廣州源達信息科技有限公司
Guangzhou Yoda Information Technology Co., Ltd.
如果沒有安全漏洞,物聯(lián)網(wǎng)將讓我們的生活更輕松。
(1)安全、信任和數(shù)據(jù)完整性
物聯(lián)網(wǎng)的出現(xiàn)正在改變我們的個人技術(shù)安全模式,并且將改變客戶/業(yè)務(wù)互動的游戲規(guī)則,部分原因是由于可用數(shù)據(jù)的范圍廣泛以及收集這些數(shù)據(jù)的設(shè)備數(shù)量龐大。
管理咨詢機構(gòu)麥肯錫公司估計,到2025年,物聯(lián)網(wǎng)生態(tài)系統(tǒng)將產(chǎn)生6萬億美元的價值。成功的物聯(lián)網(wǎng)產(chǎn)品依賴于對企業(yè)和消費者的利益感知,同時創(chuàng)建了安全,信任和數(shù)據(jù)完整性的相對應(yīng)的基礎(chǔ)。物聯(lián)網(wǎng)技術(shù)可以降低數(shù)據(jù)安全風(fēng)險,同時改善連接世界的客戶體驗。
在每一個公司的最佳利益方面,“妥善處理”物聯(lián)網(wǎng)是正確的,這將意味著加快安全措施,以捕捉并確保良好的客戶體驗。Genesys公司產(chǎn)品管理總監(jiān)Jack Nichols提供了六種方法和措施。
(2)證明“嵌入”安全的業(yè)務(wù)費用
與所有技術(shù)一樣,物聯(lián)網(wǎng)的安全考慮應(yīng)該嵌入從開始到部署的每個開發(fā)階段。一些組織很難證明新的安全舉措會伴隨著時間和費用的增加而相應(yīng)提高,或堅持不間斷的最佳做法實施。每個人都想要奇妙的新功能,但是很多人都對其價格和操作復(fù)雜性有些疑慮。
安全性成為一個事后的想法,在處理結(jié)束時得到解決,如果有的話。同樣,組織應(yīng)該意識到,如何處理其物聯(lián)網(wǎng)安全性目前有許多法律意義。更重要的是,“客戶體驗”是企業(yè)業(yè)務(wù)差異化的關(guān)鍵,忠實的客戶將對可信賴的企業(yè)花費更多的資金。
(3)測試,測試,再測試
根據(jù)最近的一項調(diào)查發(fā)現(xiàn),80%的物聯(lián)網(wǎng)應(yīng)用程序沒有針對安全漏洞進行測試。這代表了數(shù)量驚人的端點數(shù),具有很大的風(fēng)險。在開發(fā)物聯(lián)網(wǎng)應(yīng)用程序和服務(wù)時,需要進行連續(xù)的內(nèi)部和第三方漏洞分析和滲透測試。
請記住,將安全性放在產(chǎn)品開發(fā)周期中更好,而不是在事后進行。如果企業(yè)在市場上推出不安全的物聯(lián)網(wǎng)系統(tǒng),那么在冒險的消費者信任中,企業(yè)將面臨一切風(fēng)險。
(4)遠程管理物聯(lián)網(wǎng)安全操作
就目前而言,大量的物聯(lián)網(wǎng)產(chǎn)品制造商和應(yīng)用程序開發(fā)人員依靠最終用戶來安裝更新并配置安全設(shè)置,這是不明智的。在理想情況下,企業(yè)應(yīng)盡快遠程推送安全補丁和更新,以防止產(chǎn)生漏洞。根據(jù)最新版本的物聯(lián)網(wǎng)信任框架,這些更新必須被簽名和/或以其他方式驗證為來自可信來源。
更新和修補程序不應(yīng)修改用戶配置的首選項,安全性和/或隱私設(shè)置,而無需用戶通知。自動化更新增加了客戶信任,因為企業(yè)措施到位,同時仍然為用戶提供批準(zhǔn),授權(quán)或拒絕更改的能力。
(5)建議加強加密
在新的物聯(lián)網(wǎng)信托框架中也建議加強加密。通過確保企業(yè)物聯(lián)網(wǎng)服務(wù)中使用的任何支持網(wǎng)站完全加密用戶會話(從設(shè)備到后端),向客戶展示企業(yè)所關(guān)心的隱私。
目前的最佳做法默認(rèn)情況下包括HTTPS或HTTP嚴(yán)格傳輸安全性(HSTS),也稱為AOSSL或Always On SSL。此外,“設(shè)備應(yīng)包括可靠地認(rèn)證其后端服務(wù)和支持應(yīng)用程序的機制。
(6)透明度問題
美國聯(lián)邦貿(mào)易委員會對Visio公司收集和銷售其智能電視擁有者數(shù)據(jù)進行了處罰。最近的一篇IEEE物聯(lián)網(wǎng)文章談到,良好的透明度原則并不排除物聯(lián)網(wǎng),但需要了解物聯(lián)網(wǎng)系統(tǒng)中的隱私威脅是獨一無二的,三方面的輸入需要透明的披露:
?收集或生成的個人數(shù)據(jù)。
?對該信息執(zhí)行數(shù)據(jù)操作。
?收集,生成,處理,披露和保留此個人資料的內(nèi)容。
這不僅僅是一個企業(yè)在消費者基礎(chǔ)上做正確的問題。例如,歐洲的一般數(shù)據(jù)保護條例(GDPR)尋求可驗證的消費者協(xié)議,以便通過通知和同意來管理這三項輸入。
一般來說,最好在企業(yè)網(wǎng)站上易于發(fā)現(xiàn)的位置聲明企業(yè)數(shù)據(jù)收集實踐以及隱私權(quán),安全性和支持政策,可在購買或服務(wù)選擇之前進行審核。此外,如果用戶拒絕同意,需要透露哪些內(nèi)容和哪些功能將無法實現(xiàn)。
采用邊緣分析,并最大限度地減少傳輸中的敏感數(shù)據(jù)量
連接一切的副產(chǎn)品是創(chuàng)造了大量有價值的客戶數(shù)據(jù),這非常令人吃驚,同時又潛在著危險。除了保護數(shù)據(jù)倉庫之外,還有一個問題,就是在傳輸和移動數(shù)據(jù)時需要保護大量的數(shù)據(jù)。使用物聯(lián)網(wǎng)應(yīng)用程序,由于信息從物聯(lián)網(wǎng)端點傳輸?shù)皆朴嬎悴⒎治觯虼丝偸谴嬖诒┞逗蛿r截威脅的風(fēng)險。
但目前將一些計算轉(zhuǎn)移到物聯(lián)網(wǎng)端點并僅傳輸規(guī)定信息的趨勢,減少了傳輸中潛在敏感的原始數(shù)據(jù)的數(shù)量。雖然邊緣計算的參數(shù)通常圍繞增加實時功能和節(jié)省與機器學(xué)習(xí)和人工智能,而減少客戶數(shù)據(jù)的曝光是一個額外的好處。