物联网设备由于其分散性、暴露于物理攻击以及缺乏处理能力而存在着独特的安全问题。
即使是在部署的规划阶段,物联网的安全性也是成功采用该技术的主要障碍之一。
虽然这个问题非常复杂,但是在给定的设置中规划物联网传感器的部署方式时,有三个关键角度需要考虑:设备本身的安全性如何,有多少设备,以及它们是否可以接收安全补丁。
物理访问
物理访问对于传统的IT安全来说是一个重要但又非常简单的考虑因素。数据中心可以被小心地保护起来,路由器和交换机也通常位于很难被摆弄或者很难被访问的地方。
然而,就物联网而言,其颇佳安全实践并不充实。一些类型的物联网实现可能相对简单,易于保护——而一个糟糕的参与者可能会发现,在安全措施良好的医院里,对一件复杂的诊断设备进行修补,或者是在拥有访问控制的工厂车间里对一件大型复杂的机器人制造设备进行修补,都会相对比较困难。当然,妥协是可能发生的,但是一个试图进入安全区域的坏角色仍然是一个众所周知的安全威胁。
相比之下,分散在大都市中的智能城市设备--交通摄像头、智能停车计时器、噪音传感器等--则很容易被普通大众接触到,更不用说是穿着安全帽和危险背心的人了。同样的问题也适用于农村地区的土壤传感器和部署在足够远的地方的其他技术。
这个问题的解决方法各不相同。箱子和围栏可以阻止一些攻击者,但在某些情况下可能不实用。设备的视频监控也是如此,它本身也可能成为目标。物联网安全基金会建议禁用设备上并非执行其功能所需的很多端口,以及在电路板上实施防篡改,甚至可以将这些电路嵌入到树脂当中。
设备发现和联网
保护物联网传感器和后端之间的连接可以说是很难解决的部分,部分原因是,有相当数量的组织甚至在很多给定的时间内都无法知道网络上的所有设备。因此,设备发现仍然是物联网网络安全的重要组成部分。
这种缺乏可见性的主要原因是,物联网是作为一种运营技术被使用的,而不是一种可以由IT人员单独管理的技术,意味着业务人员有时会将有用的设备连接到网络,而不告诉负责维护网络安全的人员。对于习惯于对整个网络的拓扑有清晰了解的网络运营人员来说,这可能是一个不大习惯的头痛问题。
除了IT人员与业务的运营方密切合作以使所有连接到网络的设备都得到了正确的配置和监控之外,网络扫描仪也可以自动发现网络上连接的设备,无论是通过网络流量分析,设备配置文件、白名单还是其他技术。
软件修补
许多物联网传感器没有很多内置的计算能力,因此其中一些设备既不能运行安全软件代理,也不能远程接收更新和补丁。
这是一个巨大的担忧,因为每天都有针对物联网的软件漏洞被发现。当这些漏洞被发现而无法进行修补将会是一个严重的问题。
此外,某些设备根本无法得到适当的保护和修补。为数不多的解决方案可能是找到一个不同的产品来完成功能性任务,同时又具有更好的安全性。
