廣州源達(dá)信息科技有限公司
Guangzhou Yoda Information Technology Co., Ltd.
如果沒有安全漏洞,物聯(lián)網(wǎng)將讓我們的生活更輕松。
(1)安全、信任和數(shù)據(jù)完整性
物聯(lián)網(wǎng)的出現(xiàn)正在改變我們的個(gè)人技術(shù)安全模式,并且將改變客戶/業(yè)務(wù)互動(dòng)的游戲規(guī)則,部分原因是由于可用數(shù)據(jù)的范圍廣泛以及收集這些數(shù)據(jù)的設(shè)備數(shù)量龐大。
管理咨詢機(jī)構(gòu)麥肯錫公司估計(jì),到2025年,物聯(lián)網(wǎng)生態(tài)系統(tǒng)將產(chǎn)生6萬億美元的價(jià)值。成功的物聯(lián)網(wǎng)產(chǎn)品依賴于對企業(yè)和消費(fèi)者的利益感知,同時(shí)創(chuàng)建了安全,信任和數(shù)據(jù)完整性的相對應(yīng)的基礎(chǔ)。物聯(lián)網(wǎng)技術(shù)可以降低數(shù)據(jù)安全風(fēng)險(xiǎn),同時(shí)改善連接世界的客戶體驗(yàn)。
在每一個(gè)公司的最佳利益方面,“妥善處理”物聯(lián)網(wǎng)是正確的,這將意味著加快安全措施,以捕捉并確保良好的客戶體驗(yàn)。Genesys公司產(chǎn)品管理總監(jiān)Jack Nichols提供了六種方法和措施。
(2)證明“嵌入”安全的業(yè)務(wù)費(fèi)用
與所有技術(shù)一樣,物聯(lián)網(wǎng)的安全考慮應(yīng)該嵌入從開始到部署的每個(gè)開發(fā)階段。一些組織很難證明新的安全舉措會(huì)伴隨著時(shí)間和費(fèi)用的增加而相應(yīng)提高,或堅(jiān)持不間斷的最佳做法實(shí)施。每個(gè)人都想要奇妙的新功能,但是很多人都對其價(jià)格和操作復(fù)雜性有些疑慮。
安全性成為一個(gè)事后的想法,在處理結(jié)束時(shí)得到解決,如果有的話。同樣,組織應(yīng)該意識(shí)到,如何處理其物聯(lián)網(wǎng)安全性目前有許多法律意義。更重要的是,“客戶體驗(yàn)”是企業(yè)業(yè)務(wù)差異化的關(guān)鍵,忠實(shí)的客戶將對可信賴的企業(yè)花費(fèi)更多的資金。
(3)測試,測試,再測試
根據(jù)最近的一項(xiàng)調(diào)查發(fā)現(xiàn),80%的物聯(lián)網(wǎng)應(yīng)用程序沒有針對安全漏洞進(jìn)行測試。這代表了數(shù)量驚人的端點(diǎn)數(shù),具有很大的風(fēng)險(xiǎn)。在開發(fā)物聯(lián)網(wǎng)應(yīng)用程序和服務(wù)時(shí),需要進(jìn)行連續(xù)的內(nèi)部和第三方漏洞分析和滲透測試。
請記住,將安全性放在產(chǎn)品開發(fā)周期中更好,而不是在事后進(jìn)行。如果企業(yè)在市場上推出不安全的物聯(lián)網(wǎng)系統(tǒng),那么在冒險(xiǎn)的消費(fèi)者信任中,企業(yè)將面臨一切風(fēng)險(xiǎn)。
(4)遠(yuǎn)程管理物聯(lián)網(wǎng)安全操作
就目前而言,大量的物聯(lián)網(wǎng)產(chǎn)品制造商和應(yīng)用程序開發(fā)人員依靠最終用戶來安裝更新并配置安全設(shè)置,這是不明智的。在理想情況下,企業(yè)應(yīng)盡快遠(yuǎn)程推送安全補(bǔ)丁和更新,以防止產(chǎn)生漏洞。根據(jù)最新版本的物聯(lián)網(wǎng)信任框架,這些更新必須被簽名和/或以其他方式驗(yàn)證為來自可信來源。
更新和修補(bǔ)程序不應(yīng)修改用戶配置的首選項(xiàng),安全性和/或隱私設(shè)置,而無需用戶通知。自動(dòng)化更新增加了客戶信任,因?yàn)槠髽I(yè)措施到位,同時(shí)仍然為用戶提供批準(zhǔn),授權(quán)或拒絕更改的能力。
(5)建議加強(qiáng)加密
在新的物聯(lián)網(wǎng)信托框架中也建議加強(qiáng)加密。通過確保企業(yè)物聯(lián)網(wǎng)服務(wù)中使用的任何支持網(wǎng)站完全加密用戶會(huì)話(從設(shè)備到后端),向客戶展示企業(yè)所關(guān)心的隱私。
目前的最佳做法默認(rèn)情況下包括HTTPS或HTTP嚴(yán)格傳輸安全性(HSTS),也稱為AOSSL或Always On SSL。此外,“設(shè)備應(yīng)包括可靠地認(rèn)證其后端服務(wù)和支持應(yīng)用程序的機(jī)制。
(6)透明度問題
美國聯(lián)邦貿(mào)易委員會(huì)對Visio公司收集和銷售其智能電視擁有者數(shù)據(jù)進(jìn)行了處罰。最近的一篇IEEE物聯(lián)網(wǎng)文章談到,良好的透明度原則并不排除物聯(lián)網(wǎng),但需要了解物聯(lián)網(wǎng)系統(tǒng)中的隱私威脅是獨(dú)一無二的,三方面的輸入需要透明的披露:
?收集或生成的個(gè)人數(shù)據(jù)。
?對該信息執(zhí)行數(shù)據(jù)操作。
?收集,生成,處理,披露和保留此個(gè)人資料的內(nèi)容。
這不僅僅是一個(gè)企業(yè)在消費(fèi)者基礎(chǔ)上做正確的問題。例如,歐洲的一般數(shù)據(jù)保護(hù)條例(GDPR)尋求可驗(yàn)證的消費(fèi)者協(xié)議,以便通過通知和同意來管理這三項(xiàng)輸入。
一般來說,最好在企業(yè)網(wǎng)站上易于發(fā)現(xiàn)的位置聲明企業(yè)數(shù)據(jù)收集實(shí)踐以及隱私權(quán),安全性和支持政策,可在購買或服務(wù)選擇之前進(jìn)行審核。此外,如果用戶拒絕同意,需要透露哪些內(nèi)容和哪些功能將無法實(shí)現(xiàn)。
采用邊緣分析,并最大限度地減少傳輸中的敏感數(shù)據(jù)量
連接一切的副產(chǎn)品是創(chuàng)造了大量有價(jià)值的客戶數(shù)據(jù),這非常令人吃驚,同時(shí)又潛在著危險(xiǎn)。除了保護(hù)數(shù)據(jù)倉庫之外,還有一個(gè)問題,就是在傳輸和移動(dòng)數(shù)據(jù)時(shí)需要保護(hù)大量的數(shù)據(jù)。使用物聯(lián)網(wǎng)應(yīng)用程序,由于信息從物聯(lián)網(wǎng)端點(diǎn)傳輸?shù)皆朴?jì)算并分析,因此總是存在暴露和攔截威脅的風(fēng)險(xiǎn)。
但目前將一些計(jì)算轉(zhuǎn)移到物聯(lián)網(wǎng)端點(diǎn)并僅傳輸規(guī)定信息的趨勢,減少了傳輸中潛在敏感的原始數(shù)據(jù)的數(shù)量。雖然邊緣計(jì)算的參數(shù)通常圍繞增加實(shí)時(shí)功能和節(jié)省與機(jī)器學(xué)習(xí)和人工智能,而減少客戶數(shù)據(jù)的曝光是一個(gè)額外的好處。