式拒絕服務 （DDoS） 防御系統(tǒng)？

6. 是否對具有服務器和網(wǎng)絡設備root訪問權(quán)限的所有個人進行背景調(diào)查？

7. 是否記錄了所有安全事件？這些日志會保留多長時間？

8. 是否有安全信息和事件管理 （SIEM） 解決方案來提供安全事件的分析和關(guān)聯(lián)？

9. 根密碼多久更改一次？

10. 有哪些系統(tǒng)可以保護和授權(quán)訪問物理服務器和網(wǎng)絡組件（PIN碼，ID徽章，生物識別等）？

5. 安全的基礎 – 您是否在構(gòu)建時考慮了安全性？

確保您的 M2M 應用程序在構(gòu)建時具有堅實的基礎，同時牢記安全性。盡早確定安全性將是重中之重。如果可能，請至少分配一個開發(fā)團隊成員來專注于應用程序的安全性。此人應努力識別風險并推薦避免風險的解決方案。建議此人獲得行業(yè)標準安全認證，如安全軟件生命周期認證專家 （CSSLP）。

為內(nèi)部安全和定期測試建立良好的協(xié)議也很重要。測試可能包括掃描 Web 界面、查看網(wǎng)絡流量、分析物理端口的需求，以及評估設備與云和移動應用程序的身份驗證和交互。

簡而言之，從頭開始確保安全性是并且仍然是產(chǎn)品設計和管理的關(guān)鍵要素。

審核編輯：郭婷