物联网安全是意识问题不是技术问题

物联网(IoT)这个词既宽泛又模糊,有一种说法是,它包含了任一一种能作为网络一部分的“事物”。这个定义显然不够精准,事实上,没哪种定义让人满意的。

 

  细细琢磨,IoT似乎更多地是个心理范畴的概念,而非技术领域的概念。

 

 

对“什么是物联网?”这个问题的回答,人们常常会以举例子的方式,给出一长串实例。例子列表里可能包括:

 

· 智能家居

· SCADA/ICS

· 工厂自动化装配机器人

· 自动驾驶汽车或联网汽车

· 无线健身设备和其他可穿戴设备

· 联网医疗机械

· 智能手机

· 家庭娱乐系统

· 计算机

这张列表对理解物联网安全问题有什么帮助吗?列表包含了那么多种事物和用例,以致很难看出期间有什么共性。其中一些东西在设计时就融合了安全思维,而其他的则完全无视了安全问题。有些是由用户或管理员主动管理和维护的,其他则是一旦安装上就抛之脑后再也不管了的。

想要围绕物联网问题展开有效讨论,就得先对“物联网”的定义达成共识。更具体来讲,要讨论物联网安全,我们得定义和确认“有问题的物联网(PIoT)”这个概念。上面那张列表里列出的东西里,或许有那么几样是可以不包含进来的。

这些设备的创造者和使用者的心理才是我们应该关注的,倒是它们工作的技术细节或者它们的设计目的反而没那么重要。

桌面计算机位于物联网设备列表的一端。计算机的创造者和用户都默认这些机器应该定期更新,不时用杀毒软件和其他安全工具查一查,理应好好维护机器的环境。计算机就是要有主动的管理才行。计算机安全,虽然远未解决,却一直是各方考虑的重点。每个人都清楚,他们重要的数据和资源处于风险之中,对计算机的攻击行为一直都有。

相对比智能烤面包机(一个现实世界中或许尚未真实存在的典型例子),很有可能无论是烤面包机的创造者还是用户,都没对烤面包机被黑的影响加以太多考虑。他们可能没意识到烤糊了或者没烤熟的面包也是会产生影响的。当然,安全专家们会将它们视作家庭网络边界中的脆弱设备。

安全专家知道,这些设备可被用于收集信息,捕获网络凭证,发起后续攻击等等。确实,它们没有用于管理和查看安全状态的用户界面。无论创造者还是用户都没期待一个烤面包机还要定期打补丁和更新。对大多数人而言,这种想法简直太奇怪了。

一个相关的想法是:安全可不是设备可感知价值的一部分。用户对他们的灯泡没有安全需求,于是,他们不会为灯泡的安全支付额外的费用,创造者们(尤其是初创公司)也就不会在原始设计和架构中引入安全了。

而物联网的麻烦(PIoT)直接诞生于创造者和用户的思维。他们所做的第一个假设,就是设备不会被攻击。他们可能会觉得,“不就一个智能灯泡吗,根本没有黑的价值啊”。或者,他们会认为,自己的技术都没接入公共互联网(比如SCADA设备),没有理由会被黑。

创造者和用户经常默认这些设备不会、不能也不必要被好好维护。他们对用户不可见,也不提供接口或界面来进行管理。

联网汽车是个有趣的例子,完美阐述了某个单一的东西是怎么成为物联网安全问题的。大多数现代汽车都会有很多不同的网络,包括一个控制器局域网(CAN)总线、手机匹配蓝牙和无线轮胎压力传感器。有些汽车甚至还有像安吉星 (OnStar)这样的蜂窝连接。但是连入这些网络的操作系统,直到最近才具备了自动更新的能力。之前,想要对受影响的车辆进行软件升级和打补丁,都必须将车辆召回才行。用户没有为车辆网络和计算机的安全买单义务。

不过,最近有些厂家已经能够进行车辆软件的自动升级了。比如说,特斯拉。这家电动车领军企业,从一开始就将网络安全放在了首位。除了在设计阶段考虑安全,还提供经常性的无线补丁和更新。一辆特斯拉汽车,就是一台主动管理和维护的设备。从心理视角,没人会认为自家车库里的特斯拉会是个PIoT设备。

但另一方面,其他车辆,那些从未托管,从未维护,从未打补丁的汽车,则落入了PIoT的范畴。有趣的是,随着近年来对汽车黑客活动的关注,董事会层面上车辆网络安全的价值倒是越来越被认可,只是要让用户转化到新的车辆安全设计上可能要花去不短的时间。

为分析设备是否归属PIoTa范畴,我们可以将它们放到以设备创造者安全意识和终端用户感知安全价值为坐标轴的二维空间里。

当创造者和用户理解安全的重要性,IoT问题就会变少。这些设备会被谨慎设计,方便管理,通常也不会成为PIoT的一部分。至于其他3个象限,遭遇问题简直是必须的。

如果用户不渴求安全,设备中就很有可能摘除安全性——即使创造者知道安全的重要性。如果用户需求安全,而创造者没理会这一需求,那么安全将会跟个创可贴似的直到成品的最后一刻才松松垮垮地贴到产品上,不过是给用户造成一种受到保护的假象而已,能卖出去就好。

而当用户和创造者都不关心安全,那就真是绝望了。创造者对安全会连个眼神都欠奉。我们在智能灯泡之类的物联网设备中所看到的就是这种景象,而这些被忽视的小设备往往会带来新的漏洞。

 想改善现状,有几条建议可用。

激励措施(或惩罚措施)能鼓励创造者在设计产品时更严肃认真地考虑安全问题。没有安全经验的程序员可以利用广为使用的工具来创建更安全的产品。这样能更容易地做正确的事。

我们还可以培养用户的自我保护意识,教会他们该看哪些点来评估产品安全特性。虽然用户常能体会到对隐私和安全的需要,其实没几个用户能看出强安全性和骗人的万灵油之间的差别。

美国保险商实验室刚刚放出了一份物联网设备认证,不过,至少目前,还不能在哪款产品上看到这一认证。这枚显眼的小戳将让用户在做购买决策时将安全纳入考虑范围。

通过考虑物联网设备用户和创造者的心理,我们可以拿出更好的方法,看出这些设备中哪些是PIoT的一部分,帮助改善IT生态系统的整体安全。

这些建议中没有哪一条是万灵药,但基于思维方式的方法可以产生根本性的改善,不仅仅是对设备自身的安全性而言,也是对接入我们网络的每样东西的安全性而言。而随着我们踏入未来,物联网将很快成为生活中必不可少的一部分。

 

 

人们对WIFI的需求与日俱增 却忽视了安全

步入移动互联网时代,WiFi已经在我们的生活和工作中扮演着越来越重要的角色。甚至已经有人将WiFi形容为马斯洛需求层次理论中的“新”底层需求,即人类在生理需求之下还有WiFi连接的需求。当然,这只是一种夸张的说法,但却说明了WiFi的重要性和火热程度!

近日,调查机构发布了针对家庭用户的一份调查报告,报告显示,用户对于WiFi的需求已经高居第二位,甚至超过了对电视和新移动终端的需求。

 

  家庭无线终端接入数量

 

对于这一调查结果,分析师表示并不惊讶,毕竟从家庭无线终端接入数量的情况来看,至少有一半的家庭有五台移动终端需要接入网络;同时超过10台接入终端 需求的家庭也超过了10%。而WiFi无疑是这些家庭首选的无线接入方式,所以无线路由器在近几年开始走进千家万户,基本上了成为了每个家庭的“标配”。

而据预测,到2019年,全球将有超100亿台物联网设备接入家庭网络,届时无线路由器将不只肩负起“连接”的重任,更需要保护整个家庭网络的安全。也 就是说,那时的家庭WiFi密码将不能再轻易告诉别人,同时尽量绑定设备的mac地址,而且对于亲朋好友,必须要构建起访客网络。

当然,只有这些还不够,因为未来无线路由器将变身家庭网关,因此基本的安全网关能力也要集成,包括最基础的防火墙,病毒检测,入侵检测等等。而高端的防护工作则可以交给云端,提供云查杀、沙盒、威胁漏洞信息共享、甚至是大数据安全防护等等。

不过目前来看,现有的无线路由器厂商在安全方面做的还远远不过,能够提供额外安全防护的品牌还不多(仅有华硕、360等几家),所以如果这些厂商还没有行动起来,未来的市场格局或将发生巨变!

 

 

 

 

关于物联网安全和隐私的三个问题

yinsi

物联网的安全需要一个与以网络为中心的“传统”IT安全完全不同的方法。

连接更多的事物改变了我们安全的方式。随着人,物,基础设施和物理世界的环境日益变得更加数字化,安全方法需要一个转变,即从IT安全架构向物联网安全体系结构的转变。

企业必须考虑许多根本性的转变,成功地过渡到这种新的架构和思维方式。并需要开始理解为什么物联网的安全性是不同于“传统”的IT安全,在任何行业所有类型的组织,应该开始考虑三个关键问题:

问题1:我们在试图保护什么?

就其本质而言,物联网不是单一的技术,一个业务单位或一个垂直行业。更确切地说,在企业或消费者环境中部署和连接设备、对象或基础设施,本质上意味着多个端点之间的连接。任何连接的应用,无论是一个在家庭连接的温控器还是用于风力涡轮机的传感器,这其中包括一些配置的设备,应用程序,网络,当然也包括人员。

当面临表面的威胁时(即潜在的脆弱性的景观),组织必须评估风险的“物联网安全堆栈”,这些领域不只是技术系统组件,而且还包括参与系统的人和组织内部,以及合作伙伴。

虽然设备、应用程序和网络(技术)安全是维护任何连接事物的核心,人员安全的另一个重要方面却往往被忽视。密码安全、BYOD环境、员工流失、缺乏安全培训、简单的人为错误,在任何系统中呈现人员动态也是诸多风险之一。请记住,物联网的系统安全取决于其最薄弱的端点。使人们有助于增强安全性。

物联网安全协议堆栈

要了解在安全保护最充分的情况下,需要采取组织全面清查,不只是其专有的终端点,设备和系统,还有所有相关联的设备,应用,网络,用户和支持者。而“我们在保护什么?”的出发点是:

1.确定这个生态系统

2.确定传感器和数据如何添加到产品或基础设施中,并将数据收集到一个生态系统中。

这是制定安全战略关键的第一步

问题2:如果我们的“智能”系统被攻破,会发生什么?

在紧急的情况下,会发生什么?如今,许多人和许多企业都没有任何想法,不管是正式的还是分布式计划,,他们应该发现自己在数据,系统或人身安全紧急情况,违约,黑客或其他妥协时发生的事情。企业内部有明确的意义:

·威胁表面是什么

·与技术和系统组件相关联的地方在哪里

·实际的威胁是什么

·可能产生威胁的地方

·如何来缓解这些威胁

·当问题发生时如何鉴别

·合作伙伴被泄露时如何对事件做出响应

·如何阻止,分析,分类和沟通的问题

他们对于外部通信有关数据相关的危机还应该有一个正式的计划,这其中包括合作伙伴和媒体,最重要的是客户和终端用户。

作为安全从业人员,其计划是什么?他们必须认识到物联网的安全性要求,同时应对传统和新兴的安全的多方面的挑战。首先,组织必须满足传统的安全挑战与传统的架构和环境。接下来,他们必须解决当前一代的技术,云特征,社会和移动的挑战。最后,随着新技术的出现,计算的交互和界面扩散,这些因素相互作用推动全新的经济体的发展,企业有义务竭尽所能试图解决这种数字化的意外事件以及未知的后果。

问题3:个人身份信息意味着什么?

几乎每一个连接的环境都涉及到一些个人身份信息的元素,也被称为PII。如果没有数据传输,则数据集成。但在物联网的安全性和隐私的思考,需要人们重新考虑个人身份信息的组成。

在Web2世界中的PII的定义还要有一些澄清。在NIST特别公开的800-122定义为“个人的PII的代理维护的任何信息,包括(1)可用于识别或跟踪一个人身份的任何信息,如姓名,社会安全号码,出生日期和地点,母亲的婚前姓名或生物记录;以及(2)其他任何链接或链接到的个人信息,如医疗、教育、金融和就业的信息。”

当我们超越了笔记本电脑和数字化的对象和环境,我们将从不同的环境中整合不同的货币化数据集,而“个人身份”可能是远不如黑与白那么简单。

可以明确的是,传感技术的架构来自于感测物理的现实:位置,加速度,温度,心率,湿度,声音,光线,位置……这样的例子不胜枚举。而当这些数据输入时,可能从中看出许多问题。

Fitbit公司可以跟踪步骤和心率产生数据,显示其用户的活动方式,例如。该公司很快就做出了这样的数据,最初默认设置为公开的。

不管穿越时空的个人的运动和活动“链接或可链接”是否清楚,无论是在法律面前,还是在那些收集数据的目光之下,人们并不清楚最终用户生成的数据:

·家庭住址的来往人员的个人身份?

·个人的开车的方式识别个人身份?

·对生物刺激的反应的个人身份识别?

广告商,保险公司,制造商,零售商和雇主都争先恐后地争取尽可能多的经验背景,但在这里人们能用技术限制人类的情感吗?

虽然没有一个组织能够明确地回答这些问题,每一个方面,它是在分析中使用的情况下产生这样的数据,以及如何管理和保护这些数据的含义的最佳利益。在数据泄漏,数据医疗事故或相关危机的情况下,这种规划和文件将有助于企业在法庭上有更好的表现。由于企业争相收集尽可能多的数据,他们必须考虑这些数据的收集和应用和集成数据所造成的意外和后果。

问题反映了需要一个新的物联网安全方法现实

有各种各样的资源组织可以访问,以帮助这些问题,但对物联网安全的方法会有所不同。为了帮助寻求真正安全的“智能系统”,Harbo研究机构已经制定了三个步骤来指导组织在其方法物联网的安全性。

虽然上述问题是一个物联网的安全策略中,人们可能已经猜到他们远离容易回答的复选框。企业必须首先评估现有的基础设施,目前的发展举措(包括产品,过程和人),并为这些大型企业调整安全和隐私保护战略。

具有前瞻性的物联网安全策略将从产品设计开始,而像物联网本身一样,他们将在产品、服务、利益相关者、客户细分、威胁向量和生命周期等方面进行超越。
[消息来源:机房360]

 

 

 

联网设备激增:物联网数据安全压力山大

anquan

全世界的联网设备的数量持续增加,公司和他们的客户面对升级的物联网数据安全问题。

联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机:潜在的物联网安全漏洞也在同时迅速增长。

物联网使得信息管理的几乎每个方面都变得更复杂:有更多的设备,更多的漏洞,更多的流动信息。使物联网数据安全也更为复杂。

“这一切开辟了全新的道路,”Accenture Digital-Mobility的高级经理Allan Haughton说。“物联网以众多全新的,更意想不到的方式,扩展了安全模式。这是一个更无序的模式。”Haughton指着不起眼的电视遥控器来说明新的威胁。新的遥控器是语音控制的,拥有实时麦克风连接到一个更大的网络。它们很方便?是的。安全吗?也许不是。

“提供好的服务是很酷的,但如果不明白会被如何滥用,就是一个大问题,” Haughton说。

物联网数据安全挑战

高管们不应低估物联网数据安全的挑战。根据Gartner在11月公布的数据,2016年,全世界将有64亿联网设备,每天新增550万个联网产品。到2020年,联网设备的数据将达到208亿。

分析人士预测,网络犯罪造成的损失将随着联网设备数量的上升而大幅增长。Juniper Research 2015年5月的报告“The Future of Cybercrime & Security: Financial and Corporate Threats & Mitigation”预测,2019年,全球的数据泄露的损失将达到2.1万亿美元。这是2015年数据泄漏损失的四倍。虽然报告预测,未来大部分的泄漏将来自于现有的IT和网络基础设施,物联网仍将占损失的很大一部分。

专家说,在整个环节中,物联网都有安全漏洞:有人可以仿冒连接到传输数据的传感器;认证系统比较薄弱的企业可能无意中就让黑客进入其网络;一个不安全的连接可能引入网络犯罪。

一旦黑客入侵,不知道会造成多少破坏,因为一旦入侵,就可能获得整个物联网环境中的所有访问权限。觉得这样的场景不太可能吗? 2013年Target公司的大规模泄漏事件,就是从它的HVAC供应商的认证被入侵开始的。

分析师指出,物联网的风险更高。网络罪犯不仅可以访问信用卡号码这样的数据,他们还可以破坏关键的基础设施,如交通控制系统,电网或制造工厂。

现今的安全措施不足以阻止他们, Steve Wilson说,他是Constellation Research Inc.的副总裁和首席分析师。

“目前的信息安全技术不能够胜任保护物联网工作,”他在电子邮件中回复道。“物联网是关于自动化和速度的,和人类无关。物联网所需的可靠性和应变力水平远远超越我们现在的计算机。”

高管们正在为此努力,分析师说,发展战略和最佳方案来缓解物联网的安全漏洞。

几个关键的物联网安全战略正在发展,特别是有关行为分析和访问权限。企业可以使用大数据和物联网数据分析,获悉,识别和应对异常行为,可能是一个潜在的漏洞, Robert Stroud说,他拥有CGEIT和 CRISC认证,ISACA的前任主席, Forrester Research的首席分析师。

“技术不仅创造了这个问题,但也有助于缓解这个问题,”他说。

供应商也为物联网生态系统,提供了更多的关键的安全措施。云供应商,为静态数据和传输数据提供加密。还包括身份验证平台和身份网络。

还有建立通信协议标准的提议,不仅能够实现互通性,更多应变力,还能更好的发展物联网安全性。

“把一切都连接在一起,你知道它们将如何运营,也知道你可以将它们锁定,” Haughton说,他也强调了需要设计更具应变力的系统,开发敏捷思维,以更好地应对不断变化的威胁。

这些措施都没有完全就绪,专家说。例如,使用大数据分析的企业必须同时实现流程,让他们的系统可以使用信息,即使回应。使用物联网数据分析生成报告,或为审查标记问题,无法保证足够的安全性。

Christian Renaud,451项物联网方案的研究主管表示,传统的合作仍然是至关重要的。

CIO,CISO和其他高管,特别是运营部门,需要建立理解和信任,这样他们作为一个团队可以识别潜在的威胁,评估对于运营的风险,设计和部署适当的战略和技术来减轻这些威胁。

因此,物联网安全权限必须超越CIO或CISO。

“这先是一个企业问题,再是一个技术问题,” Renaud说。

尽管有风险,分析师仍持乐观态度,认为企业有能力使用和保护物联网。不过他们很快意识到,也会伴有挫折和挑战。

“有很多风险较低的(物联网)用例,这些容易实现的方案将是我们的第一步。会有早期实施者,说,‘管它呢?我们来试试。’他们会是那些发现地雷的人,而我们可以实现飞跃,”Renaud说。
[消息来源:TechTarget中国]

 

 

 

 

企业组织面临的12大顶级云计算安全威胁

yun

企业组织在信息化办公环境中,在网络中进行办公及数据传输的潜在危险正在加大,有必要对数据安全进行防范。在上周召开的RSA会议上,CSA(云安全联盟)列出的“Treacherous12”,即企业组织在2016年将面临的12大顶级云计算安全威胁。CSA发布了相关的报告,来帮助云客户和供应商加强他们的防御力度。

云计算的共享、按需的性质,自然带来了新的安全漏洞,从而可能抵消了企业用户迁移到使用云技术所带来的任何收益,CSA警告说。在CSA之前所发布的报告中指出,云服务天生的性质决定了其能够使得用户绕过整个企业组织的安全政策,并在服务的影子IT项目中建立自己的账户。因此,必须采取新的管制措施,并将其落实到位了。

“这项2016年顶级云安全威胁名单的发布,反映了企业管理队伍所做出的糟糕的云计算决策将产生可怕的后果。”CSA的研究执行副总裁J.R.Santos表示说。

安全威胁1:数据泄露

在云环境中其实面临着许多与传统企业网络相同的安全威胁,但由于大量的数据存储在云服务器,使得云服务供应商成为了一个更具吸引力的攻击目标。潜在损害的严重程度往往取决于数据的敏感性。暴露了个人财务信息往往会成为头条新闻,但其实涉及到涉及健康信息、商业秘密和知识产权的数据泄漏往往是更具破坏性的。

当发生数据泄露事故时,企业组织可能会被罚款,他们甚至可能会面临诉讼或刑事指控。而相应的违规调查活动和客户通知会耗费大量的成本。而间接的恶性影响,还包括诸如企业品牌损失和业务损失,甚至可能会影响企业组织多年的时间而无法翻身。

云服务供应商通常都会部署安全控制来保护他们的环境。但最终,企业组织都需要负责保护他们存储在云中的数据。CSA建议企业组织使用多因素身份验证和加密的方式,来尽量防止数据泄露事故的发生。

安全威胁2:凭据或身份验证遭到攻击或破坏

数据泄露和其他攻击经常是由于企业组织内部松散的身份验证、弱密码、和糟糕的密钥或证书管理所造成的。由于企业组织试图将权限分配给相应的工作职位上的员工用户,故而经常需要处理身份管理的问题。更重要的是,当某个工作职能发生改变或某位用户离开该企业组织时,他们有时会忘记删除该用户的访问权限

诸如一次性密码、手机认证和智能卡认证这样的多因素认证系统能够保护云服务,因为这些手段可以让攻击者很难利用其盗取的密码来登录企业系统。例如,在美国第二大医疗保险服务商Anthem公司数据泄露事件中,导致有超过8000万客户的个人信息被暴露,就是因为用户凭据被盗所导致的结果。Anthem公司没有部署多因素认证,所以一旦攻击者获得凭证,就会导致**烦。

许多开发人员误将凭证和密钥嵌入到了源代码中,并将其发布到了诸如GitHub等面向公众的存储库。密钥需要进行适当的保护,而安全的公共密钥基础设施是必要的,CSA表示说。他们还需要定期修改密钥,从而使得攻击者在没有获得授权的情况下更难利用他们所盗取的密钥了。

那些计划与云服务提供商联合采取身份验证措施的企业组织需要了解他们的云服务提供商所采用的安全措施,以便保护身份验证平台。将身份验证集中到一个单一的存储库中有其风险。企业组织需要在集中方便的身份验证与面临成为攻击者最高价值攻击目标存储库的风险之间进行权衡取舍。

安全威胁3:接口和API被黑客攻击

现如今,几乎每一款云服务和应用程序均提供API。IT团队使用接口和API来管理,并实现与云服务的交互,包括提供云服务的配置、管理、业务流程协调和监控的服务。

云服务的安全性和可用性——从身份认证和访问控制再到加密和活动监测——均需要依赖于API的安全性。随着依赖于这些API和建立在这些接口上的第三方服务的增加,相应的安全风险也在增加,企业组织可能需要提供更多的服务和凭据,CSA警告称。糟糕的接口和API或将暴露出企业组织在保密性、完整性、可用性和问责制方面的安全问题。

API和接口往往是企业系统中最容易被暴露的部分,因为它们通常是通过开放的互联网访问的。CSA建议,企业组织应当将适当控制作为“防御和检测的第一线”,而安全威胁模型应用程序和系统建模,包括数据流和系统架构设计,便成为了开发生命周期的重要组成部分。CSA还建议,安全工作应当重点关注在代码审查和严格的渗透测试方面。

安全威胁4:利用系统漏洞

系统漏洞,或利用程序中的bug,并不是什么新闻了,但他们的确已经成为多租户云计算中所出现的大问题了。企业组织以一种接近彼此的方式共享内存、数据库和其他资源,创建了新的攻击面。

庆幸的是,针对系统漏洞的攻击可以通过“基本的IT流程”来减轻,CSA表示说。最佳实践方案包括定期的漏洞扫描,及时的补丁管理,并迅速跟踪报告系统的安全威胁。

根据CSA介绍,相对于其他IT支出,减轻系统漏洞的成本较小。通过IT流程来发现和修补漏洞的费用相对于潜在的损失要小很多。受到相应规范严格监管的行业需要尽快打补丁,最好是将这一过程自动化,并经常化,CSA建议。变更控制流程能够解决紧急修补问题,从而确保企业的技术团队能够正确记录整治活动的和审查过程。

安全威胁5:账户被劫持

网络钓鱼、欺诈和软件漏洞仍然能够成功攻击企业,而云服务则增加了一个新的层面的威胁,因为攻击者可以窃听活动,操纵交易,并修改数据。攻击者也可以使用云应用程序发动其他攻击。

常见的深度防护保护策略可以包含安全违规所造成的损害。企业组织应该禁止用户和服务之间共享帐户凭证,并实现多因素身份验证方案。账户,甚至包括服务帐户都应该被监控,以便每笔交易可以追溯到相关的所有者。而关键是要保护帐户凭据不被盗取,CSA表示说。

安全威胁6:来自企业内部的恶意人员

来自企业内部的安全威胁包括了许多方面:现任或前任员工、系统管理员、承包商或商业伙伴。恶意破坏的范围从窃取企业机密数据信息到报复行为。而在迁移采用了云服务的情况下,一个来自企业内部的恶意人员可能会摧毁企业组织的整个基础设施或操作数据。而如果仅仅是纯粹依赖于云服务提供商的安全性,如加密,则风险是最大的。

CSA建议企业组织需要控制加密过程和密钥,实行职责分离,最大限度的减少用户的访问。实施有效的记录、监控和审核管理员的活动也是至关重要的。

正如CSA所指出的那样,很容易将一个拙劣的尝试对日常工作的执行误解为“恶意”的内部攻击活动。这方面的一个例子便是:一名管理员不小心将一个敏感的客户数据库复制到了一个公开访问的服务器上。企业组织通过在云中实施适当的培训和管理,来防止这些错误正变得越来越重要了,从而得以避免更大的潜在风险。

安全威胁7:APT寄生虫

CSA将“寄生”形式的攻击恰当地称之为高级的持续性威胁(APT)。APT渗透到企业组织的系统,建立一个立足点,然后悄悄地在较长的一段时间内将数据和知识产权漏出。

APT通过网络进行典型的横向移动,以融入正常的数据传输流量,所以他们很难被检测到。主要的云服务提供商利用先进的技术来防止APT渗入他们的基础设施,但企业客户需要积极的检测APT对于其云帐户的攻击,因为其可能会在他们内部部署的系统中。

进入的共同点包括鱼叉式网络钓鱼、直接攻击、预装恶意软件的USB驱动器、以及对第三方网络的攻击。特别是,CSA建议企业组织需要培训用户识别网络钓鱼技术。

定期加强企业员工用户的安全意识,保持员工用户保持警觉,就不太可能被欺骗,让一个APT易于进入企业网络。而企业用户的IT部门需要了解最新的先进性攻击。而采取先进的安全控制、流程管理、事件响应计划、员工培训等措施固然会增加企业组织的安全预算。单企业组织应该权衡这些成本与成功的攻击对于企业所造成的潜在的经济损失。

安全威胁8:永久性的数据丢失

鉴于现如今的云服务已经日趋成熟,因此由服务供应商的错误所造成的永久性的数据丢失已经变得非常罕见了。但恶意黑客已经能够永久的删除云中的数据以对企业造成危害了,而同时,云数据中心的任何设施也更容易受到自然灾害的损害。

云供应商建议在多个区域进行分布式数据和应用程序的托管,以增加保护。充足的数据备份措施也是必不可少的措施,以及坚持实施确保业务连续性和灾难恢复的最佳做法。日常数据备份和异地存储在云环境仍然是很重要的。

防止数据丢失的责任并不是只在云服务提供商这一方。如果企业客户对数据进行了加密,然后上传到云端,那么企业客户就需要要小心保护加密密钥。一旦密钥丢了,数据也就丢失了。

合规政策经常规定了企业组织必须保留其审核记录和其他相关文件多长时间。失去这些数据可能会产生严重的监管后果。欧盟最新的数据保护规则还将数据破坏和个人数据受损纳入数据泄露的范畴,要求进行适当的通知。因此,企业用户必须熟悉各种规则,以避免陷入麻烦。

安全威胁9:缺乏尽职调查

那些尚未充分理解云环境及其相关的风险就采用了云服务的企业组织可能会遭遇到“无数的商业、金融、技术、法律及合规风险”,CSA警告说。通过尽职调查,能够分析一家企业组织是否试图迁移到云中或与另一家公司在云中合并(或工作)。例如,企业组织没有细看合同可能没有意识到如若发生数据丢失或泄密的情况下,供应商的相关责任。

如果一家公司的开发团队缺乏对云技术的熟悉,则会出现操作和架构问题,因为应用程序需要部署到特定的云服务。CSA提醒企业组织必须进行全面的尽职调查,了解当他们订购一项云服务时,其所应当承担的风险。

安全威胁10:云服务的滥用

云服务可以被征用以支持违法活动,如利用云计算资源破解加密密钥以发动攻击。其他的例子包括发动DDoS攻击,发送垃圾邮件和钓鱼邮件,和托管恶意内容。

云服务供应商需要识别云服务被滥用的类型——比如审查流量以识别DDoS攻击;为客户提供工具,以监控他们云环境的健康状况。企业客户应该确保供应商提供了报告云服务被滥用的机制。虽然企业客户可能不会成为恶意行为的直接猎物,但云服务的滥用仍然会导致服务的可用性问题和数据丢失。

安全威胁11:DoS攻击

DoS攻击已经存在多年了,但由于云计算的兴起,他们所引发的问题再一次变得突出,因为它们往往会影响到云服务的可用性。系统可能会变得运行缓慢或是简单的超时。“经历拒绝服务攻击时,就像被困在交通高峰期的交通拥堵中一样,此时要到达你的目的地只有这一种方式,除了坐在那里等待之外没有什么是你能做的。”该报告称。

DoS攻击消耗了大量的处理能力,而企业客户最终还可能不得不为其买单。虽然大容量的DDoS攻击是非常常见的,企业组织应该意识到不对称的、应用程序层的DoS攻击,其目标是攻击Web服务器和数据库漏洞。

较之他们的企业客户,云服务提供商往往能够更好地准备处理DoS攻击,CSA说。关键是要有一套计划,在攻击发生之前以减轻其损害程度,所以当管理员们需要时,他们应该有权访问这些资源。

安全威胁12:共享的科技,共享的危险

共享技术的漏洞对云计算构成了重大威胁。云服务供应商共享基础设施、平台和应用程序,如果一个漏洞出现在任何这些层中,其会影响到每个云服务的租户。“一个单一的漏洞或错误,会导致整个供应商的云服务被攻击。”该报告说。

如果一部分组件被破坏泄露,例如,一款系统管理程序、一个共享的平台组件、或应用程序被攻击,其将潜在的使得整个云环境被攻击。CSA推荐采用深层防御的策略,包括在所有主机、基于主机和基于网络的入侵检测系统,采用多因素身份验证,应用最小特权的概念,网络分割,和修补共享的资源。

这12大云计算安全危险给企业组织很好地梳理了防范的必要手段,但如果要做到万无一失,还需要企业相关部门及管理人员提高警惕,因为网络环境下,黑客攻击手段的多样化往往出其不意。
[消息来源:慧聪网]

 

 

 

物联网的“合理”安全问题

当谈论物联网(IoT)安全问题时,IoT专家会谈论两个不同的问题。在IoT中,恶意攻击者掌控安全控制后,汽车和自动扶梯可能会变得很危险;除此之外,联网机器数据可能导致攻击面呈指数级增长。

anquan

TechCrunch贡献者兼软件工程师Ben Dickson在博客中对攻击面问题总结道:“更多联网设备意味着更多攻击向量以及攻击者有更多机会攻击我们;如果我们不尽快采取行动解决这个安全问题,我们很快将面临不可避免的灾难。”

然而,Dickson的结论并不一定会变成现实。广泛使用的平板电脑并没有被确认为任何重大数据泄露事故或恶意软件爆发的根源,在很大程度上可以说这是因为这些设备比典型的台式Windows电脑更加安全。

你肯定看到过与汽车相关的IoT安全问题,如果汽车在正确的时间行驶错误的路线,它可能会夺去人的性命。笔者并不是说这不是合理的顾虑,只是我们很难说在未来这是否会变成可能。

杀人汽车和新的攻击面可能是合理的IoT安全问题,但物联网还有其他安全问题,让我们先来看看基本层面的安全问题:

1. IP无法承受之重

你肯定听到过很人多谈论IPv6将如何支持IoT,因为我们将需要更多独特的IP地址,而IPv4地址已经所剩无几。在一定程度上,这可能是真的,但是正如MeshDynamicx创始人兼首席技术官Francis daCosta所指出:“数十亿设备不能进行单独管理,它们只能被安置。通过传统手段(例如IPv6)不太可能管理如此庞大数量的通信机器。”在daCosta看来,未来将会出现大量自我组织的本地网络。笔者相信他是对的;这也是可行的。

2. IP太大

便宜的日常物品中微型传感器运行完整的IP堆栈并没有意义,所以我们需要开发或扩展小型本地网络协议。本地网络将连接到企业或工业网络,仅在需要时与其余IPv6空间来交互。蓝牙为我们带来极简的网络,但它只能支持多点网络。低功耗无线协议(例如谷歌的Thread,针对智能家具设备的IPv6规范)则是从更传统的方式尝试解决这个问题的早期尝试。我们可能会看到某种版本的最小堆栈无线将会出现并成为主导标准,但即使通过一种规范,IoT设备变得不那么智能,它们构建的网络将会变得更加复杂。如果我们不能保护目前的互联网,未来事情会变得更加复杂。

3. 这是一场混战,可能会有人受伤

目前,IoT设备连接到智能手机,智能手机会连接到服务器来为其应用程序获取数据。但不同的IoT应用(智能手机、腕带、灯泡、医疗器械等)之间还没有互连。我们开始看到API mashup连接不同智能对象知道的点,但这只是开始。在等到本地非IP网络知道如何以协调的方式来聚合数据后,我们才可能看到进一步的互连,这反过来可能需要我们进行共同开发和部署生态系统。

我们可以把它看成是操作系统战争再次爆发,而这次有更多的移动部件,或者说浏览器战争。在每个战争中,都是通过添加功能来赢得战争,包括没人知道他们需要的功能。当然,更多的功能意味着更多漏洞和IoT安全问题。
[消息来源:RFID世界网]

 

 

 

 

物联网与用户隐私安全,两者如何得兼?

随着最近CES的顺利举行,物联网和物联网设备进一步为人关注,有人关注其功能和便利,有人关注其广阔的市场空间,但有人也表现出担忧:物联网会威胁用户隐私安全吗?

对于用声音或者智能手机的应用程序来控制家具设备这种想法,业内的劝告也时不时地出现。让冰箱来提醒你“身体缺牛奶了”,或者干衣器告诉你该用几档的电力……这些听起来都很酷啊!不过,这些功能管用的前提是掌握一定量关于你生活习惯的稳定数据。这就像时刻都有一批市场人员、保险公司一类的人在盯着你的生活。

“这绝对是一个恐怖因子,”伦敦智库物联网隐私论坛创办人Gilad Rosner说道,“以往未曾联网的设备,如今全都走进网络了。”

美国达拉斯软件公司Trend Micro网络安全总监Tom Kellerman提出了一个更加令人震惊的场景:黑客可以通过任何一个物联网设备轻易地潜入整个家庭网络。“他们可以打开摄像头,监视你们的孩子;他们还可以控制所有带摄像头和麦克风的设备人那监视你的一举一动,并控制你的网络——然后实施敲诈勒索。”这不是凭空的恐吓,而是已有先例。然而,物联网市场尚未成熟,缺乏健全的监管规则和安保措施,更加让这令人不安的事实愈演愈烈。强调物联网数据安全、隐私保护变得更加紧迫。

市场调研公司Gartner预计称,2016年,全球将会有64亿个物联网设备投入使用,而到了2020年,这个数字将会上升至210亿。如今,每天大约新增550万个设备接入物联网。

在刚刚过去的CES上,三星的智能冰箱Family Hub是一大亮点:Family Hub配备了21.5寸超大1080p屏幕,接入WiFi网络后,用户可以通过它制定食物清单、阅读新闻、听音乐、查看日历和天气、写电子备忘录以及语音对话,此外,Family Hub内部配备有摄像头,通过手机App连接即可监控食物的状态。如此功能强大的智能家居设备,还有三星去年介绍的智能电视机。

然而,独立安全评鉴协会Independent Security Evaluators(ISE)表示,到目前为止,剑指物联网市场的电子产品制造商为这些智能设备准备的网络安全防护措施却是少得可怜。“许多新兴的技术产品,其优先级的开发对象是功能创建。”

此外,业内专家指出,至于谁拥有这些设备收集的用户数据流还是一个有待商榷的问题。只是,反正不是用户自身。

分析师Harrington表示,“制造商保留着这些数据。但是,大部分公司保留这些数据并不会给出什么承诺保证,或者是寻求云储存的渠道,并会想尽办法尽可能多地收集用户数据。他们利用这些数据来分析使用模式,改善产品特性或者是用户体验。”但很多情况下, 这些数据极有可能还会被售卖给第三方组织,比如广告商。

旧金山科技研究公司Altimeter Group分析师Susan Etlinger指出,对智能设备数据的管控和保护将会成为未来几年内行业游说的重点。“这将是一个痛苦的立法过程。”

与此同时,Trend Micro的Kellerman指出,家庭使用了物联网设备的消费者也可以采取一些简单的措施进行自我保护,比如:

·强化WiFi密码,使用数字、字母、大小结合等方式组合密码;

·避免使用默认密码作为连接设备的密码,应该给每一个设备一个单独的密码;

·给每一个设备安装移动安全程序,比如平板和智能手机,当黑客入侵时,至少它们会给你提醒。
[消息来源:雷锋网]

 

 

周鸿祎:物联网时代三大网络安全问题不容忽视

anquan926

作为国家主席习近平访美行程一部分,中美互联网论坛在美国西雅图举行, 360公司董事长兼CEO周鸿祎出席了论坛,并讲话。周鸿祎在讲话中指出,IOT时代智能硬件深入生活,人们将遇到隐私安全、支付安全、人身安全,三大网络安全问题不容忽视。

周鸿祎指出,未来会出现越来越多的智能硬件,7×24小时连接互联网,这种安全威胁会越来越多,大家将面临三大安全问题。

首先是个人隐私的安全,包括个人照片以及手环里记录的个人健康数据等。

其次个人支付的安全。越来越多的人习惯用手机里的支付宝、微信等付账,将来会用手表、手环付账,这也对个人财产的安全产生了威胁。

最后是人身的安全。“我相信黑客将来有能力通过互联网制造交通事故”,周鸿祎说。

其次,周鸿祎认为全球厂商应该建立某种形式的合作机制。他说网络犯罪不分地域,无论中国、美国还是其他国家,如果没有合作机制,都是受害国家。

       以下是周鸿祎演讲实录:

       IOT时代的网络安全

大家好,我是周鸿祎,我是中国最大的互联网安全厂商奇虎360公司的创始人和CEO。今天在这里我想和大家一起交流下IOT时代的网络安全问题。

我来美国之前,中国爆发了X-code Ghost事件,中国的一些苹果APP开发者使用了非官方的苹果应用开发工具,但这种开发工具被植入了恶意代码。这些APP下载到用户手机之后,会非法上传用户信息,可能会获取用户的iCloud账号密码。用户的银行账户密码也可能因此会被盗取。

这个事件影响了一批用户量上亿的APP,比如微信、滴滴打车、愤怒的小鸟等。

苹果的安全审核机制被认为是全球最安全的,但iOS的应用环境像Android手机一样越来越复杂,iOS的安全神话还是破灭了。

今天,像谷歌、苹果这样的科技巨头野心勃勃,要把自己安卓系统、iOS系统扩展到各种各样的设备中。那么,问题来了,基于Android和iOS的IOT,也就是Internet of Things,是不是足够的安全?

在未来,可以肯定的一个事实是,未来将会出现越来越多的智能硬件。在中国,模仿GoPro和Fitbit智能设备也出现了,更多的智能设备会7×24小时连接互联网。汽车也一样,特斯拉的电动车是随时连接互联网的,无人驾驶汽车更是一个连网的智能设备。当我们的生活每时每刻都需要智能设备的时候,我们将会面临怎样的安全问题。

       我认为我们会面临三个安全问题:

第一, 个人隐私的安全。以前是电脑里的数据,涉及到工作。以后是手机里的数据,涉及到照片等个人隐私。现在的智能设备直接关系到身体,比如我们佩戴的手环收集个人健康数据。

第二, 个人支付的安全。在中国,越来越多的人习惯于用手机里的支付宝、微信等付账,那将来会是用手表、手环付账,因为很方便,但这也对个人财产的安全产生了威胁。

第三, 人身的安全。2014年7月,360安全团队研究了特斯拉 Model S型汽车,发现利用汽车软件里的某个漏洞,可以远程控制车辆,实现开锁、鸣笛、闪灯,可以在汽车行进的过程中远程开启天窗。如果汤姆-克鲁斯再次出演《碟中谍》的时候远程遥控敌人的汽车,这一点也不奇怪。我相信黑客将来有能力通过互联网制造交通事故,这个大家可以讨论。

所以我认为,IOT时代的网络安全威胁,会比现在我们遇到的要大的多,严重的多。

面对新的安全威胁,我们应该怎么做?我的理念很简单,就是开放、合作。

首先,360建立了开放平台,向智能硬件厂商开放我们的资源和能力,例如云服务能力、大数据平台技术、APP开发能力、芯片组等。我们在安全领域积累了近十年经验,能够借此建立更加安全、更加开放的智能硬件生态圈。比如,360发现了特斯拉汽车系统中的软件漏洞,及时为特斯拉提供了修补方案。此后,中国的汽车厂商认识到安全的重要性,希望360能参与到他们的产品设计、制造、维护等过程中。

其次,我认为全球厂商应该建立某种形式的合作机制。网络犯罪不分地域,无论中国、美国还是其他国家,如果没有合作机制,都是受害国家。我举两个例子。360有一个威胁情报中心,与亚马逊、Fireeye、Facebook、Twitter、汇丰银行、英国电讯等上百家全球企业、大学和机构合作,分享数据和安全威胁。另一个例子,是360加入了全球抗DDOS的联盟,对全球的DDOS攻击实行联动联防。360有13亿个探测点、数十万台服务器,能够随时感知任何网络威胁和攻击。我们的DNS库、URL库、样本库及主防库拥有超过400亿条各类数据,包括英国、美国在内的全球几十个国家的CERT都已经申请使用360的数据。

我们这些数据、技术能力,都愿意和全球厂商一起分享、交流,为应对IOT时代网络安全威胁出一份力。

360是安全厂商,当然我要谈安全威胁。但这并不是带着恐惧的心理看未来。实际上,在中国,360一方面在解决网络威胁,另一方面利用互联网技术,解决现实生活中存在的安全问题。

在中国,儿童安全是一个严重的问题,儿童年龄小,心智并不成熟,在生活中容易受到伤害。中国的社交媒体上几乎每天都会有儿童走失的新闻,而且找回的难度很大。因此,我们制造了一款儿童定位通话手表。这款手表有GPS定位芯片和通话模块,孩子带着这款手表,家长打开手机,就能知道孩子所在的位置,还可以呼叫儿童手表,与孩子通话。现在我们正设计适合老人使用的定位通话手表。

家庭安全也是中国人面临的问题,因此我们制造了家用的智能摄像机。摄像头安装在家里,连接上WiFi之后,家庭主人打开手机里的APP,就能看到家里的情况,可以拍照、录制视频。家里如果出现陌生人,摄像机可以拍照,把照片传送至家庭主人的手机上。这个产品不仅可以防盗,而且帮助家庭主人看到家里的狗在干什么,妻子或丈夫在忙些什么,孩子是不是在哭。

我们现在越来越多关注社会公共安全,除了上面的几款产品,我们还制造了能够连接互联网的行车记录仪,帮助车主保证行车安全。

我们很高兴看到,很多厂商跟进做安全智能产品,比如谷歌的Nest Lab在今年7月推出的一款安全摄像头,就与我们的产品非常相似。我们希望更多科技厂商能够一起加入,一起利用互联网为人们提供更便捷、更安全的服务产品。
[消息来源: 新浪科技]

 

 

 

物联网安全需要从哪里着手?

anquan 4.3

索尼等公司被袭击的背后是目前很多企业的网络安全远远达不到意想效果的现状。物联网意味着几乎所有的东西可以连接到互联网。但这也意味着,任何连接到互联网上的设备可能被攻击、大部分信息的传输是不安全的。许多应用程序留有的漏洞可以被懂点简单技术的人轻易的找到。

无论家庭还是工作场所的物联网安全都被认为是一个非常重要的问题,但随着将产品推向市场速度压力的增长,在理解和实现安全操作系统的时候往往走捷径。物联网的想法不是新的,我们有多年把嵌入式设备连在一起的经验。这些设施是自包含的,一切对外都是封闭的。所以一个专有封闭网络可以相对容易的实现安全性能的。不同的是,今天,我们不是通过外部的云网络,就是通过外部管理系统或者通过互联网控制设备。

Lynx软件营销和市场总监Robert Day说:“你会通过后门打开一个专有网络,进行部署新的技术或管理,但你打开的后门必须得到很好的保护。好消息是,随着越来越多的公司认识到他们系统的脆弱,把安全当成了一个重要问题来考虑。美国最近发生的信息安全事件,以及索尼等公司被袭击都突出了公司面临的安全风险。黑客们也认为目前企业保护工作起不到应有的作用。”

安全如果没有它应有的强大,那么它一点用都没有。根Day所说,安全专家现在必须处理更广泛的问题和威胁–安全正在成为一个“更大”的工作,需要很多资源。

“嵌入式世界里的一切都开始连接到英特网,连接在网上的设备、它们提供的信息以及它们是如何控制都容易受到网络攻击,”Robert Day说。”但是,从另一个方面来看,物联网带来的安全风险,给连接设备建立更好的安全级别带来了新机遇。选择物联网和操作系统之间的网关作为努力的方向非常合适,因为它是内部和外部连接点”

Robert Day还说:“在我看来,它(网关)是极其脆弱的,特别是如果你不使用任何隔离。因为这它是内部与其他网络的连接点,所以也是黑客切入的地方。这里是互联网和收集到的信息进入的地方,例如基于Linux的专有系统。虽然不典型,但有时候基于Windows的系统也是这样。如果黑客成功侵入到根的权限,他们就能够看到Linux在网络上的一切操作,包括所有被它管理的设备。”

网关是基础设施中最脆弱的部分,所以当涉及到它安全的时候,需要一个更全面的和系统的方法解决方法。LynxSecure技术已经可以保护网关。它提供一个安全的虚拟化环境,其中多个安全和非安全的操作系统(如Linux、Windows、Solaris等)可以在不影响安全性、可靠性以及数据传输的情况下运行。操作系统运行在虚拟机一个小的分离内核上,分离内核提供完全隔离的单一硬件平台,分离存储器,CPU和设备。这种设计最初是为处在高威胁环境的装置准备的(如军事)。基于分离核心技术开发的LynxSecure被看作是巩固日益复杂的系统以及更容易管理的单一物理系统的一种方法。

硬件虚拟化涉及软件环境创建,其中操作系统的硬件功能和防止违约行为的虚拟化平台的创建是非常重要的。常见的漏洞包括拒绝服务,不安全的初始化,数据损坏和未经授权访问数据。传统的管理程序往往可以分成两种指定结构–类型2和类型1。类型2管理程序作为应用程序运行在通用操作系统上,如Windows或MAC OS。类型2,是一个单一的软件程序包,直接运行在硬件。

然而,这些管理程序是不适合用在嵌入式系统中的。因为他们有大量额外的逻辑,可以大大影响嵌入式系统设计的大小,安全性以及性能。在独立区域运行LynxSecure的硬件虚拟化技术提供的性能水平非常接近本地操作系统运行的速度,所以虚拟化技术已经可以在分离内核上运行。

“实际上,管理程序技术已经被一分为二。它存在于操作和互联网领域,我们相信它会变得更安全。如果装置脆弱元素被克服了,黑客将无所适从”Robert Day说。“LynxSecure可以安全地分离不同的网络,例如物联网网关中常见的内部和外部网络。它也可以安全地将关键信息和恶意威胁区分开来。”

嵌入式系统的下一代必须要增强连接的安全性,尤其是那些控制关键基础设施的系统。开发者需要能够在不牺牲功率,性能和功能的情况下设计更安全的连接系统。越来越多的企业在使用ARM处理器,尤其是多核Cortex-A系列。ARM内核使用很是广泛,可以是简单的传感器节点(使用cortex-M、cortex-R),也可以是更智能的Cortex-A系列。这些设备都有支持虚拟化的功能。所以LynxOS的RTOS和LynxSecure都可以移植到ARM处理器。目前,ARM的内核能够支持越来越多的变种虚拟化,它将可以采用LynxSecure在工厂自动化、汽车、医疗等领域提供更强的安全级别。

[消息来源:EEFOCUS]