7 bước để tăng cường bảo mật IoT

Ngày Đăng : Friday, July 05, 2019

Bảo vệ IoT là một nỗ lực đa diện, đòi hỏi những bước đi lớn cũng như những điều chỉnh nhỏ để đảm bảo mạng, hệ thống, dữ liệu và thiết bị được bảo vệ. Dưới đây là 7 thực hành bảo mật bạn có thể chưa xem xét.

7 bước để tăng cường bảo mật IoT

 

Một trong các mối chú ý lớn nhất với Internet of Things ( IoT ) là đảm bảo các mạng, dữ liệu và thiết bị được bảo mật. Sự cố bảo mật liên quan đến IoT đã xảy ra và các lo lắng của các nhà quản lý CNTT, bảo mật và mạng rằng các sự kiện tương tự sẽ diễn ra là hợp lý.

iot internet của những thứ chuỗi bảo mật bởi mf3d getty

Jason Taule, phó chủ tịch tiêu chuẩn và CISO tại các tiêu chuẩn bảo mật và công ty bảo đảm HITRUST cho biết, trong tất cả các môi trường hạn chế nhất, bạn sẽ có các thiết bị IoT ở giữa . "Câu hỏi sau đó không phải là, nhưng làm thế nào bạn sẽ cho phép các thiết bị đó kết nối và tương tác với mạng, hệ thống và dữ liệu của bạn.

 

Các tổ chức có thể làm gì để tăng cường bảo mật IoT? Có rất nhiều lựa chọn, bao gồm một số thực tiễn có thể không quá rõ ràng.

Bảo mật IoT: bắt đầu bằng cách suy nghĩ nhỏ
Xây dựng bảo mật tốt hơn vào IOT, tổ chức nên bắt đầu với các thành phần nhỏ nhất trong mạng lưới cơ sở hạ tầng-mã của họ, nói Laura DiDio, hiệu trưởng tại nghiên cứu và công ty tham khảo ITIC .

Phần lớn các thiết bị IoT rất nhỏ, theo ông DiDio. Do đó, mã nguồn có xu hướng được viết bằng ngôn ngữ lưỡi chung C hay C ++ và C # thường gặp nạn trong các vấn đề phổ biến như rò rỉ bộ nhớ và lỗ hổng tràn bộ đệm. Các vấn đề này tương đương với mạng lưới của cảm lạnh thông thường.

Và giống như cảm lạnh thông thường, chúng thật đáng tiếc và dai dẳng, DiDio nói. Trong môi trường IoT, họ có thể sinh sôi nảy nở và trở thành một vấn đề bảo mật lớn và thường bị bỏ qua, cô nói. DiDio bảo vệ tốt nhất ở đây là kiểm tra, thử nghiệm và kiểm tra lại. Có rất nhiều công cụ kiểm tra được đánh giá cao trên thị trường đã được sử dụng cho các thiết bị IoT, DiDio nói.

Quản trị viên bảo mật và CNTT cũng có thể sử dụng cookie stack, DiDio nói. Đây là các chuỗi dữ liệu ngẫu nhiên mà các ứng dụng được mã hóa để ghi vào ngăn xếp ngay trước Thanh ghi con trỏ lệnh, dữ liệu sẽ tràn ra nếu xảy ra tràn bộ đệm. Trong trường hợp xảy ra lỗi tràn bộ đệm, cookie stack bị ghi đè, cô nói. Ứng dụng sẽ được mã hóa thêm để xác minh rằng chuỗi cookie ngăn xếp sẽ tiếp tục khớp với cách mã được viết ban đầu. Nếu cookie ngăn xếp không khớp, ứng dụng sẽ chấm dứt.

Triển khai các điều khiển truy cập nhận biết ngữ cảnh
Kiểm soát truy cập trong môi trường IoT là một trong các thách thức bảo mật lớn hơn mà các công ty gặp phải khi kết nối tài sản, sản phẩm và thiết bị. Điều đó bao gồm kiểm soát truy cập mạng cho chính các đối tượng được kết nối.

Trước tiên, các tổ chức nên xác định các hành vi và hoạt động được coi là chấp nhận được bởi các thứ được kết nối trong môi trường IoT, sau đó đưa ra các biện pháp kiểm soát tài khoản này nhưng đồng thời không cản trở các quy trình, John Pironti, chủ tịch công ty tham khảo IP nói Kiến trúc sư và một chuyên gia về bảo mật IoT.

Thay vì sử dụng một Vlan [LAN ảo] hoặc phân đoạn mạng riêng biệt có thể hạn chế và làm suy yếu các thiết bị IoT, hãy triển khai các điều khiển truy cập nhận biết ngữ cảnh trên toàn mạng của bạn để cho phép các hành động và hành vi phù hợp, không chỉ ở cấp độ kết nối mà còn ở cấp độ kết nối cấp độ chỉ huy và truyền dữ liệu

Điều này sẽ đảm bảo rằng các thiết bị có thể hoạt động theo kế hoạch đồng thời hạn chế khả năng thực hiện các hoạt động độc hại hoặc trái phép, Pironti nói. Quá trình này cũng có thể thiết lập một đường cơ sở của hành vi dự kiến ​​mà sau đó có thể được ghi lại và theo dõi để xác định sự bất thường hoặc các hoạt động nằm ngoài các hành vi dự kiến ​​ở ngưỡng chấp nhận được, ông nói.

Giữ các nhà cung cấp chịu trách nhiệm cho thiết bị IoT của họ
Các tổ chức như một vấn đề tất nhiên thuê tất cả các loại nhà cung cấp dịch vụ, và trong một số trường hợp, các dịch vụ đó được cung cấp thông qua thiết bị được đặt trong khuôn viên của khách hàng. Trong thời đại của IoT, rất có thể máy móc sẽ được kết nối và do đó dễ bị hack và các cuộc xâm nhập khác.

Tùy thuộc vào khách hàng để đảm bảo rằng có trách nhiệm giải trình nếu có sự cố xảy ra.

Một nơi để bắt đầu là trong hợp đồng, Brian nói, Brian Haugli, một đối tác tại công ty tham khảo bảo mật SideChannelSec và cựu giám đốc an ninh tại Tập đoàn bảo hiểm Hanover. Các nhà cung cấp của bạn đang đẩy một IoT vào doanh nghiệp của bạn như là một phần của dịch vụ hoặc giải pháp của họ? Nếu vậy, bạn phải biết về nó và thấy rằng đó là một phần của hợp đồng / mua sắm.

Hãy chắc chắn rằng ai là người chịu trách nhiệm cập nhật và vòng đời của thiết bị, cũng như nếu bạn có quyền truy cập vào thiết bị trong trường hợp xảy ra sự cố, Haugli nói. Tôi đã thấy HVAC [sưởi ấm, thông gió và điều hòa không khí] và các công ty máy in không từ bỏ quyền truy cập dẫn đến nỗ lực đáp ứng bị đình trệ, ông nói. Các nhà cung cấp tương tự sẽ đẩy lùi các trách nhiệm vá lỗi thường xuyên hoặc nâng cấp hệ thống điều hành.

Trong một số trường hợp, hợp đồng có thể không xác định khi nào khách hàng sẽ bảo hành một thiết bị mới với hệ điều hành hỗ trợ và nhà cung cấp có thể không sẵn sàng nhận chi phí, Haugli nói. Do đó, một thiết bị không được hỗ trợ và dễ bị tổn thương có thể được phép ngồi trên mạng lâu hơn bình thường.

Nếu chúng ta không nói rõ các yêu cầu của mình với các nhà cung cấp, đừng thực hiện các bước để xác nhận sự tuân thủ và không chịu trách nhiệm, chúng ta có cơ sở nào để mong đợi các vấn đề này được giải quyết? Theo cách tương tự, các công ty phần cứng và OEM ngày nay đều phải chịu trách nhiệm xác định và giải quyết nhanh chóng các điểm yếu trong sản phẩm của mình, các công ty cung cấp cho chúng tôi camera IP, thiết bị y tế, máy in, điểm truy cập không dây, tủ lạnh , kiểm soát môi trường và số lượng chưa từng thấy của các thiết bị IoT khác mà chúng tôi ngày càng tin tưởng.

Các công ty nên áp dụng các điều khiển được nêu trong các khung bảo mật chung cho các thiết bị IoT, Taule nói. Ví dụ, bao gồm các yêu cầu chức năng bảo mật trong hợp đồng của bạn; yêu cầu quét lỗ hổng gần đây hoặc khẳng định quyền tự quét chúng; bắt buộc các nhà cung cấp phải cung cấp cập nhật kịp thời để giải quyết các điểm yếu đã được xác định; và quét lại các thiết bị sau bất kỳ bản cập nhật firmware nào để đảm bảo rằng các vấn đề đã được xác định đã được giải quyết và không có vấn đề mới nào được đưa ra.

Bảo vệ chống lại IoT xác định giả mạo
Tin tặc và các kỹ thuật của chúng đã trở nên thành thạo hơn trong các năm qua và điều này có thể là mối đe dọa lớn đối với bảo mật IoT.

Họ liên tục lên trò chơi của họ như các kẻ giả mạo và các kẻ giả mạo, Sự gia tăng theo cấp số nhân của các thiết bị IoT có nghĩa là bề mặt tấn công hoặc vectơ tấn công đã tăng theo cấp số nhân.

Điều đó khiến các doanh nghiệp và bộ phận bảo mật và CNTT của họ phải xác minh danh tính của các thiết bị IoT mà họ đang liên lạc và đảm bảo rằng chúng hợp pháp cho các thông tin liên lạc, cập nhật và tải xuống quan trọng.

Tất cả các thiết bị IoT phải có một danh tính duy nhất, DiDio nói. Trong trường hợp không có danh tính duy nhất, một tổ chức có nguy cơ bị giả mạo hoặc hack từ cấp vi điều khiển đến các thiết bị đầu cuối ở rìa mạng đến các ứng dụng và lớp vận chuyển, cô nói.

Thiết lập kết nối một chiều cho các thiết bị IoT
Các công ty nên hạn chế khả năng các thiết bị IoT khởi tạo các kết nối mạng và thay vào đó chỉ kết nối với chúng bằng tường lửa mạng và danh sách kiểm soát truy cập, Pironti nói.

Bằng cách thiết lập nguyên tắc tin cậy một chiều, các thiết bị IoT sẽ không bao giờ có thể bắt đầu các kết nối đến các hệ thống nội bộ, điều này có thể hạn chế khả năng của kẻ tấn công tận dụng chúng như các điểm nhảy để khám phá và tấn công các phân đoạn mạng, theo ông Pironti.

Mặc dù điều này sẽ không ngăn chặn các đối thủ tấn công các hệ thống đã thiết lập kết nối trực tiếp với chúng, nhưng điều đó sẽ hạn chế khả năng di chuyển ngang của chúng trong các mạng, Pironti nói.

Các doanh nghiệp cũng có thể buộc các kết nối đến các thiết bị IoT đi qua các máy chủ nhảy và / hoặc proxy mạng, Pironti nói. Bằng cách ủy quyền kết nối trong một điểm phễu, một tổ chức sau đó có thể kiểm tra lưu lượng mạng trước khi đến và đến các thiết bị IoT và thẩm vấn [lưu lượng] hiệu quả hơn, anh nói. Điều đó cho phép nó xác định xem lưu lượng và tải trọng mà nó mang theo có phù hợp với thiết bị IoT được nhận hoặc truyền hay không.

Cân nhắc sử dụng mạng tách biệt
Nhiều loại thiết bị điều khiển, như bộ điều nhiệt và điều khiển ánh sáng, kết nối qua mạng không dây. Tuy nhiên, hầu hết các mạng không dây của doanh nghiệp đều yêu cầu WPA2-Enterprise / 802.1x, James McGibney, giám đốc cao cấp về an ninh mạng và tuân thủ tại Rosendin Electric , một nhà thầu điện cho biết.

Hầu hết các thiết bị đó không hỗ trợ WPA2-Enterprise, theo McG McGney. Phát triển một thiết bị an toàn hơn sẽ là lý tưởng. Tuy nhiên, nếu môi trường hỗ trợ, bạn có thể đặt các thiết bị đó lên mạng không dây của riêng mình, tách biệt khỏi mạng sản xuất và chỉ cho phép truy cập Internet.

Điều đó sẽ yêu cầu tạo một bộ nhận dạng bộ dịch vụ riêng (SSID) và mạng LAN ảo và có khả năng định tuyến lưu lượng truy cập đó thông qua tường lửa, McGibney nói. Mạng không dây tách biệt sẽ được cấu hình và quản lý từ một vị trí tập trung, ông nói.

Chúng tôi đã làm điều này cho một số thiết bị, [chẳng hạn như] máy bán hàng tự động yêu cầu truy cập Internet, mà chúng tôi không kiểm soát được, McG McGney nói. Chúng tôi đặt chúng trên mạng khách của chúng tôi, được tách biệt khỏi sản xuất. Nó chạy trên cùng một phần cứng nhưng nằm trên một Vlan riêng biệt, ông nói.

Chèn bảo mật vào chuỗi cung ứng
Các nỗ lực của IoT thường tiếp cận nhiều đối tác trong chuỗi cung ứng, bao gồm các nhà cung cấp công nghệ, nhà cung cấp và khách hàng và bảo mật phải tính đến điều đó.

Nếu bạn chưa làm như vậy, hãy đi đến hợp đồng, tài chính hoặc bất kỳ nhóm nào khác trong tổ chức của bạn quản lý chuỗi cung ứng, theo Tau Taule. Bắt đầu một cuộc trò chuyện và mối quan hệ với họ sao cho việc phê duyệt không được cung cấp cho bất kỳ giao dịch mua IoT nào trừ khi sự đồng tình của nhóm bảo mật đã được cung cấp.

Các bộ phận này sẽ háo hức tuân thủ điều này nếu an ninh đưa ra gánh nặng công việc cho việc phân tích, Taule nói.

Chính xác làm thế nào để tăng cường tốt nhất quá trình lựa chọn nhà cung cấp chuỗi cung ứng tùy thuộc vào từng tổ chức, Taule nói, nhưng ông khuyên nên xem xét các nhà sản xuất cho phép xác nhận độc lập; ủng hộ một công tắc chống ghi ở phía thiết bị sao cho phần sụn có thể được cập nhật mà bạn không biết; và chỉ mua sắm sản phẩm xác thực chứ không phải hàng giả.

Câu chuyện này, "7 bước để tăng cường bảo mật IoT" ban đầu được xuất bản bởi Thế giới mạng .

 

Cảm ơn bạn đã đánh giá
5 Sao 1 Đánh giá