物联网的采用在不同行业中迅速增长并不是秘密。 在我的最后一篇文章中,我讨论了基于blockchain的IoT安全策略,这是一个不断发展的主题,我发现重要,经常被忽视。 在更广泛的事物方案中,块链技术的出现只是保护IoT设备的许多方式之一。 成功的IoT安全架构将需要多个控制层。 在这篇文章中,我想看看物联网安全流程,并进一步了解企业可以采取的另一步,以更好地保护连接的设备和客户数据免受攻击和破坏。
这可能对一些人来说是震惊,但是最近一次最大的IoT安全漏洞的震中起始于安全性较差的应用程序接口(API)。 API定义为一组用于构建软件应用程序的例程,协议和工具。以下是一个简短的例子,说明安全性不好的API可能会对日产眼睛产生负面影响。最近发现,全球最畅销的电动汽车“日产叶”很容易受到黑客的攻击,黑客们可以获得关于车辆运行和旅行的私人信息,甚至控制关键的车辆功能。当日产叶所有者注意到,对于API端点的请求不需要任何身份验证,而不是轻松的黑客可访问的车辆识别号(或VIN),给予攻击者能够控制别人的车的功能,这个信息被发现非常容易这不是一辆新车非常令人兴奋的功能。
在这样的情况下,像API端点一样至关重要的东西被忽视,反过来又使驱动程序有被盗用的风险。随着设备的激增和各种新型设备类型的出现,企业在实施IoT设备时忽视API安全性太容易了,但实际情况是,不正确的API可能会导致严重的头痛,并可能将严重的漏洞引入到产品。随着连接设备的发展,通过API的设备交互是API的主要用例之一,根据IBM,未来几年将会呈指数级增长。此外,2016年API的供应商中有44%表示,物联网将在未来两年推动API增长最多。随着物联网设备的不断兴起,企业领导者必须使安全的API管理成为其安全策略的核心部分。否则,将危及组织的连接设备和客户数据的安全性。
随着我们走向未来,一切都将与B2C行业和B2B企业形成威胁。在这个过度连接的世界中,对物联网设备安全的统一方法是固有的。但是,市场上存在许多不相交或不完整的API管理解决方案,这些解决方案正在为API和连接设备的安全问题做出贡献。
然而,由于所有这些风险和即将来临的物联网安全障碍,组织的决策者可以遵循几个步骤,以通过API来维护设备安全性和设备数据安全性:
集成完整的API生命周期管理工具。作为数字安全策略的一部分,将API视为一些组织(例如Nissan等公司)的一个新概念,对某些组织可能不是这样。但是太多的公司忽视了API安全性非常简单,至关重要的第一步:管理完整的API生命周期。 API开发过程(API设计到创建到运行时到产品管理和API治理)必须以安全的态度以整体方式来处理。而不是每个开发人员,部门或解决方案都创建自己的API治理和安全策略,必须执行企业API安全策略和最佳做法。实现强大的身份验证和授权访问连接的设备。
实施广泛的安全策略。 IoT软件架构,协议和标准根据用例和设备而有所不同。确保API管理解决方案支持从内部部署到云到混合的各种架构,并将IoT协议视为一流的公民。必须通过安全的API保护运动中不同装置的IoT数据。
监控适当的API版本管理。随着物联网设备的不断扩展和不同的固件版本,多种版本的API的扩散潜力是固有的风险。最佳实践要求将所有IoT设备升级到最新的固件,并且应该使用单个或高度有限数量的API版本。具有类似功能的新版本或等效的API可能导致API数量和老化的爆炸。评估可用的API和版本管理以退出旧的或重复的API需要通过企业API审核流程实现。
充分发挥API整个生命周期的作用,对实施物联网技术的企业产生了许多积极的影响。例如,在使用连接的设备或业务服务时,客户不易受到攻击的安全性及其数据安全。或者根据客户使用连接的设备(某些组织有时被忽视)扩展和改进设备功能的能力。想要将焦点集中在物联网市场的组织不能忽视API管理和安全的重要性,特别是随着物联网向更大的自主权发展。