现状堪忧 8成物联网应用未进行安全漏洞测试
日前,一项调查显示,高达8成物联网应用未针对安全漏洞进行测试。物联网安全性必须从开始到部署阶段都纳入考虑。若物联网业者在不顾安全性下急于将物联网系统推向市场,很有可能面临失去消费者信任的风险。
物联网(IoT)技术的兴起,正逐渐对个人化科技安全典范与一般日常生活的人机互动模式形成转变效果,麦肯锡公司(McKinsey)预估到了2025年,全球物联网生态体系将创造6兆美元产值。
物联网技术一大关键在于会大量搜集各方可获得的资料,虽可为人类生活带来更多便利,但若未妥善发展可能导致更多安全风险性,从助力反而成为阻力,因此如何提高物联网安全性即成为一大重点。
据InfoWorld网站报导,物联网技术有赖于建构在一个具安全、信任及数据完整性的技术提供相应基础,要能同时提升日常生活连网应用便利性与减低物联网技术数据安全风险,实际上也有许多方法,如Genesys公司产品管理总监JackNichols提供六大提升物联网安全性方法。
物联网安全性必须从开始到部署阶段都纳入考虑,但往往部分企业或组织在考虑物联网部署的安全性上,基于预算及时间成本有限的考虑,往往将物联网安全性考虑摆在后头,等到过程最终阶段才愿意处理。
部署具高度安全性物联网应用将攸关能否给予旗下客户更好的客户体验,唯有打造比其他竞争对手更受信赖的物联网服务,才有获得客户更愿意掏投资更多支持的可能。若物联网业者在不顾安全性下急于将物联网系统推向市场,很有可能面临失去消费者信任的风险。
近期一项调查显示,高达8成物联网应用未针对安全漏洞进行测试,因此为避免安全性风险升温,业者在发展自有物联网应用与服务时,将必须处理持续性的内部及第三方安全漏洞分析以及渗透性测试,另外最好将安全性考虑纳入产品开发周期。
现今有不少物联网产品制造商及应用程序(App)开发者,仰赖用户安装更新及配置安全设定,但理想情况下物联网产品供货商应具备能够远程向客户端推送安全修补程序及更新的能力,最好在掌握避免安全性问题的技术后就尽快推送至客户端。这类自动化仍尊重用户原本的设定,加上是主动为用提供更安全的升级,有助提升客户对产品及供货商的信任度。
根据新的“物联网信任架构”(IoTTrustFramework)指出,要提升物联网应用安全性,强化加密环节也是一大重点,若物联网应用供货商能够主动对用户隐私防护表达关心,如确保任何物联网服务支持的网站,都会完全将用户的对话从装置到后端进行加密。
现阶段最佳加密措施包括预设情况下的HTTPS或HTTPStrictTransportSecurity(HSTS),也被称为是“AOSSL”或“AlwaysOnSSL”。此外,物联网装置也应包含能够可靠验证其后端服务与支持应用的机制。
产品的透明度也是一大重点。如美国联邦通讯委员会(FTC)曾经对液晶电视制造商Vizio就该公司搜集及销售其智能型电视消费者个资而遭裁罚。
近期据IEEEIoT业务通讯所言,物联网产品也不应被排除在良好的透明度原则下,反而需要了解到在物联网系统中的隐私威胁是独一无二的,因此需要关于个人资料搜集或创生、对该信息执行的数据操作,以及保留脉络等三项条件的透明度披露。
一般来说最好的做法在于将数据搜集实务、隐私、安全以及支持性政策等信息,放在公司中易于看见的位置,这可在消费者购买或选择服务前先行供评估,并说明若消费者不同意这些政策,物联网产品将有部分功能无法执行。
另外,拥抱边缘分析(edgeanalytics)及最小化传输中敏感数据的数量同样有助提升安全性。有鉴于边缘运算的论点通常围绕在实时功能性及与机器学习(ML)和人工智能(AI)的保留上,若能减轻客户数据从物联网端点传送至云端的暴露风险将有提升安全性的帮助。