如今,物聯網設備的應用日益廣泛,但很多企業仍然沒有完全理解物聯網安全的重要性。
根據調研機構進行的一項研究,去年有全球有10億多個物聯網設備遭到黑客攻擊。考慮到全球目前大約有150億個物聯網設備,這意味著每15個設備中就有一個成為網絡攻擊的受害者,而泄露用戶數據成為網絡攻擊者精心策劃的僵尸網絡的一部分。
任何企業和用戶都不能對物聯網安全掉以輕心。有時,罪魁禍首可能是硬編碼的設備密碼。在其他情況下,網絡犯罪分子利用嵌入式系統或構成物聯網基礎設施的其他應用程序中的漏洞。在某些情況下,如果沒有惡意的內部人員,黑客攻擊是無法執行的。
為了更好地理解眾多物聯網安全挑戰的根本原因,以下來定義物聯網安全及其包含的流程。
什么是物聯網安全?
物聯網安全是指在物聯網部署中保護連接設備的安全措施和保護措施。
由于物聯網設備的范圍從恒溫器和智能音箱等智能家居解決方案到工業設備和自動駕駛汽車,物聯網安全要求可能會因行業、用例和目標受眾而有所不同。
預防物聯網安全問題的一些普遍適用的最佳實踐包括:
對傳輸和靜態數據進行加密,使未經授權的用戶無法讀取。
通過強制使用強密碼和其他用戶授權方法(例如一次性短信密碼和多因素身份驗證),防止對設備和物聯網網絡的未經授權訪問。
實施防火墻、入侵檢測系統和安全通信協議,以保護物聯網設備所連接的網絡。
保持為物聯網設備提供語音的嵌入式軟件的最新狀態,并及時修復其安全漏洞。
在物聯網設備的設計和開發階段納入安全措施,而不是事后考慮的事項。
雖然遵循這些物聯網安全最佳實踐是物聯網解決方案供應商的特權,但同樣重要的是要記住,物聯網安全是一項共同的責任。除非最終用戶采取必要的預防措施,例如更改默認密碼和安裝設備制造商發布的軟件更新,否則減輕物聯網安全風險將永遠是一場失敗的游戲。
為什么物聯網安全經常受到威脅?
物聯網安全漏洞的根源可能多種多樣,通常是由物聯網生態系統的獨特特征和挑戰造成的。
由于物聯網解決方案在多個層面上運行,包括操作系統、底層軟件、云計算基礎設施、數據和網絡協議、最終用戶應用程序和硬件,物聯網安全威脅可能來自這些功能組件中的任何一個。
最重要的是,許多物聯網解決方案被設計為小型、廉價和節能的產品,通常具有有限的處理能力,這使得難以實施傳統的安全措施。
事實上,所有物聯網產品中有一半來自初創公司,這些初創公司通常致力縮短上市時間以擊敗競爭對手,這只會使問題復雜化。
以下是影響物聯網安全的幾個因素:
設計和制造不安全。除非是一家擁有雄厚IT預算的大型企業,否則很可能會以犧牲物聯網設備安全為代價,優先考慮物聯網項目的功能、成本效益和上市速度。這是因為全面的需求分析、質量控制和廣泛的物聯網安全測試需要付出高昂的代價。
缺乏更新和補丁管理。在通常情況下,物聯網設備不會收到定期固件更新以修補漏洞,或者是因為制造商停止支持這些設備,或者是因為由于設計限制而難以更新。這使得網絡物理系統暴露在已知的安全漏洞之下。
使用默認或弱憑證。許多物聯網設備都帶有默認的用戶名和密碼,這些用戶名和密碼可能是公開的,或者很容易猜到。如果最終用戶沒有更改這些憑據,則可以為網絡攻擊者提供訪問物聯網解決方案的簡單方法。
缺乏數據加密。一些物聯網設備在傳輸或存儲數據時沒有進行適當的加密,從而使敏感信息暴露給潛在的攻擊者。
不良的網絡安全實踐。物聯網設備通常連接到沒有適當安全措施的網絡,例如使用安全套接字層(SSL)和傳輸層安全(TLS)協議、多因素用戶身份驗證和入侵檢測機制。因此,黑客可以精確定位受損設備,并利用它們攻擊網絡上的其他物聯網解決方案。
缺乏標準化。物聯網生態系統多樣化,缺乏統一的物聯網安全標準。這意味著供應商遵循不同的安全最佳實踐,這些最佳實踐可能是特定于地區或行業的,也可能僅由小工具的預期用例和設計特性決定。例如,智能燈泡制造商的首要任務是將他們的產品與流行的家庭自動化解決方案相結合。因此,他們可能會輕視物聯網安全,未能實現更順暢的固件更新機制或使用不太有效的加密協議。
解決這些問題需要整個物聯網領域的共同努力。然而,自從“物聯網”這一術語出現近四分之一個世紀以來,物聯網安全仍然像以往一樣難以捉摸。
作為物聯網初創公司,能做些什么來預見物聯網安全問題,并在開發過程中及早采取適當的措施? 其答案很大程度上在于可靠的物聯網通信技術。
物聯網安全前沿的通信技術
以下是什么讓連接技術成為物聯網安全基石的簡要解釋:
物聯網協議對端點設備與中央集線器和云服務器之間傳輸的數據進行加密,使第三方無法讀取。
安全的有線和無線連接技術確保數據完整性,這意味著數據在傳輸過程中無法被篡改。
通信協議通過登錄和密碼、預共享密鑰、網絡密鑰和令牌強制用戶身份驗證。
一些協議可以實現基于角色的訪問控制,為特定的用戶和設備組指定權限。
最后,連接技術促進了固件更新的安全部署和安裝,以及有效的設備管理,提高了物聯網部署的安全性。
物聯網協議及其安全特性概述
以下是源連接技術及其對物聯網安全的影響的總結:
傳輸層安全(TLS)保護設備和服務器之間的通信。TLS提供端到端加密,使網絡攻擊者難以攔截和破譯數據。
安全套接字層(SSL)還有助于物聯網設備與服務器安全通信。然而,由于最近發現的一些安全漏洞,安全套接字層(SSL)已經在很大程度上被TLS所取代。
輕量級M2M(LwM2M)用于物聯網系統中的設備管理。除了確保設備與服務器之間的安全通信外,LwM2M還支持固件更新和遠程管理等其他特性。
數據報傳輸層安全(DTLS)保護實時應用中的數據傳輸,如視頻流或VoIP(voice-overIP)。DTLS提供端到端加密,設計用于處理延遲和數據包丟失。
消息隊列遙測傳輸(MQTT)用于物聯網系統中的輕量級消息傳遞。MQTT提供了用于消息交換的發布/訂閱模型,并支持用于安全通信的TLS加密。
物聯網技術的選擇取決于物聯網系統的具體情況及其安全要求。通常情況下,用戶必須同時使用幾種技術來滿足這些需求。
如何在產品設計中應對物聯網安全挑戰
例如,企業為倉庫設施建立一個智能暖通空調系統,它將使用連接的恒溫器、濕度和溫度傳感器、網關和暖通空調。
這是一個需要端到端物聯網安全的網絡物理系統的例子:如果受到攻擊,連接的設備將成為供應鏈公司IT基礎設施和存儲在其中的所有敏感信息(包括客戶數據)的入口點。
通過使用安全協議和AWS服務,將保護暖通空調系統免受物聯網安全威脅,例如惡意軟件感染、數據泄露和拒絕服務攻擊。
此外,實現強大的身份驗證和訪問控制機制以防止對系統的未經授權的訪問是明智的。這可以包括多因素身份驗證、基于角色的訪問控制和敏感數據的加密。如果定期進行物聯網安全測試,包括審計和漏洞評估,及時發現和彌補漏洞,也不會有什么壞處。
另一個需要注意的物聯網安全問題是固件代碼以及它可能包含的安全漏洞。固件是運行在物聯網設備上的低級軟件。它控制設備的硬件,啟用其業務邏輯,并支持數據交換。
企業可以通過遵循安全編碼實踐來保護固件。這包括使用安全編碼技術,例如代碼審查和靜態分析,以識別代碼中的潛在漏洞。它還涉及安全編碼標準,例如SEICERTC編碼標準,以確保以抵抗常見安全漏洞的方式編寫代碼。如果企業計劃在物聯網軟件開發中使用開源或第三方庫,也必須檢查它們是否有記錄的漏洞。
實現安全引導和固件更新機制也很重要。安全引導是一個確保設備只引導授權固件的過程,防止惡意代碼滲透到物聯網系統。固件更新機制允許對設備固件進行安全且經過身份驗證的更新,確保設備始終運行包含必要安全補丁的最新固件。
最后,監視固件代碼以發現潛在的安全威脅非常重要。這包括使用入侵檢測系統和監控工具來識別和響應潛在的物聯網安全事件。
結語
從忽視流行軟件開發框架和庫中的安全漏洞到使用不適當的連接技術堆棧,企業的物聯網項目有很多方式可能出錯,這樣可能將敏感數據置于風險之中,并損害品牌聲譽。
好消息是,只要從一開始就遵循物聯網安全最佳實踐,大多數物聯網安全挑戰都可以緩解。
