物联网安全和隐私需要考虑的三个问题
扫描二维码
随时随地手机看文章
物联网的安全需要一个与以网络为中心的“传统”IT安全完全不同的方法。
连接更多的事物改变了我们安全的方式。随着人,物,基础设施和物理世界的环境日益变得更加数字化,安全方法需要一个转变,即从IT安全架构向物联网安全体系结构的转变。
企业必须考虑许多根本性的转变,成功地过渡到这种新的架构和思维方式。并需要开始理解为什么物联网的安全性是不同于“传统”的IT安全,在任何行业所有类型的组织,应该开始考虑三个关键问题:
问题1:我们在试图保护什么?
就其本质而言,物联网不是单一的技术,一个业务单位或一个垂直行业。更确切地说,在企业或消费者环境中部署和连接设备、对象或基础设施,本质上意味着多个端点之间的连接。任何连接的应用,无论是一个在家庭连接的温控器还是用于风力涡轮机的传感器,这其中包括一些配置的设备,应用程序,网络,当然也包括人员。
当面临表面的威胁时(即潜在的脆弱性的景观),组织必须评估风险的“物联网安全堆栈”,这些领域不只是技术系统组件,而且还包括参与系统的人和组织内部,以及合作伙伴。
虽然设备、应用程序和网络(技术)安全是维护任何连接事物的核心,人员安全的另一个重要方面却往往被忽视。密码安全、BYOD环境、员工流失、缺乏安全培训、简单的人为错误,在任何系统中呈现人员动态也是诸多风险之一。请记住,物联网的系统安全取决于其最薄弱的端点。使人们有助于增强安全性。
物联网安全协议堆栈
要了解在安全保护最充分的情况下,需要采取组织全面清查,不只是其专有的终端点,设备和系统,还有所有相关联的设备,应用,网络,用户和支持者。而“我们在保护什么?”的出发点是:
1.确定这个生态系统
2.确定传感器和数据如何添加到产品或基础设施中,并将数据收集到一个生态系统中。
这是制定安全战略关键的第一步。
问题2:如果我们的“智能”系统被攻破,会发生什么?
在紧急的情况下,会发生什么?如今,许多人和许多企业都没有任何想法,不管是正式的还是分布式计划,,他们应该发现自己在数据,系统或人身安全紧急情况,违约,黑客或其他妥协时发生的事情。企业内部有明确的意义:
·威胁表面是什么
·与技术和系统组件相关联的地方在哪里
·实际的威胁是什么
·可能产生威胁的地方
·如何来缓解这些威胁
·当问题发生时如何鉴别
·合作伙伴被泄露时如何对事件做出响应
·如何阻止,分析,分类和沟通的问题
他们对于外部通信有关数据相关的危机还应该有一个正式的计划,这其中包括合作伙伴和媒体,最重要的是客户和终端用户。
作为安全从业人员,其计划是什么?他们必须认识到物联网的安全性要求,同时应对传统和新兴的安全的多方面的挑战。首先,组织必须满足传统的安全挑战与传统的架构和环境。接下来,他们必须解决当前一代的技术,云特征,社会和移动的挑战。最后,随着新技术的出现,计算的交互和界面扩散,这些因素相互作用推动全新的经济体的发展,企业有义务竭尽所能试图解决这种数字化的意外事件以及未知的后果。
问题3:个人身份信息意味着什么?
几乎每一个连接的环境都涉及到一些个人身份信息的元素,也被称为PII。如果没有数据传输,则数据集成。但在物联网的安全性和隐私的思考,需要人们重新考虑个人身份信息的组成。
在Web2世界中的PII的定义还要有一些澄清。在NIST特别公开的800-122定义为“个人的PII的代理维护的任何信息,包括(1)可用于识别或跟踪一个人身份的任何信息,如姓名,社会安全号码,出生日期和地点,母亲的婚前姓名或生物记录;以及(2)其他任何链接或链接到的个人信息,如医疗、教育、金融和就业的信息。”
当我们超越了笔记本电脑和数字化的对象和环境,我们将从不同的环境中整合不同的货币化数据集,而“个人身份”可能是远不如黑与白那么简单。
可以明确的是,传感技术的架构来自于感测物理的现实:位置,加速度,温度,心率,湿度,声音,光线,位置……这样的例子不胜枚举。而当这些数据输入时,可能从中看出许多问题。
不管穿越时空的个人的运动和活动“链接或可链接”是否清楚,无论是在法律面前,还是在那些收集数据的目光之下,人们并不清楚最终用户生成的数据:
·家庭住址的来往人员的个人身份?
·个人的开车的方式识别个人身份?
·对生物刺激的反应的个人身份识别?
广告商,保险公司,制造商,零售商和雇主都争先恐后地争取尽可能多的经验背景,但在这里人们能用技术限制人类的情感吗?
虽然没有一个组织能够明确地回答这些问题,每一个方面,它是在分析中使用的情况下产生这样的数据,以及如何管理和保护这些数据的含义的最佳利益。在数据泄漏,数据医疗事故或相关危机的情况下,这种规划和文件将有助于企业在法庭上有更好的表现。由于企业争相收集尽可能多的数据,他们必须考虑这些数据的收集和应用和集成数据所造成的意外和后果。
问题反映了需要一个新的物联网安全方法现实
有各种各样的资源组织可以访问,以帮助这些问题,但对物联网安全的方法会有所不同。为了帮助寻求真正安全的“智能系统”,Harbo研究机构已经制定了三个步骤来指导组织在其方法物联网的安全性。
虽然上述问题是一个物联网的安全策略中,人们可能已经猜到他们远离容易回答的复选框。企业必须首先评估现有的基础设施,目前的发展举措(包括产品,过程和人),并为这些大型企业调整安全和隐私保护战略。
具有前瞻性的物联网安全策略将从产品设计开始,而像物联网本身一样,他们将在产品、服务、利益相关者、客户细分、威胁向量和生命周期等方面进行超越。