物聯(lián)網(wǎng) （IoT） 在我們?nèi)找婕夹g(shù)化的世界中占據(jù)了中心舞臺(tái)。互聯(lián)設(shè)備正變得越來(lái)越實(shí)用和實(shí)惠。..

然而，隨著我們開始見證節(jié)省時(shí)間，削減成本，提高效率和提高生活質(zhì)量的無(wú)限潛力，我們也意識(shí)到，有了所有這些潛在的好處，也存在數(shù)據(jù)漏洞和安全漏洞的新實(shí)例。

惠普安全研究公司發(fā)布一項(xiàng)研究回顧了 10 種最受歡迎的物聯(lián)網(wǎng) （IoT） 設(shè)備，其中包括某種形式的云服務(wù)和移動(dòng)應(yīng)用程序。結(jié)果顯示，令人震驚的70%的人受到嚴(yán)重安全漏洞的影響。其中一些問(wèn)題包括身份驗(yàn)證/密碼強(qiáng)度不足，缺少傳輸加密，Web界面憑據(jù)薄弱以及軟件更新不安全。

隨著越來(lái)越多的參與者通過(guò)新的連接設(shè)備和應(yīng)用程序進(jìn)入市場(chǎng)，安全性將不被視為差異化點(diǎn) - 這將是一種期望。在部署之前，請(qǐng)考慮以下五個(gè)問(wèn)題，這些問(wèn)題可以幫助保護(hù)連接的應(yīng)用程序：

1. 數(shù)據(jù)加密 – 您的數(shù)據(jù)是否受到保護(hù)？

上述報(bào)告表明，高達(dá)90%的機(jī)器對(duì)機(jī)器（M2M）設(shè)備會(huì)收集某種個(gè)人信息，這使得應(yīng)用程序能夠?qū)@些信息保密至關(guān)重要。對(duì)于任何通過(guò)網(wǎng)絡(luò)傳輸機(jī)密信息的M2M應(yīng)用程序，例如POS系統(tǒng)（信用卡信息），移動(dòng)醫(yī)療（患者數(shù)據(jù)）或基于使用情況的保險(xiǎn)（GPS坐標(biāo)和車輛信息），都需要加密。

雖然加密可能在許多互聯(lián)網(wǎng)應(yīng)用中被廣泛實(shí)踐，但M2M帶來(lái)了一些獨(dú)特的挑戰(zhàn)。乍一看，許多開發(fā)人員可能傾向于使用SSL進(jìn)行安全通信。但是，由于設(shè)備需要額外的處理能力和內(nèi)存來(lái)支持 SSL，以及由于網(wǎng)絡(luò)通信開銷增加而增加的無(wú)線數(shù)據(jù)成本，這在 M2M 應(yīng)用中可能會(huì)出現(xiàn)問(wèn)題。

還可能嘗試在運(yùn)行功能齊全的操作系統(tǒng) （OS）（如 Linux）的設(shè)備中從設(shè)備端創(chuàng)建虛擬專用網(wǎng)絡(luò) （VPN） 隧道。不幸的是，設(shè)備端加密在M2M中可能并不總是實(shí)用的。

最實(shí)用的解決方案是創(chuàng)建從 M2M 操作員到后端服務(wù)器網(wǎng)絡(luò)的站點(diǎn)到站點(diǎn) VPN 隧道。這允許在網(wǎng)絡(luò)路徑最脆弱的部分 - 互聯(lián)網(wǎng)上進(jìn)行加密數(shù)據(jù)傳輸。站點(diǎn)到站點(diǎn) VPN 還可以通過(guò)不增加使用的無(wú)線數(shù)據(jù)量以及將所有加密和解密處理卸載到功能強(qiáng)大的網(wǎng)絡(luò)設(shè)備來(lái)提高效率。

在選擇站點(diǎn)到站點(diǎn) VPN 隧道之前，開發(fā)人員必須假定移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商 （MNO） 和 M2M 運(yùn)營(yíng)商的網(wǎng)絡(luò)是可信的（稍后將詳細(xì)介紹），并且對(duì)用于保護(hù)連接的端點(diǎn)和 MNO 系統(tǒng)之間的無(wú)線通信的加密算法感到滿意。

2. 控制訪問(wèn) – 誰(shuí)可以訪問(wèn)您的數(shù)據(jù)/系統(tǒng)？

雖然私人信息需要加密，但在某些情況下，機(jī)密性可能遠(yuǎn)不如訪問(wèn)和身份驗(yàn)證重要。例如，使用無(wú)線命令打開車門傳輸?shù)臄?shù)據(jù)可能不是機(jī)密的，但至關(guān)重要的是，未經(jīng)授權(quán)的各方無(wú)法通過(guò)該系統(tǒng)解鎖車門。

安全性需要一種有條不紊的方法，利用技術(shù)堆棧中的每個(gè)元素。從操作系統(tǒng)開始，一直到硬件級(jí)別，至關(guān)重要的是要了解沒有一道防線足以提供完整的保護(hù)。

M2M硬件應(yīng)設(shè)計(jì)為內(nèi)部組件，允許封閉和保護(hù)無(wú)線連接。確保具有可移動(dòng)SIM卡的設(shè)備已采取措施，以便不容易訪問(wèn)SIM卡。被盜的SIM卡可能會(huì)導(dǎo)致意外的無(wú)線數(shù)據(jù)費(fèi)用，甚至更糟的是，允許黑客直接訪問(wèn)您的后端應(yīng)用程序服務(wù)器。

除了安全硬件之外，您還應(yīng)該采取措施防止訪問(wèn)您的軟件系統(tǒng)。考慮使用安全無(wú)線 （OTA） 應(yīng)用程序更新。數(shù)據(jù)簽名還可用于確保傳輸數(shù)據(jù)的真實(shí)性和完整性。

3. 監(jiān)控每一層 – 您知道何時(shí)出現(xiàn)問(wèn)題嗎？

即使是最好的預(yù)防性安全系統(tǒng)也不是萬(wàn)無(wú)一失的。當(dāng)事件發(fā)生時(shí)，建立監(jiān)控系統(tǒng)非常重要。檢測(cè)到事件后，必須觸發(fā)響應(yīng)操作以防止惡意使用設(shè)備或活動(dòng) SIM 卡。

后端應(yīng)用程序應(yīng)具有適當(dāng)?shù)墓δ埽梢杂涗浧浣邮盏臄?shù)據(jù)中的異常。例如，如果設(shè)備被編程為間歇性地發(fā)送傳感器數(shù)據(jù)，但莫名其妙地破壞了模式，則系統(tǒng)應(yīng)通知管理員，并在可能的情況下阻止設(shè)備與服務(wù)器通信。在應(yīng)用程序服務(wù)器和 M2M 操作員之間設(shè)置站點(diǎn)到站點(diǎn) VPN 隧道的一個(gè)優(yōu)點(diǎn)是，行為異常的設(shè)備將具有固定的 IP 地址，從而更容易隔離和阻止。

您的 M2M 操作員應(yīng)提供解決方案提供商可用于協(xié)助欺詐檢測(cè)和預(yù)防的警報(bào)工具。您可以選擇將 GPS 與位置和時(shí)間戳信息相關(guān)聯(lián)，以驗(yàn)證后端系統(tǒng)中收到的定位數(shù)據(jù)。

您還可以考慮使用移動(dòng)設(shè)備和 M2M 服務(wù)器之間的數(shù)字簽名數(shù)據(jù)消息來(lái)監(jiān)視惡意干擾，以識(shí)別更改的消息、掃描國(guó)際移動(dòng)用戶標(biāo)識(shí) （IMSI） 捕獲器的頻譜，或在硬件上設(shè)置篡改警報(bào)以觸發(fā)服務(wù)器通知。

4. 網(wǎng)絡(luò)合作伙伴 – 您的網(wǎng)絡(luò)合作伙伴安全嗎？

成功和安全的 M2M 應(yīng)用程序需要高質(zhì)量的合作伙伴。大多數(shù)依賴于蜂窩連接的M2M應(yīng)用程序通過(guò)三個(gè)網(wǎng)絡(luò)傳輸數(shù)據(jù)：MNO，M2M運(yùn)營(yíng)商和互聯(lián)網(wǎng) - 通常由三個(gè)獨(dú)立的組織管理。應(yīng)用程序開發(fā)人員應(yīng)自行執(zhí)行盡職調(diào)查，以驗(yàn)證第三方管理的任何網(wǎng)絡(luò)是否滿足必要的安全要求。

作為 MNO 或互聯(lián)網(wǎng)提供商安全盡職調(diào)查的一部分，應(yīng)提出的一些可能問(wèn)題包括：

1. 組織網(wǎng)絡(luò)中的所有服務(wù)器和網(wǎng)絡(luò)組件是否都使用最新的安全補(bǔ)丁和更新進(jìn)行了更新？

阿拉伯?dāng)?shù)字。 是否有及時(shí)應(yīng)用新補(bǔ)丁和更新的流程？

3. 使用什么型號(hào)的防火墻？

4. 是否有入侵防御系統(tǒng) （IPS）？

5. 是否存在分布式拒絕服務(wù) （DDoS） 防御系統(tǒng)？

6. 是否對(duì)具有服務(wù)器和網(wǎng)絡(luò)設(shè)備root訪問(wèn)權(quán)限的所有個(gè)人進(jìn)行背景調(diào)查？

7. 是否記錄了所有安全事件？這些日志會(huì)保留多長(zhǎng)時(shí)間？

8. 是否有安全信息和事件管理 （SIEM） 解決方案來(lái)提供安全事件的分析和關(guān)聯(lián)？

9. 根密碼多久更改一次？

10. 有哪些系統(tǒng)可以保護(hù)和授權(quán)訪問(wèn)物理服務(wù)器和網(wǎng)絡(luò)組件（PIN碼，ID徽章，生物識(shí)別等）？

5. 安全的基礎(chǔ) – 您是否在構(gòu)建時(shí)考慮了安全性？

確保您的 M2M 應(yīng)用程序在構(gòu)建時(shí)具有堅(jiān)實(shí)的基礎(chǔ)，同時(shí)牢記安全性。盡早確定安全性將是重中之重。如果可能，請(qǐng)至少分配一個(gè)開發(fā)團(tuán)隊(duì)成員來(lái)專注于應(yīng)用程序的安全性。此人應(yīng)努力識(shí)別風(fēng)險(xiǎn)并推薦避免風(fēng)險(xiǎn)的解決方案。建議此人獲得行業(yè)標(biāo)準(zhǔn)安全認(rèn)證，如安全軟件生命周期認(rèn)證專家 （CSSLP）。

為內(nèi)部安全和定期測(cè)試建立良好的協(xié)議也很重要。測(cè)試可能包括掃描 Web 界面、查看網(wǎng)絡(luò)流量、分析物理端口的需求，以及評(píng)估設(shè)備與云和移動(dòng)應(yīng)用程序的身份驗(yàn)證和交互。

簡(jiǎn)而言之，從頭開始確保安全性是并且仍然是產(chǎn)品設(shè)計(jì)和管理的關(guān)鍵要素。

審核編輯：郭婷