物聯網 （IoT） 在我們日益技術化的世界中占據了中心舞臺。互聯設備正變得越來越實用和實惠。..

然而，隨著我們開始見證節省時間，削減成本，提高效率和提高生活質量的無限潛力，我們也意識到，有了所有這些潛在的好處，也存在數據漏洞和安全漏洞的新實例。

惠普安全研究公司發布一項研究回顧了 10 種最受歡迎的物聯網 （IoT） 設備，其中包括某種形式的云服務和移動應用程序。結果顯示，令人震驚的70%的人受到嚴重安全漏洞的影響。其中一些問題包括身份驗證/密碼強度不足，缺少傳輸加密，Web界面憑據薄弱以及軟件更新不安全。

隨著越來越多的參與者通過新的連接設備和應用程序進入市場，安全性將不被視為差異化點 - 這將是一種期望。在部署之前，請考慮以下五個問題，這些問題可以幫助保護連接的應用程序：

1. 數據加密 – 您的數據是否受到保護？

上述報告表明，高達90%的機器對機器（M2M）設備會收集某種個人信息，這使得應用程序能夠對這些信息保密至關重要。對于任何通過網絡傳輸機密信息的M2M應用程序，例如POS系統（信用卡信息），移動醫療（患者數據）或基于使用情況的保險（GPS坐標和車輛信息），都需要加密。

雖然加密可能在許多互聯網應用中被廣泛實踐，但M2M帶來了一些獨特的挑戰。乍一看，許多開發人員可能傾向于使用SSL進行安全通信。但是，由于設備需要額外的處理能力和內存來支持 SSL，以及由于網絡通信開銷增加而增加的無線數據成本，這在 M2M 應用中可能會出現問題。

還可能嘗試在運行功能齊全的操作系統 （OS）（如 Linux）的設備中從設備端創建虛擬專用網絡 （VPN） 隧道。不幸的是，設備端加密在M2M中可能并不總是實用的。

最實用的解決方案是創建從 M2M 操作員到后端服務器網絡的站點到站點 VPN 隧道。這允許在網絡路徑最脆弱的部分 - 互聯網上進行加密數據傳輸。站點到站點 VPN 還可以通過不增加使用的無線數據量以及將所有加密和解密處理卸載到功能強大的網絡設備來提高效率。

在選擇站點到站點 VPN 隧道之前，開發人員必須假定移動網絡運營商 （MNO） 和 M2M 運營商的網絡是可信的（稍后將詳細介紹），并且對用于保護連接的端點和 MNO 系統之間的無線通信的加密算法感到滿意。

2. 控制訪問 – 誰可以訪問您的數據/系統？

雖然私人信息需要加密，但在某些情況下，機密性可能遠不如訪問和身份驗證重要。例如，使用無線命令打開車門傳輸的數據可能不是機密的，但至關重要的是，未經授權的各方無法通過該系統解鎖車門。

安全性需要一種有條不紊的方法，利用技術堆棧中的每個元素。從操作系統開始，一直到硬件級別，至關重要的是要了解沒有一道防線足以提供完整的保護。

M2M硬件應設計為內部組件，允許封閉和保護無線連接。確保具有可移動SIM卡的設備已采取措施，以便不容易訪問SIM卡。被盜的SIM卡可能會導致意外的無線數據費用，甚至更糟的是，允許黑客直接訪問您的后端應用程序服務器。

除了安全硬件之外，您還應該采取措施防止訪問您的軟件系統。考慮使用安全無線 （OTA） 應用程序更新。數據簽名還可用于確保傳輸數據的真實性和完整性。

3. 監控每一層 – 您知道何時出現問題嗎？

即使是最好的預防性安全系統也不是萬無一失的。當事件發生時，建立監控系統非常重要。檢測到事件后，必須觸發響應操作以防止惡意使用設備或活動 SIM 卡。

后端應用程序應具有適當的功能，可以記錄其接收的數據中的異常。例如，如果設備被編程為間歇性地發送傳感器數據，但莫名其妙地破壞了模式，則系統應通知管理員，并在可能的情況下阻止設備與服務器通信。在應用程序服務器和 M2M 操作員之間設置站點到站點 VPN 隧道的一個優點是，行為異常的設備將具有固定的 IP 地址，從而更容易隔離和阻止。

您的 M2M 操作員應提供解決方案提供商可用于協助欺詐檢測和預防的警報工具。您可以選擇將 GPS 與位置和時間戳信息相關聯，以驗證后端系統中收到的定位數據。

您還可以考慮使用移動設備和 M2M 服務器之間的數字簽名數據消息來監視惡意干擾，以識別更改的消息、掃描國際移動用戶標識 （IMSI） 捕獲器的頻譜，或在硬件上設置篡改警報以觸發服務器通知。

4. 網絡合作伙伴 – 您的網絡合作伙伴安全嗎？

成功和安全的 M2M 應用程序需要高質量的合作伙伴。大多數依賴于蜂窩連接的M2M應用程序通過三個網絡傳輸數據：MNO，M2M運營商和互聯網 - 通常由三個獨立的組織管理。應用程序開發人員應自行執行盡職調查，以驗證第三方管理的任何網絡是否滿足必要的安全要求。

作為 MNO 或互聯網提供商安全盡職調查的一部分，應提出的一些可能問題包括：

1. 組織網絡中的所有服務器和網絡組件是否都使用最新的安全補丁和更新進行了更新？

阿拉伯數字。 是否有及時應用新補丁和更新的流程？

3. 使用什么型號的防火墻？

4. 是否有入侵防御系統 （IPS）？

5. 是否存在分布式拒絕服務 （DDoS） 防御系統？

6. 是否對具有服務器和網絡設備root訪問權限的所有個人進行背景調查？

7. 是否記錄了所有安全事件？這些日志會保留多長時間？

8. 是否有安全信息和事件管理 （SIEM） 解決方案來提供安全事件的分析和關聯？

9. 根密碼多久更改一次？

10. 有哪些系統可以保護和授權訪問物理服務器和網絡組件（PIN碼，ID徽章，生物識別等）？

5. 安全的基礎 – 您是否在構建時考慮了安全性？

確保您的 M2M 應用程序在構建時具有堅實的基礎，同時牢記安全性。盡早確定安全性將是重中之重。如果可能，請至少分配一個開發團隊成員來專注于應用程序的安全性。此人應努力識別風險并推薦避免風險的解決方案。建議此人獲得行業標準安全認證，如安全軟件生命周期認證專家 （CSSLP）。

為內部安全和定期測試建立良好的協議也很重要。測試可能包括掃描 Web 界面、查看網絡流量、分析物理端口的需求，以及評估設備與云和移動應用程序的身份驗證和交互。

簡而言之，從頭開始確保安全性是并且仍然是產品設計和管理的關鍵要素。

審核編輯：郭婷