我今天收到了一封安全摄像头供应商的电子邮件。其产品的主要卖点是 “您可以在任何地方、任何设备、任何时间访问您的视频”。换句话说，“我们将您的数据存储在云中”。只要快速浏览一下它的网站，就会发现没有第三方审计或真正安全框架的证据。相反，有一大堆空洞的陈述，比如，“我们注意保护客户数据的隐私。”


　　不用说，我肯定不会使用它们。然而，这揭示了困扰整个物联网产业的一个重大问题：您如何管理和充分保护所有这些设备?集中式门户网站已经成为首选解决方案，使客户可以轻松地插入设备，在门户中注册并从世界任何地方访问设备。

　　不幸的是，这种便利是有代价的。如果没有适当的安全控制，黑客可以像最终用户一样从任何地方访问这些设备。黑客不仅可以访问和利用个人数据(例如由上述供应商存储的长达120天视频)，这些设备还可以很容易地扩展以帮助有针对性的攻击，包括分布式拒绝服务攻击到加密货币挖掘。鉴于大多数设备运行Linux，它们特别容易在某些任务中使用，例如Mirai恶意软件。

　　尽管存在明显风险，但大多数物联网供应商都是事后才想到安全性。在使用门户网站进行设备管理时，组织必须考虑许多最佳实践，包括密码恢复和帐户锁定程序。但是物联网的安全问题远远超出了门户网站。有时，它会感觉像是在雷区航行。我将其缩小到了物联网供应商今天面临的五大安全挑战：

　　硬件安全，包括默认设置和网络服务;

　　云门户安全性，以避免SQL注入和跨站点脚本编写等漏洞;

　　保护设备到云的数据流量;

　　API安全性;

　　建立和维护将客户数据存储在云中的适当控制。

　　不幸的是，这些问题没有简单的解决办法。与具有互联网存在的任何其他产品或平台一样，安全性需要从一开始就被纳入管理和开发过程——一旦产品或平台建立起来，就很难解决。适当的安全性还需要各级业务部门的承诺，而不仅仅是在开发级别。因此，强烈建议采用COSO或NIST这样的安全框架，并利用第三方审核员来验证是否确实遵循了控制措施。
第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。