2.3.3. 虚拟化漏洞
案例:
“传送门事件”—越界读取内存导致跨虚机执行任意代码。
产生原因:
云平台的虚拟化漏洞导致能够在宿主机上进行越界内存读取和写入,从而实现虚拟机逃逸。
预防:
经调研,大部分云端的威胁风险都来自于云服务提供商自身的平台漏洞,但云服务使用者过于简单的应用部署以及对敏感数据保护的不重视,也是导致威胁风险的重要原因。
对于云服务使用者,不能把安全防护完全寄托在云服务提供商身上,必须考虑自保。云服务使用方需要重点保护其云端应用核心代码、关键数据及其系统访问安全,可分别从云端代码加固、数据安全保护、云端安全接入三个维度,设计一套安全防护体系。
云服务使用者在应用层面对其云端代码、数据及系统接入进行安全保护,保证云端应用在不可信环境下的安全。云服务商需要进行云平台基础设施安全保护,提供云平台虚拟化、网络、配置、漏洞等多方面的安全保护功能。
构建云端安全可信的运行环境,需要云服务提供商和使用者的共同努力,加大黑客进入与物联网设备连接的网站的难度,进而提升物联网安全度。
三.企业安全
3.1.为什么做安全?
企业做安全的驱动力主要源于以下几个方面:
1).面临来自各方面的安全威胁
譬如:外部黑客、网络黑产、竞争对手、内鬼等
2).面临各种安全挑战
譬如:安全漏洞、网络攻击、勒索、敏感信息泄露等
3).安全问题会对公司运营、业务发展造成不良影响
譬如:经济损失、用户流失、财产损失、声誉受损、公信力下降等
3.2.企业需要什么样的安全?
虽然各个企业由于自身业务特性有所不同,但还是有很多共性的,例如:
1).数据安全
数据安全是所有互联网公司最核心的安全需求,也是大多数网络企业高管最为关注的安全问题。目标是保障企业敏感数据的安全、可控。
2).在攻防对抗中占据主动地位
能够掌握企业整体的安全态势,可主动发现潜在安全风险,及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度,并且在第一时间内解决遇到的安全问题。
3).保障业务安全、连续、可用
尽可能降低因网络攻击造成业务系统受影响的安全风险,比如最常见的DDOS、CC 攻击。
3.3.如何做好安全?
1).树立正确的安全观
安全是相对的。企业绝不是做一次渗透测试、找安全公司提供个安全解决方案或者购买一些安全产品及服务就可以搞定的事情。安全是一个整体的、动态的、需要长期做且持续投入的事情。
2).企业安全完整视角
人们总想着把任何东西都交给互联网,但往往会发生严重的安全错误。目前,我们还处于物联网早期,很多东西并未联网。但一旦它们互通互联,无论对普通用户还是对黑客来说,都会有非常大的利用价值。这就要求公司应当把安全因素排在首位,将保护措施植入到设备中。大多数错误是由于安全目标不明确,缺乏经验和意识。我们必须采取安全的物联网策略,而不是期望它们主动来给我们安全。面对物联网的安全危机,物联网智能设备厂商进行安全建设时可参考以下建议:
1.对生产的智能产品进行全面的安全审计;
2.企业生产IOT产品前需要部署基本的安全标准;
3.将安全融入
产品生命周期,在产品还处于设计阶段就接受隐私和风险评估认证,比如当用户在使用可能有安全隐患的网络时,强制他们修改密码或开启加密服务;
针对传统的连接互联网的网络以及传统的云端架构还是需要使用传统边界防护解决方案。
a.)带防火墙模块硬件IPS:可以限制App 访问的端口,对传统的SQLi、XSS等做检测;
b.)WAF:web应用防火墙,主要是通过上下文语义关联对 OWASP Top 10攻击类型做检查和阻断;
c.)定期对后端web应用、数据库服务器、物联网大数据分析平台等做操作系统、中间件、数据库漏洞扫描。建议配合渗透测试发现更多问题。
调研了各个物联网安全公司,发现它们大致的解决方案如下:
a.)对IOT设备进行资产管理
快速发现连接到网络的IoT设备;
已经连接的IoT设备可视化;
配置检测、基线检测;
b.)快速安全响应
隔离可疑应用程序和停止攻击扩散到IoT网络;
c.)通过大数据分析IoT事件,预测其安全状态、给出预防建议
d.)IoT设备上安装状态防火墙、保证通讯协议安全
各制造商与开发商为了有效降低风险并提升物联网设备的安全性水平,可以从以下六个方面入手。
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
需求中心
AI助手
联系我们
返回顶部