2018年將是物聯網的關鍵一年。據估計,將有28億臺新設備連接到互聯網,使十年前科幻小說中出現的各種場景成為可能。網絡醫療設備、手錶、家庭自動化設備、智能城市、智能汽車、工業設備等將改變人們在個人和商業世界中彼此之間以及與環境之間的通信方式。 現在是反思我們過去所犯錯誤和決心在未來做得更好的最佳時機。首先考慮的是安全問題。我們很容易沉浸在物聯網帶來的新事物中,但我們不能忽視物聯網帶來的安全風險。
一年多前,mirai惡意軟件控制了數十萬個物聯網設備,併發起了規模最大、破壞性最大的網絡攻擊之一。webroot認為,最根本的問題是物聯網製造商只關注設備的功能,而沒有在安全測試方面投入足夠的資金。 因此,每個人都應該在來年決定將安全性作為物聯網設計流程的一部分。那是什麼意思?本文著重討論了一些需要從一開始就考慮的問題。
1、設備是否執行安全敏感操作?
如果黑客能夠控制來自胰島素泵或核電廠閥門控制器的致動器信號,這顯然會造成巨大的安全問題。即使控制恆溫器的不太關鍵的裝置在寒冷的冬天也是一個安全問題。相反,控制機器人清潔器可能不會產生顯著影響。
安全高於一切。設備是否存在安全隱患將是您考慮的安全措施強度的重要因素。
2、設備是否處理敏感信息?
任何類型的隱私敏感信息都應受到認真對待,尤其是如果gdpr法規在歐洲實施,如果這些數據處理不當,將受到嚴厲處罰。敏感信息不僅僅是個人信息;財務數據、登錄憑證、遙測、配置等。需要小心保護。
在設計產品時,問問自己如果黑客獲得這些數據會發生什麼情況?如果發現此結果不可接受,則應考慮使用密碼加密來處理存儲和傳輸中的數據。
3、你的設備是否需要安全身份認證?
請務必注意,只有授權的物聯網設備才能加入您的物聯網生態系統!
想想如果黑客的設備可以偽裝成汽車傳感器並觸發某種自動駕駛行為會發生什麼?如果胰島素泵接收到來自假血糖傳感器的讀數會發生什麼情況?在安全敏感的情況下,驗證物聯網設備的身份至關重要。
加密的安全標識為設備提供了強大的授權,適用於各種場景,以確保物聯網生態系統中的所有設備都是可信的。
4、你現在實施的加密方法正確嗎?
密碼學是一種面向數據保護、安全通信和身份驗證的前瞻性技術,難以正確實施和部署。加密將保護數據,但您還必須保護密鑰。
物聯網的一個特徵是,這些設備通常處於物理上不受控制的環境中,從而使黑客能夠更直接地訪問這些設備,從而更容易對這些設備進行反向工程以找到密鑰。保護密鑰可能需要在設備上安裝特殊的硬件安全存儲密鑰,如果不可能,則需要白盒加密。 您還需要考慮密鑰管理的整個生命週期。密鑰是如何生成和分發的?密鑰通常在未受保護的計算機上生成,私鑰沒有得到充分保護或備份,從而導致嚴重的安全漏洞。正確的密鑰生成和分發需要專門的技術、設施、流程和人員,如果這些功能在您自己的企業中不可用,您可能需要外包密鑰生成和配置服務。
5、您如何保護物聯網設備上的應用程序?
您應該考慮在開發生命週期中保護您的應用程序。在將代碼部署到站點之前,可以使用許多工具來分析代碼是否存在應修復的潛在漏洞。
當然,不斷髮現新的漏洞,您應該有一些方法在部署後安全地更新這些設備。將修補程序部署到設備並使用代碼簽名技術以確保僅安裝授權更新時,請考慮使用安全身份驗證通道。 在不受控制的環境中部署物聯網設備為黑客提供了許多逆向工程代碼的機會,因此評估防止篡改的工具非常重要。
要提高物聯網的安全性仍有許多工作要做,但鑑於這五個問題,您應該走上更安全地部署物聯網的道路。祝2018年好運!
閱讀更多 雲博彙物聯網 的文章
