物聯(lián)網(wǎng)被揭穿的10大安全神話(huà)

　　在科技界，你很難在一周中沒(méi)有聽(tīng)到所謂“物聯(lián)網(wǎng)”這個(gè)詞。物聯(lián)網(wǎng)方面的進(jìn)步已經(jīng)改變了我們的生活，并將繼續改變，因為越來(lái)越多的設備連接到物聯(lián)網(wǎng)。安全性是極為重要的，但也有物聯(lián)網(wǎng)周邊安全的許多神話(huà)。以下你會(huì )發(fā)現關(guān)于頂級物聯(lián)網(wǎng)安全的一些神話(huà)：

　　10.“微小的物聯(lián)網(wǎng)設備沒(méi)有能力做到真正強大的安全性?！?/p>

　　即使是上世紀80年代只有2K，初級8位的RAM芯片可以使用256位密鑰長(cháng)度實(shí)現橢圓曲線(xiàn)加密，并有效地使用2048位密鑰長(cháng)度進(jìn)行RSA加密，這對于美國“秘密”級國家安全信息是足夠強大的。這種加密每隔一小時(shí)使用的時(shí)間簽名或驗證數據，只使用一節AA電池這樣的小電池的電量可以運行二十多年。

　　9.“安全性太過(guò)復雜，特別是在物聯(lián)網(wǎng)。你永遠不會(huì )贏(yíng)?！?/p>

　　真正有效的安全絕不是只有一個(gè)單一的殺手锏。相反，正如擋風(fēng)遮雨的的房子需要幾面墻壁，屋頂和地板一樣，有效物聯(lián)網(wǎng)的安全性也需要一些重要因素組成：

　　· 良好的加密保護認證和潛在的保護數據的機密性

　　· 在允許該代碼運行于任何配置的情況下，對任何和所有代碼和配置進(jìn)行加密驗證。

　　· 通過(guò)安全專(zhuān)業(yè)的第三方安全運行，以應對任何代碼漏洞

　　· 遠程管理功能，包括更新和軟件清單管理，遙測和策略管理的安全性靈活性

　　· 安全分析發(fā)現和打擊復雜的對手

　　這些重要因素的組合簡(jiǎn)單而強大，足以抵御技能最好的攻擊者。

　　8.“無(wú)法更新這些設備?！?/p>

　　很多設備都很難更新，但幾乎沒(méi)有一個(gè)是不可能的。工業(yè)系統平均部署了19年，在過(guò)去幾十年中，汽車(chē)和醫療設備的設計同樣如此?，F在，我們看到工業(yè)設備供應商為了設備的完整性對其使用了十年以下的舊設備進(jìn)行更新，而人們現在所看到的醫療設備、自動(dòng)取款機、銷(xiāo)售點(diǎn)的終端設備、零售亭，甚至連汽車(chē)也是如此。

　　7.“安全代價(jià)對于部署的數十億設備來(lái)說(shuō)太昂貴了?！?/p>

　　人們認為在規模、安全的代價(jià)往往只有連接裝置，任何連接的設備超過(guò)了20美元，這似乎是完全負擔得起，而安全風(fēng)險大意魯莽將會(huì )危及企業(yè)業(yè)務(wù)安全，當預防總是變化的風(fēng)險時(shí)，有些代價(jià)有些太昂貴了。

　　6.“我們有airgaps，網(wǎng)關(guān)和網(wǎng)絡(luò )隔離保護我們?！?/p>

　　幾乎所有的系統都會(huì )以他們的創(chuàng )造者可能不知道的方式連接，但攻擊者會(huì )具有相當創(chuàng )造性地找到。這已在軍事、情報和關(guān)鍵基礎設施系統被反復證明，去年，德國的一個(gè)鋼鐵廠(chǎng)高爐遭受攻擊，破壞了其一個(gè)旨在保護操作網(wǎng)絡(luò )免受攻擊的網(wǎng)關(guān)。網(wǎng)關(guān)有助于減少風(fēng)險，但不足以提供足夠的保護。正如airgaps不得力，VLAN和其他邏輯分離更有效。對于高價(jià)值的系統，要從內部進(jìn)行強化，而不要冒險依賴(lài)網(wǎng)關(guān)，airgaps和網(wǎng)絡(luò )隔離。

　　5.“blockchain與PKI”

　　Blockchain是記錄交易和一個(gè)大臺賬制度數字(和物理)對象，因為他們去進(jìn)行這樣的分類(lèi)帳。不幸的是，大多數人忘記blockchains的臺賬水平，其核心停留在傳統的加密操作水平，并以較低的基礎與傳統的加密操作，每個(gè)交易的簽名庫、密鑰和證書(shū)。例如比特幣，使用橢圓曲線(xiàn)加密和256位密鑰的強度，如經(jīng)常提倡的物聯(lián)網(wǎng)系統有無(wú)風(fēng)格分類(lèi)相同的需求鏈。密鑰管理是密碼系統的一個(gè)軟肋。這就是為什么價(jià)值十億美元以上的物聯(lián)網(wǎng)設備已經(jīng)在使用世界上最成熟的密鑰管理系統、證書(shū)頒發(fā)機構提供管理公鑰基礎設施(PKI)。更好的PKI使得blockchain分類(lèi)水平更強。換句話(huà)說(shuō)，blockchain可以更好地利用PKI。

　　4.“我們只需要供應商和標準團隊更快來(lái)解決”

　　如今，供應商和標準團體正在取得進(jìn)展，但這一過(guò)程需要時(shí)間。除非客戶(hù)開(kāi)始詢(xún)問(wèn)他們需要的安全類(lèi)型，如上面提到的“成分”，設備供應商將繼續銷(xiāo)售設備，既沒(méi)有安全保障，并且更加危險，而安全作為一個(gè)形容詞，而不是真正衡量對手的指標。

　　3.“運行操作技術(shù)OPS隊只需要從中吸取教訓?！?/p>

　　IT供應商和工作人員在運營(yíng)上的討論，并沒(méi)有良好的理由受到歡迎。操作限制因IT環(huán)境和后果遠遠不同，常有完全不同的時(shí)間尺度。無(wú)論是好是壞，OT側很多技術(shù)在IT方面已經(jīng)使用了多年。然而，直到IT供應商和工作人員了解其語(yǔ)言和文化，其他團隊將不會(huì )對已被選中的并適合他們的環(huán)境的技術(shù)有任何信心。IT安全需要OTOPS團隊管理太多的工具。選擇正確的工具，并適當調整他們需要IT和OT之間的協(xié)作。

　　2.“我們的系統是如此的不起眼，沒(méi)有人能把它們弄清楚，并造成損害?！?/p>

　　如今，鋼鐵廠(chǎng)、污水處理廠(chǎng)、電網(wǎng)、工廠(chǎng)、發(fā)電廠(chǎng)以及其他無(wú)數的系統已經(jīng)被黑客入侵，而管理和技術(shù)人員幼稚的信念導致出現這樣的結果。

　　1.“我可以獨自做到這一點(diǎn)?！?/p>

　　歷史和最近的頭條新聞充斥著(zhù)那些試圖自己管理安全的企業(yè)的恥辱。沒(méi)有任何一家企業(yè)，也沒(méi)有任何一個(gè)供應商可以獨自打敗所有的攻擊者。捍衛者需要團結起來(lái)，聘請專(zhuān)業(yè)人士，確保他們在硬件，軟件和云計算，以及相關(guān)的和特定的垂直方面有良好的合作伙伴。