أي أسئلة؟ اتصل بنا: +86-23-67305242
على الانترنت رسالتك
أخبار الشركة صناعة الأخبار

مركز الأخبار
المهنية المتكاملة الهوية الحل الموردين.

قرير NIST ، يقول الخبراء أن أمن إنترنت الأشياء ، الأجهزة النقالة يجب معالجتها

البلاغ: huifan   الوقت: 2018-04-03

أنظمة التحكم في الوصول الفيزيائي والاستشعار والتحفيز والحوسبة وغيرها من أنظمة التحكم في الوصول إلى الأمان - بما في ذلك نطاق استخدام القياسات الحيوية مثل الوصول إلى الأنظمة البيومترية والنظم الأمنية ؛ الباب ، مرافق وقوف السيارات ، والمصاعد ، ومرافق الاتصالات ، وغرف ؛ لوحات واجهة المستخدم نظم الرقابة والمراقبة العالمية - من بين القضايا التي نوقشت في التقرير المشترك للمعهد الوطني للمعايير والتقانة (NIST) الذي صدر مؤخرا عن حالة تقييس الأمن السيبراني الدولي لإنترنت الأشياء (IoT) ، الذي أعدته اللجنة الدولية المشتركة بين الوكالات المعنية بتقييس الأمن السيبراني مجموعة.  وقال المعهد القومي للمعايير والتقانة (NIST) ، إن هناك مخاطر ناشئة أخرى هي تطبيقات الواقع المعزز التي تتطلب الوصول إلى مجموعة متنوعة من بيانات المستشعرات مثل التغذية المرئية والصوتية وتحديد الموقع الجغرافي.  فيما يتعلق بتنفيذ تقنيات التشفير لضمان المعلومات ، فإن "التحقق من هوية المستخدم أو العملية أو الجهاز ، غالبًا كشرط أساسي للسماح بالوصول إلى الموارد في نظام المعلومات" أمر حيوي.  ووفقاً للتقرير ، فإن "توافر معايير الأمن السيبراني الدولي في الوقت المناسب هو عنصر حيوي وحاسم للأمن السيبراني وصمود جميع نظم المعلومات والاتصالات والبنى التحتية الداعمة. الجمهور المستهدف هو كل من الحكومة والجمهور. والغرض من ذلك هو إعلام صانعي السياسة والمديرين والمشاركين في المعايير وتمكينهم أثناء بحثهم عن هذه المعايير في الوقت المناسب واستخدامها في مكونات وأنظمة وخدمات إنترنت الأشياء. "  أشار التقرير إلى أن إدارة الهوية والوصول والمعايير ذات الصلة تمكنان من استخدام هويات رقمية آمنة وقابلة للتشغيل المتبادل وخصائص الكيانات التي سيتم استخدامها عبر نطاقات الأمن والحدود التنظيمية التي تشمل الأشخاص والأماكن والمؤسسات والأجهزة ، وتطبيقات البرامج ، والقطع المعلوماتية ، والعناصر المادية.  "كما أن معايير تحديد هوية إدارة الهوية والوصول ، والتوثيق ، والتخويل ، وتعيين الامتياز ، والتدقيق لضمان حصول الكيانات على الوصول المناسب إلى المعلومات ، والخدمات ، والموجودات" ضرورية أيضًا. "بالإضافة إلى ذلك ، تشتمل العديد من معايير إدارة الهوية والوصول على ميزات الخصوصية للحفاظ على عدم الكشف عن الهوية ، وعدم قابليتها للتنفيذ ، وعدم إمكانية التحقق ، وضمان تقليل البيانات ، وتتطلب موافقة صريحة من المستخدم عند مشاركة معلومات الخصائص بين الكيانات".  يجب تضمين معايير إدارة الهوية والدخول الهامة في تقنيات ومواصفات إدارة المخاطر لتأكيد الهوية والتوثيق ، بالإضافة إلى فرض سياسة الوصول على مجموعة من المنصات.  وبالتالي ، فإن "تقييد النفاذ المادي إلى شبكة ومكونات إنترنت الأشياء" هو المفتاح لأن "النفاذ الفعلي غير المصرح به إلى المكونات قد يتسبب في تعطيل خطير في وظائف نظام إنترنت الأشياء. يجب استخدام مجموعة من عناصر التحكم في الوصول الفعلي ، مثل الأقفال و / أو برامج قراءة البطاقات و / أو الحراس. "  وشدد التقرير على أن "منع الوصول غير المصرح به إلى أي نظام للتحكم في المباني أمر بالغ الأهمية لتأمين المباني الذكية. وبالتالي ، يجب أن يكون الهدف الرئيسي هو حماية الواجهات بين كل نظام ، حتى عندما تكون متراكبة فوق بعضها البعض. لا يمكن السماح بحدوث تأثير الدومينو الناتج عن التنازل عن نظام واحد يؤدي إلى اختراق آخر. من المهم أيضًا أن تكون الخزانة الفاشلة وأنظمة النسخ الاحتياطي في مكانها في حالة حدوث خلل في أي من الأنظمة. ونظراً لأن بعض هذه الأنظمة قد تكون ديناميكية ويستحيل وضع نموذج لها في كل سيناريو ، فإنه يجب عمل نماذج واختبارات قوية للتعامل مع الحالات المتوقعة. سلامة الركاب هي أيضا هدف حيوي.  وبالتالي ، تتطلب المباني الذكية التحقق من الهوية لمنع الوصول غير المصرح به إلى أي نظام تحكم في المبنى.  يأتي تقرير وكالة NIST في أعقاب مبادرة معهد بونمون والتقييمات المشتركة التي تمت برعاية "553 فردًا لديهم دور في عملية إدارة المخاطر وهم على دراية باستخدام أجهزة إنترنت الأشياء في مؤسساتهم" بهدف "فهم المنظمات" مستوى الوعي والتأهب لموجة إنترنت الأشياء القادمة.كشف تقرير الدراسة الاستقصائية ، "إنترنت الأشياء: عصر جديد من مخاطر الأطراف الثالثة" ، "يدرك المشاركون في الدراسة أن إنترنت الأشياء يقدم مخاطر أمنية جديدة ومواطن ضعف في منظماتهم. ومع ذلك ، فإن الجهود المبذولة للتخفيف من مخاطر الأطراف الثالثة في النظام البيئي لإنترنت الأشياء متخلفة. ووفقاً للأبحاث ، تعتمد الشركات على التقنيات وممارسات الحوكمة التي لم تتطور لمواجهة نواقل التهديد الناشئة في إنترنت الأشياء. وتشمل هذه المخاطر المحتملة قدرة المجرمين على تسخير أجهزة إنترنت الأشياء ، مثل شبكات الروبوت ، للهجوم على البنية التحتية وإطلاق نقاط لانتشار البرمجيات الخبيثة ، وهجمات الرسائل الاقتحامية ، وهجمات DDoS ، وإخفاء الأنشطة الضارة ".  وبالمثل ، أفادت NIST بأن "أنظمة إنترنت الأشياء عبر قطاعات متعددة وكذلك حالات الاستخدام داخل هذه القطاعات" وجدت "أن أولوية أهداف الأمن السيبراني للفرد قد تكون ذات أولوية مختلفة للغاية ، تبعاً للتطبيق. ومن المرجح أن يؤدي انتشار مكونات وأنظمة إنترنت الأشياء وزيادتها في كل مكان إلى زيادة المخاطر التي تشكلها. وستظل إدارة مخاطر الأمن السيبراني القائمة على المعايير عاملاً رئيسياً في موثوقية تطبيقات إنترنت الأشياء. ومن خلال تحليل مجالات التطبيق ، يعد الأمن السيبراني لإنترنت الأشياء فريداً من نوعه وسيتطلب تفصيل المعايير القائمة ، فضلاً عن وضع معايير جديدة لمعالجة وصلات الشبكات المنبثقة ، ومكونات النظام المشترك ، والقدرة على تغيير الجوانب المادية للبيئة ، وما يتصل بذلك. اتصالات للسلامة. "  وقد أعد تقرير NIST بالترتيب ، "من أجل الحصول على معلومات عن الوضع الراهن لتقييس الأمن السيبراني في إنترنت الأشياء ، تم وصف خمسة مجالات للتطبيقات الخاصة بتكنولوجيا إنترنت الأشياء" IoT ". ومناطق التطبيق هذه ليست شاملة ولكنها ممثلة تمثيلاً كافياً لاستخدامها في تحليل الوضع الحالي لتقييس الأمن السيبراني في إنترنت الأشياء. مركبة متصلة (CV) تتيح خدمة إنترنت الأشياء (IoT) للمركبات والطرق والبنى التحتية الأخرى إمكانية التواصل وتبادل معلومات النقل الحيوية. يتألف إنترنت الأشياء للمستهلك من تطبيقات إنترنت الأشياء في الإقامة بالإضافة إلى الأجهزة القابلة للارتداء والمحمولة. تقوم عمليات IoT الصحية بمعالجة البيانات المشتقة من مصادر مثل السجلات الصحية الإلكترونية والبيانات الصحية التي يولدها المريض. تتضمن تقنيات IoT الذكية أنظمة مراقبة استخدام الطاقة وأنظمة أمن التحكم في الدخول المادية وأنظمة التحكم في الإضاءة. تتيح تقنيات عمليات التصنيع الذكية إمكانية دمج البيانات والتقنية وإمكانات التصنيع المتقدمة والخدمات السحابية وغيرها من الخدمات على نطاق المؤسسة. "  ركزت استنتاجات تقرير NIST المشترك بين الوكالات على "مشكلة الثغرات في المعايير والاستخدام الفعال للمعايير الحالية".  وخلص التقرير إلى أنه "بالنسبة للأولويات المحددة ، ينبغي على الوكالات أن تعمل مع الصناعة لبدء مشاريع جديدة للمعايير في منظمات تطوير المعايير (SDOs) لإغلاق هذه الفجوات. وفقًا لسياسة حكومة الولايات المتحدة ، يجب أن تشارك الوكالات في تطوير معايير أمن الإنترنت الإلكترونية ، وعلى الوكالات ، بناءً على مهمة كل وكالة ، أن تستشهد بالمعايير المناسبة في مشترياتها. كما يجب على الوكالات ، وفقًا لسياسة حكومة الولايات المتحدة ، أن تعمل مع الصناعة لدعم تطوير خطط تقييم المطابقة المناسبة للمتطلبات في هذه المعايير ".  قال تقرير مسح Ponemon وتقرير التقييم المشترك أن المستجيبين "متشائمون للغاية حول قدرة شركاتهم على تقليل مخاطر إنترنت الأشياء" لأن "العوائق الرئيسية أمام معالجة المخاطر هي: الافتقار إلى الأولوية ، وعدم كفاية الموارد ومجالس الإدارة التي لا تحقق المسؤوليات الرقابية وجعل الإدارة للمساءلة. وعلى وجه التحديد ، أفاد 30٪ فقط من المجيبين بأن إدارة مخاطر إنترنت الأشياء من أطراف ثالثة تمثل أولوية في مؤسساتهم ، ويقول 25٪ فقط من المجيبين إن مجلس الإدارة يريد الحصول على تأكيدات بأن مخاطر إنترنت الأشياء بين أطراف ثالثة يتم تقييمها وإدارتها ومراقبتها بشكل مناسب. ولأنه ليس من الأولويات والقيادة ليست منخرطة ، فمن المفهوم أنه لم يتم تخصيص الموارد الضرورية ".  "إن التقرير الأخير المشترك بين الوكالات بشأن حالة معايير الإنترنت في إنترنت الأشياء هو تحذير بأنه بدون وجود مجموعة موحدة من المتطلبات ، فإن أجهزة إنترنت الأشياء - بما في ذلك مستشعرات الطاقة في مباني الحكومة الاتحادية - عرضة للهجمات السيبرانية. وبينما يتضمن التقرير توصيات لعدد من الأجهزة المتصلة ، بما في ذلك المركبات المتصلة والأجهزة الطبية الذكية ، فإنه يبرز باستمرار الحاجة إلى توحيد أمن الأجهزة النقالة ، "أخبر بوب ستيفنز ، نائب رئيس القطاع العام في لوك أوت" التحديث الحيوي."عندما يتعلق الأمر بأمن الشبكة ،" يقول ستيفنز ، "المعايير الحالية ليست محددة بما يكفي للتخفيف من المخاطر المرتبطة بالأجهزة المتنقلة وأجهزة إنترنت الأشياء. وبفضل الوتيرة السريعة للابتكار التي تحدث حاليًا عندما يتعلق الأمر بالتكنولوجيا ، يجب علينا ألا نأخذ بعين الاعتبار العمليات الأمنية التي تعالج تهديدات اليوم فحسب ، بل أيضًا هجمات المستقبل التي لا يمكن أن نفترض أنها ستكون أكبر وأسرع وأصعب للحماية من ".  وقال: "أجرى Lookout مؤخرا دراسة استقصائية لـ 200 من المتخصصين في تكنولوجيا المعلومات والأمن السيبرانيين الحكوميين ووجدوا أن 60.5 في المائة من الوكالات الحكومية ذكرت أنهم تعرضوا لحادث أمني يشمل جهازاً متنقلاً. على الرغم من ذلك ، تعمل العديد من الوكالات تحت فرضيات عفا عليها الزمن حول ما هو "جيد بما فيه الكفاية" لحماية الأجهزة المحمولة. تحول الكثيرون إلى حلول إدارة الأجهزة الجوّالة للمؤسسات (EMM) وسياسات الجوّال المقيِّدة لحماية شبكاتهم من تهديدات الجوّال. ومع ذلك ، فإن هذه الأساليب ليست كافية لحماية الشبكات من الهجمات على الهواتف المحمولة ".  وحذر ستيفنز من أن "الأجهزة النقالة أصبحت جزءًا لا يتجزأ من نمط الحياة اليومية لكل شخص" ، حيث تجمع بين "هذا المعيار المجتمعي والنمو المتنامي للتهديد المتنقل ، ومن الواضح أن الحاجة إلى ممارسات أمان متنقلة قياسية تصل إلى أعلى مستوى على الإطلاق. "  وأثنى على "NIST لإبلاغ الحكومة والجمهور بالتهديدات السيبرانية الخطيرة التي تشكلها الأجهزة المتصلة بالأمن القومي والشخصي" ، لكنه شجع أيضًا "وكالات القطاع العام على مواصلة العمل بشكل وثيق مع مزودي القطاع الخاص للحماية من التهديدات والمخاطر. موجودة للأجهزة المحمولة. "  وكما أشار استقصاء معهد بونيمون ومسح التقييمات المشتركة ، "وفقا للمجيبين ، من المتوقع أن يتضاعف عدد أجهزة إنترنت الأشياء في مؤسساتهم في العامين القادمين ، من متوسط ​​9،259 إلى متوسط ​​6،631. تتم إدارة نمو إنترنت الأشياء من خلال إمكانية زيادة الكفاءة وتحسين نتائج الأعمال من خلال جمع بيانات أفضل عن الأشياء في مكان العمل. ومع ذلك ، لضمان أن المخاطر الأمنية لا تفوق الفوائد ، فإن هناك حاجة إلى استراتيجيات جديدة تراعي المخاطر بشكل شامل في النظام البيئي للمنظمة بالكامل. "  "إن وتيرة الابتكار في إنترنت الأشياء والمعايير المتفاوتة للأمن بين الأطراف الثالثة تجعل من الصعب ضمان أمن هذه الأجهزة والتطبيقات ، وفقاً لما ذكره 72 بالمائة من المستجيبين. بالإضافة إلى ذلك ، يتطلب محرك الابتكار أساليب جديدة لاستراتيجيات وتكتيكات تكنولوجيا المعلومات ، ويقول 61٪ أن تبني السحابة مدفوع ، جزئيًا ، بالحاجة إلى الابتكار في نظام إنترنت الأشياء. يقول 42٪ من المشاركين في الاستطلاع إن عدد البائعين الذين يستخدمونهم يجعل من الصعب إدارة تعقيدات منصات إنترنت الأشياء ".

تحتاج كثير معلومة؟

لا تتردد في الاتصال بأحد ممثلينا

٥. إذا لكم أي طلب واقتراح للمنتجات فتفضلوا بترك الرسالة لنا، ونجيب أسئلتكم في أول وقت، وشكرا لكم على التأييد.