通过物联网安全性提高远程员工的效率


来源:   时间:2020-08-21 15:28:39


随着Facebook和Alphabet,Inc.等技术领导者允许其员工在2021年中期之前进行远程工作,远程工作将很可能被视为削减成本,应对当前经济和健康危机的一种方式。在各个行业中,组织都希望采用物联网(IoT)设备,以减少手动任务并促进社交距离。但是,物联网设备通常缺乏基本的安全控制,这会导致整个IT堆栈出现新的网络安全风险。作为组织增长计划的一部分,用于管理物联网的全面解决方案还必须结合建立最佳实践以安全地前进。

为何物联网使分散的劳动力成为可能?

随着组织将员工移出办公场所,物联网提供了独特的功能。无论是看医疗还是制造物联网技术,联网设备都使组织能够监视和管理关键任务操作。正如IoT商业新闻中报道的那样,远程监控设备使制造商可以远程监控和管理资产绩效,而医疗专业人员则可以在无需卧床的情况下监控患者的生命体征。简而言之,这些设备有可能取代现场流程,而工人则保持远程以保护他们的身体健康。

IoT安全风险是什么?

物联网历来缺乏一套紧密的安全性准则,这使得设备更难以保护。它们的低处理能力和内存破坏了诸如加密之类的安全控制。同时,在IoT设备制造初期,设计人员和开发人员很少想到插入安全保护,从而导致安全问题,例如要求手动安全更新,合并许多用户无法更改的默认密码以及留下恶意行为者可以使用的开放后门。

建立物联网风险承受能力

2020年5月,物联网安全基金会(IoTSF)发布了其物联网安全合规框架(IoTSCF)的第二版。根据IoTSCF,组织需要通过创建“合规类”并权衡机密性,完整性和可用性的安全目标,来采取基于风险的方法来实现IoT安全。

与任何安全合规性框架一样,组织需要首先关注其风险水平和承受能力。在IoTSCF下确定组织的“合规等级”意味着要查看IoT堆栈中嵌入的各种潜在风险。

例如,每个物联网设备都包含信息保密性,完整性和可用性方面的风险组合。有鉴于此,寻求保护这些访问点安全性的组织需要从对设备收集,存储和传输的信息类型的基本了解开始,以此作为公司所需的安全级别。

根据IoTSCF,组织可以将以下建议作为其风险承受能力设置的一部分:

0级:机密性,完整性和可用性的风险低或“基本”

第1类:机密性的基本风险,完整性和可用性的中度风险

第2类:机密性和完整性的中等风险,可用性的高风险

第3类:机密性和可用性高风险,完整性中度风险

第4类:机密性,完整性和可用性的高风险

例如,工业物联网(IIoT)设备很少会被视为0级,因为它收集,传输和存储敏感数据。制造商经常使用IIoT进行长期数据存储,仅由于长时间存储大量数据而使他们面临更高的风险。对于医疗物联网也可以这样说,因为设备传输的信息通常是敏感的电子患者健康信息(ePHI)。

同时,物联网(例如用于调节办公室温度的智能温度计)的风险很低,只要它们使用的处理能力很小并且网络攻击不会对敏感数据产生影响。在这些情况下,网络隔离可以作为适当的风险缓解控制。

优先考虑物联网安全业务流程

与所有网络安全问题一样,不存在“一刀切”的物联网安全方法。IoTSCF的核心是提供有关合规性类别的指南。但是,它确实为所有物联网设备设置了一些特定的最低要求。

在这些安全控制措施中,IoTSCF建议:

有一个内部组织成员,该成员拥有并负责监视安全性

确保此人遵守合规性检查表流程

建立与内部和第三方安全研究人员进行交互的策略

建立用于在IoT设备导致安全事件的情况下向高级管理人员进行简报的流程

确保用于通知合作伙伴/用户的安全通知过程

将物联网和基于物联网的安全事件纳入安全策略的一部分

从硬件和软件的角度来看,以下建议指导所有合规性类别:

确保产品的处理器系统具有不可撤销的硬件安全启动过程

默认情况下启用安全启动过程

确保产品阻止加载未经身份验证的软件和文件的能力

确保支持远程软件更新的设备具有对软件映像进行数字签名的功能

在安装更新之前,请确保软件更新程序包具有数字签名,签名证书和签名证书链验证

为生产软件签名密钥设置适当限制的访问控制

如果设备缺少软件更新,请澄清更换支持的条件和期限

防止更新机制干扰实时性能预期

设备无法验证更新本身的真实性时,仅允许实际存在的用户进行本地更新

建立具有指定最短期限的报废政策,以支持更新和终止支持期的原因

确保在适用于设备的一段时间内推送所有可能的软件更新

从功能上讲,所有合规性类别的最低要求都与企业IT级别使用的传统安全控制措施保持一致。但是,随着组织使用更复杂的IoT设备来减少手动任务及其相关的运营成本,他们需要有针对性地考虑其风险以及满足这些最低要求的能力。

走向未来

物联网设备部署的增加可能是维持业务连续性并在传统上依赖于现场,本地运营的各个行业中增长远程劳动力的一种方式。但是,组织必须注意与这些设备相关的潜在安全风险,并不断寻找最新的安全控制措施。

  版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“物联之家 - 物联观察新视角,国内领先科技门户”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场。

延伸阅读

最新文章

通过物联网安全性提高远程员工的效率 通过物联网安全性提高远程员工的效率

精彩推荐

产业新闻

Haylou 智能手表 2 上架京东:12 种运动模式 / 20 天续航,129.9 元 Haylou 智能手表 2 上架京东:12 种运动模式 / 20 天续航,129.9 元

热门推荐

版权所有:物联之家 - 物联观察新视角,国内领先科技门户