為什么IoT安全性如此重要 以及如何處理它

是否市場比物聯(lián)網(wǎng)更熱?由于制造商的互聯(lián)網(wǎng)連接，從一切嬰兒監(jiān)視器，以汽車，經(jīng)濟分析師，如貝恩和麥肯錫預(yù)測更加爆炸性的收入增長為物聯(lián)網(wǎng)產(chǎn)業(yè)。

所以有什么問題?對于初學(xué)者來說，當(dāng)供應(yīng)商爭奪他們在市場中的份額時，他們會偷工減料或完全忽視網(wǎng)絡(luò)安全，讓我們其他人暴露于身份盜竊，互聯(lián)網(wǎng)停機和隱私泄露。一些軍事網(wǎng)絡(luò)安全專家認為物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)可以用作武器，甚至可以引發(fā)分布式拒絕服務(wù)(DDoS)軍備競賽。

物聯(lián)網(wǎng)的極端價格敏感性加劇了這個問題。要將物聯(lián)網(wǎng)添加到公用事業(yè)儀表，自動售貨機和智能建筑傳感器，硬件必須盡可能便宜。這通常通過將足夠的內(nèi)存和處理能力放入物聯(lián)網(wǎng)模塊來實現(xiàn)其任務(wù)來實現(xiàn)，而很少或根本沒有資源來支持傳統(tǒng)的網(wǎng)絡(luò)安全工具，如反惡意軟件。這種設(shè)計實現(xiàn)了引人注目的攻擊，例如2016年9月的攻擊，當(dāng)時黑客將數(shù)百萬臺監(jiān)控攝像機，DVR和其他支持物聯(lián)網(wǎng)的設(shè)備聯(lián)合起來，以發(fā)動歷史上最大的DDoS攻擊。

物聯(lián)網(wǎng)經(jīng)常將網(wǎng)絡(luò)和其他IT功能添加到傳統(tǒng)上沒有它們的設(shè)備這一事實進一步加劇了這個問題?，F(xiàn)代汽車和卡車就是一個典型的例子，它現(xiàn)在在60個物聯(lián)網(wǎng)設(shè)備上平均有一百萬行代碼，控制從排放到信息娛樂的所有內(nèi)容。他們的所有者現(xiàn)在必須定期更新這些設(shè)備中的固件以修補安全漏洞 - 假設(shè)他們甚至知道這個新的責(zé)任，更不用說認真對待了。

而且假設(shè)補丁和更新甚至存在。物聯(lián)網(wǎng)的低成本要求意味著薄利潤空間，這反過來意味著供應(yīng)商不必為多年前銷售的產(chǎn)品開發(fā)補丁和更新的經(jīng)濟激勵。汽車和公用事業(yè)儀表是通常至少使用十年的產(chǎn)品的兩個例子。當(dāng)他們的供應(yīng)商停止支持他們，破產(chǎn)或被收購時，他們的多少物聯(lián)網(wǎng)模塊將成為孤兒?

當(dāng)這種情況發(fā)生時，這些模塊變得更加容易受到黑客的攻擊 - 不僅是特定模塊支持的應(yīng)用程序，還包括它連接的所有其他系統(tǒng)。后者的一個例子是在卡車中使用孤立的物聯(lián)網(wǎng)模塊攻擊車隊所有者的路線和貨物數(shù)據(jù)庫，以便劫持高價值貨物。

失去人情味

自動物聯(lián)網(wǎng)的風(fēng)險甚至更高，其中設(shè)備彼此直接通信，環(huán)路中沒有人?，F(xiàn)在有數(shù)千種現(xiàn)有的自主物聯(lián)網(wǎng)應(yīng)用和數(shù)百萬種潛在應(yīng)用。一個例子是自動駕駛的運載車輛，它們整天都沒有人在車輪后面，因為它們與智能道路中的傳感器相互作用以了解它們的行進路線。

當(dāng)人們不監(jiān)控這些交互時，安全漏洞的風(fēng)險就會增加。例如，傳感器可以自動收集有關(guān)電網(wǎng)中負載的信息，但由人來決定是否以及如何對該信息采取行動。將人類帶出循環(huán)，惡意軟件更容易被控制，例如導(dǎo)致停電或浪涌。

即使循環(huán)中存在人類，也存在獨特且意外的攻擊向量。一個例子是戴在手腕上的健身追蹤器的側(cè)通道攻擊。如果此人使用該手在另一臺設(shè)備上鍵入密碼或PIN，則黑客可以使用健身跟蹤器的動作來重新創(chuàng)建該信息。此場景也是物聯(lián)網(wǎng)如何為其他傳統(tǒng)IT系統(tǒng)創(chuàng)建后門的另一個示例。

無論特定的物聯(lián)網(wǎng)應(yīng)用程序是否是自治的，關(guān)鍵是每個參與該應(yīng)用程序的人 - 供應(yīng)商，服務(wù)提供商和最終用戶 - 都要了解這些獨特的考慮因素并制定最大化安全性的策略。第一步是承認對非物聯(lián)網(wǎng)技術(shù)有效的實踐和政策 - 例如在服務(wù)器或筆記本電腦上安裝反惡意軟件 - 通常不適用于物聯(lián)網(wǎng)。

物聯(lián)網(wǎng)需要不同的安全方法。這就是為什么IEEE互聯(lián)網(wǎng)倡議最近發(fā)布了一份白皮書，其中包含一系列最佳實踐，任何人都可以使用它來提高物聯(lián)網(wǎng)應(yīng)用的安全性。這些最佳實踐可從IEEE Internet Initiative免費下載，適用于任何物聯(lián)網(wǎng)應(yīng)用，無論是行業(yè)還是自主。IEEE將于9月27日舉辦一場相關(guān)的網(wǎng)絡(luò)研討會，即“物聯(lián)網(wǎng)安全最佳實踐”，并在不久后提供錄音。

一個最佳實踐建議是限制每個物聯(lián)網(wǎng)應(yīng)用程序可用的帶寬量：“大多數(shù)物聯(lián)網(wǎng)設(shè)備都是由商品組件組成，這些組件具有極大的功能，因為它們應(yīng)該執(zhí)行的功能大大超過網(wǎng)絡(luò)功能，從而導(dǎo)致家庭網(wǎng)絡(luò)擁塞，并可能導(dǎo)致巨大的物聯(lián)網(wǎng)DDoS攻擊目標的成本。我們建議設(shè)備制造商應(yīng)將IoT設(shè)備可以生成的網(wǎng)絡(luò)流量限制為執(zhí)行其功能所需的合理水平?；ヂ?lián)網(wǎng)連接的冰箱幾乎不需要以千兆位/秒的速度發(fā)送互聯(lián)網(wǎng)控制和管理協(xié)議(ICMP)消息。雖然有些冰箱配備了視頻屏幕，但它們很可能不需要具備高速上傳功能。“

同樣重要的是，這些最佳實踐以非專業(yè)術(shù)語描述，因此它們不僅僅是IT安全專家才能理解。這種可訪問性是關(guān)鍵，因為IT專家并不是唯一具有物聯(lián)網(wǎng)應(yīng)用程序?qū)嵺`角色的人。例如，建筑設(shè)施經(jīng)理可以使用這些最佳實踐來確保最大化能效的物聯(lián)網(wǎng)設(shè)備不會產(chǎn)生安全和隱私風(fēng)險。如果每個人 - 從制造商到最終用戶 - 都盡了自己的一份力量，黑客將有更少的機會破壞物聯(lián)網(wǎng)所帶來的光明未來。