解决方案是否紧跟物联网安全问题?

 
物联网(IoT)已从未来派流行语变为现实。物联网安全已经成为一个行业。
Gartner预计，到2020年，将有200亿个物联网“物”投入使用。这些物联网“物”不包括智能手机和PC。它们是日常使用的设备，例如家用电器，汽车和自动售货机，具有互联网连接性。
Gartner报告将数据放入越来越多的对消费者有利的设备中。
这也给CIO和IT专业人员带来了更多的麻烦。对于IT领导者而言，这可能是一项艰巨的工作，因为它所涉及的不仅仅是管理封闭的网络和虚拟资产。这意味着管理组织无法控制的物理设备和对象。
物联网会产生大量高度个人化的消费者数据。不断增长的数据量产生了安全隐患，尤其是根据新的隐私法规。欧盟通用数据保护条例(GDPR)和加利福尼亚州的新消费者隐私法(CCPA)就是两个这样的例子。
我们的安全解决方案跟上物联网的发展吗?德勤(Deloitte)对组织对物联网安全性的信心进行的调查显示，负责监视重要公司网络安全的500位C级高管中，只有18%的人表示，他们对物联网中“事物”的安全性非常有信心。这大大低于报告他们对物联网安全性不确定或根本不自信的31%。
大量的个人身份数据
物联网设备的大量使用将使保护收集到的大量个人身份数据更具挑战性。所有这些组合的设备意味着更加关注数据的收集，存储和安全性。
输入PKI。 PKI代表公钥基础结构。面向公众的密钥映射到用户已知的私有密钥。 PKI拥有证书颁发机构来颁发和签署可以撤销的数字证书。该机构验证那些试图存储数字证书的人的身份。与TLS(传输层安全性)结合使用，可以启用加密通信。
管理设备中的IoT安全性和隐私风险
美国国家标准技术研究院(NIST)确定了IoT设备内的三个关键风险，这些风险表明了传统IT之间的区别：
物联网设备在消费者手中的交互方式与传统IT设备根本不同
IoT设备无法以相同的方式进行监视或管理，因为它们在IT员工的物理控制范围之外
IT控件的可用性，效率和有效性是不同的。必须制定和管理其他限制和控制措施，以及采用不同的缓解风险的方法。
这些主要风险归结为物联网需要的三个概念：
当设备可供公众使用时，网络犯罪分子很容易接触到IoT设备。关键是防止他们使用这些设备进行攻击，包括DDoS或拦截网络流量
保护数据安全
除了不需要权限的设备外，保护机密性和访问由IoT设备收集，存储或处理的PII(个人身份信息)至关重要。除最佳做法外，这还可能要遵守严格的合规性规则，具体取决于发生的交易类型。
保护用户隐私
在过去的几年中，我们看到了许多备受瞩目的数据丑闻。 2017年，雅虎首席执行官玛丽莎·迈耶(Marissa Meyer)被迫辞职，原因是该公司向美国情报机构提供了访问数百万用户电子邮件的通道。就在今年，由于该公司计划将Facebook，Instagram和Whatsapp合并在一起，Facebook的两名高级雇员也非常关注。
随着物联网越来越嵌入设备中，隐私将成为用户更加关注的问题。
运营安全是您DNA的一部分
为了发挥作用，物联网设备的网络安全必须以您所做的一切为中心。
德勤会计师事务所(Deloitte&Touche LLP)物联网风险服务的物联网安全负责人肖恩·皮斯利(Sean Peasley)说：“安全需要被嵌入到运营程序的DNA中，以使组织拥有出色的产品并放心。
皮斯利说，组织需要将潜在威胁视为危险，并仔细将其视为优先事项。
捍卫数据安全性始于开发采用按设计的安全性来管理风险的产品。这意味着默认情况下，在物联网产品的设计和生产过程中实施网络安全实践。
十大物联网安全风险
德勤指出，组织管理物联网产品存在十大安全风险。这些项目中的每一个都必须通过重要的解决方案来解决。
1.缺乏安全和隐私政策和程序
2.缺乏治理来保护数据
3.缺乏安全的产品和生态系统设计
4.缺乏对工程师和设计师的意识和培训
5.缺乏产品安全性和隐私资源
6.缺乏对设备(和系统)的监视以检测攻击/事件
7.缺乏实施安全性和风险管理
8.产品缺乏安全可见性
9.缺乏识别和减轻产品风险
10.缺乏事件响应经验
管理这些风险采用自上而下的方法来应对网络安全，预算要匹配。安全并不是IT团队的职责。从高层领导到下层，都需要将其纳入设计过程的每个阶段。
安全风险已为公众所熟知。
随着越来越多的安全风险被公众所了解，员工开始根据其雇主的数据安全实践做出雇用决定。正如ProPrivacy.com的数字隐私专家Ray Walsh所解释的那样：“技术人员知道，如果出现问题–并且他们所服务的公司遭受数据泄露–他们可能会在名字旁边出现不希望的黑标，或者更糟。 ，潜在的责任。”
Walsh继续说道：“员工离开时通常会了解基本的商业惯例，商业秘密以及对知识产权的了解。还有一种危险，就是企业可能无法(由具有同等才​​能的人才)填补这些辞职造成的真空。另一方面，能够真正表现出保护消费者隐私的愿望的企业可能会发现自己对消费者和科技部门的雇员都越来越有吸引力。”
设计完成后，对安全性的关注就不会结束。它必须在整个产品生命周期中持续进行。
3,270万次IoT攻击
对物联网安全性的攻击不仅仅是理论上的。在2018年，发现了超过3270万次针对IoT设备的攻击。与去年相比，增长了215%以上。太多的设备几乎没有安全控制。
随着消费者对物联网设备的采用持续增长，对隐私和安全性的关注也将升级。当网络位于内部且在CISO及其IT团队的控制之下时，可以严格遵守数据安全性和保护性。当设备掌握在消费者手中时，就很难管理。
最近的一项研究表明，超过40%的智能家居至少拥有一台易受远程攻击的IoT设备。过时的软件，未应用的补丁程序和薄弱的凭据使网络犯罪分子有可能利用薄弱环节。
美国前国土安全大臣迈克尔·切尔托夫说：“对安全和隐私的关注比以往任何时候都更加普遍。”