物联网(IoT)将会为各个行业带来重大的影响,例如汽车行业可通过物联网提供无边界、不受限的车联网体验,并适时向用户传送重要讯息;至于航空界亦可受惠于物联网,令飞机可于飞行期间实时连接控制中心,控制中心除了能监测飞机的各种数据外,更可通过物联网作实时的诊断及数据修正。
可见,物联网将会成为未来的主要发展趋势!不过物联网本身仍存在严重的安全隐忧,而其中最令人担心的就是欠缺统一性这个老问题。要知道,传统的防御方案在开发时,往往是针对已知的操作系统而进行的;但现时物联网系统并没有统一性,简单说就是不同开发者会使用不一样的系统作为物联网(IoT) 设备的基础,如此一来传统的防御方式将不能提供有效的防御。
全方位保护是解决方案?
面对这种全新的情况,现时业界正提倡采用端到端方式的防御政策。所谓的端到端是指整个 IT 系统,包括由控制中心、云端服务、实体硬件设备、传感器到传统的防御方案;而要达此目的,聘请专家针对企业的基础设施进行安全策略制定及评估是必不可少的。
北亚区新兴技术专家侯嘉俊指:“要为物联网 IoT 安全把关一点也不容易,你需要聘请专业人士协助,并针对 物联网IoT 基建及相关设施的安全风险作评估才可;而设备生产商、部署人员、开发者、云端服务供货商的协作亦十分重要,因为只有上下游通力合作下,才有机会堵塞所有漏洞。”
一般来说,专家都会就以下各点为企业制定针对物联网 IoT 的策略或审计工作:
1、就流行的威胁作评估
在检视你的物联网 IoT 基建设备前,专家会就现时流行的安全风险作估算,例如哪些流行的病毒、攻击手法会对你造成最大影响?而针对来自内部的安全风险又有哪些?员工使用计算机的习惯是否会构成安全问题?
2、针对性防御
针对性攻击大家可能听说过,就是黑客会通过长时间对目标的观测而作出十分精准的攻击;而针对性防御的原理就是针对最可能会攻击企业的方式,从而作出十分精准的针对性防御措施。
3、进行渗透测试
策略制定后,便开始进行渗透测试。所谓的渗透测试其实就是模拟黑客的攻击。这种做法可找出仍然存在的未知漏洞;而有些渗透测试更会同时针对员工使用计算机的习惯及警觉性进行,例如发送钓鱼邮件看看有多少员工会按邮件内容进行相关的工作,这种做法持之有效。
4、周详的访问权限规划
由于物联网本身并没有统一标准,因此良好的访问权限规划亦是提升物联网安全的不二法门!另外针对不同厂商的物联网硬件更改默认密码,并设定一个安全的密码组合亦十分重要;最后当然亦需要定期与物联网设备厂商联络并对物联网硬件进行固件(Firmware)更新。
除上面提及的各种安全层面之外,企业在制定策略前,亦应该从物联网基础设备起、一直到部署过程以至是营运的整个生命周期一并考虑;同时你亦需认真考虑针对物联网的整个架构并且建立一个测试模型,就像以往的 Honeypot 一样,以便吸引黑客进行攻击,并就攻击进行最全面的测试及分析,这样便可有效提升整体物联网系统与设备的安全性。