Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

物联网是不系安全带上路的吗?

0
0

物联网在安全性方面进展缓慢,使得用户隐私和人身安全一直受到威胁。在过去的几年里,物联网的安全问题获得了较大的关注,但大多数都是讨论消费者应该如何做来保障安全。问题是,企业是可以比消费者做的更多来提高安全性的。此外,消费者似乎对如何保护自己并不那么感兴趣。


物联网是不系安全带上路的吗?
物联网提供商应汲取历史经验

20世纪30年代,随着汽车的普及,医生经常性的接触到与车祸相关的伤亡,使得美国医生开始在自己的汽车上安装临时安全带。在随后的几十年里,科技人员在汽车安全方面进行了大量的研究。直到1968年,第一部联邦汽车安全法才生效。它要求所有机动车辆(公共汽车除外)都必须配备安全带。

对许多人来说,安全带确实可以挽救他们的生命,但仍然有不少人在没有系安全带的情况下乘坐汽车。这一项简单的措施被很多乘客忽视,美国各州花了几年时间才通过了一些法律,这些法律要求乘客系安全带否则承担罚款。那为什么业界和消费者都花了这么长时间来促使大众采用这种简单的安全机制?如今,这个问题会不会印证在物联网的安全状况上?

就像上世纪30年代的医生一样,我们意识到了这个问题

早在2014年,Target公司就处理过远程访问其网络(通过HVAC系统连接设备)的黑客所带来的创伤。单是这一次攻击就使得数以万计的持卡人记录被泄露。在2016年底,物联网设备的安全性引起了更多的关注。Mirai 僵尸网络感染了数以十万计的连接设备。恶意代码被用来对各种目标发起分布式拒绝服务(DDoS)攻击,造成了大规模的破坏。赛门铁克公司在2017年互联网安全威胁报告中阐述的另一个惊人的事实是,入侵一台连接设备的平均时间仅为两分钟 。关注设备安全性的不仅仅是受感染的用户/设备,还包括这些设备所链接网络的一部分资产。所以,IT安全专家和专业人士十分关注连接设备的安全性。

根据Gartner 的数据,2017年连接设备的数量达到了约84亿台。他们预测2020年市场将增长近三倍,达到204亿美元。也许,比连接设备数量更令人震惊的是接入网络的没有安全保障的设备数量。

市场需求推动了增强功能和用户体验的需求。为了满足当今市场的需求,制造只用于功能目的的电器或产品的时代已经一去不复返了。因此,在企业高管们推动业务变革和创新来提供这些产品的同时,IT专业人员和安全专家也面临着同样令人担忧的问题:公司如何才能在保正智能设备需求的同时兼顾其安全问题?

为了回答这个问题,小编概括了一些可能造成IoT安全性危机的因素:

非技术公司被迫在技术领域竞争 信息技术和安全专业人才短缺 各种各样的设备带来的标准化挑战

在感觉一台只烤面包的烤面包机有点过时的时代,似乎每一家公司都需要成为一家科技公司。

如果一家公司要在当今科技驱动的经济中不落后,他们必须重新定位自己在联网世界中的角色――即使他们是传统的家电制造商而非技术公司。此外,似乎把“智能”引入传统产品的压力还不够,科技公司也在寻找进入传统产品市场的方法,这只会增加非技术公司在物联网设备竞赛中竞争的紧迫感。这意味着原设备制造商或非技术公司被赋予了一项艰巨的任务:那就是迅速地将创新引入市场,这不仅满足了设备最初的预期用途,而且也满足了用户的需求。

抢夺市场

那么,什么是‘非技术’公司?非技术公司是指生产或制造传统上不被认为是智能或连接产品/设备的公司(如.冰箱、暖气系统、医疗设备、汽车等)。另外,科技公司是主要生产或开发技术的公司,比如谷歌、亚马逊、微软、IBM等。将连接组件添加到传统的非科技设备中需要大量的专业知识来研究和开发。很多非技术公司正在寻找留在游戏中的方法,一种策略是与科技公司合并或收购,另一种是与科技公司进行合资合作。

非技术公司对科技公司的收购呈上升趋势。根据彭博社的数据,“ 在 2007 年, 682 家 技术 公司被非技术公司收购, 655 家被科技公司收购。 ” 非科技公司占科技公司收购案的一半多。

通用汽车为了在无人驾驶汽车市场上与特斯拉竞争,采取了大胆的行动。他们收购了Strobe,这是一家位于加利福尼亚州的初创科技公司,专门从事无人驾驶技术的开发。

惠而浦就是采取OEM(定点生产,俗称代工)合作的例子,该公司在2010年建立了一家合资企业,将家用电器连接到互联网。他们通过与科技公司Prodea合作来建立家电与互联网之间的连接。这一战略举措使消费者可通过智能手机远程控制和监控他们的设备。

值得注意的是,上述每种策略均存在安全性方面的难题。收购技术公司,仍然有责任为物联网安全开发提供适当的资金。 “Gartner预测,到2020年,企业遭受的攻击中有超过25%将涉及物联网,尽管物联网只占IT安全预算的不到10%。 由于物联网的预算有限以及物联网的碎片化,安全供应商将很难提供可用的物联网安全功能。

外包也不能免除非科技公司的责任。应制定严谨的计划,以确定谁负责确保产品的安全设计和设备的后续支持。只要非技术公司将软件开发项目外包给第三方,非技术公司就需要负责制定完善的安全和可持续发展计划。从本质上讲,这要求他们通过代理成为一家科技公司。

安全专业人员缺口大

市场对智能技术型人才的需求愈加迫切,但与此同时,身怀安全智能技术的技能人员却日益短缺。正如思科的Sudashan Krishnamurthi所报告的那样,“许多组织正致力于了解哪些技能是成功的物联网项目所必需的”。此外,ISC 2 的分析人士认为,到2020年,安全专业人员将短缺150万人。

这并不是说物联网行业没有为此做出努力。为了弥补缺乏合格专业人员的问题,主要的安全行业组织正在增加认证项目和培训机会。例如,ISC 2创建了国际学术计划,以支持高等教育机构开发安全课程,建立网络安全与教育中心 。该中心设立了奖学金,以吸引人才投身网络安全领域。此外,ISC 2 (与网络安全有关的一个基金会)为强调了这一问题,提出了下列相关的建议:

为学生提供更多的实践机会,为他们提供更多的入门课程. 将网络安全和信息安全纳入学术课程。 开拓新的人才来源,或充分挖掘仍未充分利用的现有人才(如社区大学生、妇女、回国服务人员及少数民族) 整合人才选拔流程,优化整体人才资源。

最大的风险是,这些产品被创造和进入市场的速度。如芝加哥论坛报 ,Haka产品的创始人Colm Lennon说:“在这个万物互联的物联网空间中,所有的角色都必须紧密合作,如果公司想要以极快的速度进行创新,同时也要进行安全功能创新。这样做是为了保护他们的客户,保护自己,保护他们的合作伙伴。”随着企业努力发展和变革,他们的战略需要纳入消费者保护,而不是单纯的在市场竞争中处于优胜地位。

物联网设备面临的安全挑战

物联网系统中有各种各样的设备和体系结构,这就带来了各种各样的安全挑战。连接的设备执行各种功能,包括处理、存储和传输数据;一些设备要执行三个功能,一些只执行一个。此外,物联网设备有不同的形状和大小。大多数设备都是小巧而离散的。

正如Nick Allot博士在2016年物联网安全会议所指出的,处理数据受限的低功耗设备有着重大的安全挑战,这些设备很难保证数据加密。设备小,处理能力自然受到限制。在设备功能、尺寸和安全性之间寻找一个平衡点是设备开发商和制造商面临的主要障碍之一。

各种类型的安全体系都是可用的。然而, 根据发表在《沙特国王大学》杂志上的一项研究, 这些体系结构的核心问题是抽象层面上互联的事物缺乏充分的互操作性。这导致了很多的问题, 如: 不智能、适应性较差、匿名性有限、系统行为不良、隐私和安全性降低。

应要求设计的安全性

不论非科技公司是如何将联网设备集成到他们的产品中,有一件事是肯定的:安全必须首先被考虑。尽管各个行业的管理层都想出了如何将物联网纳入未来的业务计划,但安全专业人士必须就安全标准达成共识。问题是,全球经济仍继续通过技术实现增长,而物联网设备制造商却没有一套确保设备安全的监管标准。

物联网行业可以着手很多事情来提高产品安全性。企业、政府都提出了SRO(成交率 优化)的最佳策略。谷歌、亚马逊和微软等云供应商都称拥有物联网安全最佳解决方案,从加密,认证,及时修补和防止恶意活动角度出发,可保证基础设施安全。一些云供应商甚至从安全性的角度指导设备制造商。他们推广的标准有:可修补的设备设计、加密的数据、没有硬编码的密码、没有已知的安全漏洞以及使用行业标准的互联网协议。

同样,一个非营利性组织物联网安全基金会(IOTSF)被建立,该组织已发表了大量最佳实践用户指南,可供实施合规性框架的组织使用。马萨诸塞州和加州参议员于2017年10月起草了一项法案,以确保物联网设备满足某些网络安全要求,给满足网络安全的设备一个安全印章或标记。参议员Edward J. Markey说,预期的结果是“帮助消费者识别符合某些安全标准的产品”。这些印章或标记有助于提高消费者的安全意识,通过这种方式,经济发展的同时可以更快地驱动受保护的设备的增长。

物联网行业可以提高设备安全合规度

云和物联网网络供应商可以联合起来保护物联网系统。例如,支付品牌Visa、MasterCard和美国运通通过创建支付卡行业数据安全标准 ,来减少信用卡诈骗。

云和物联网解决方案提供商,如谷歌、微软和AT&T会通过执行安全标准来保护联网设备吗?有一天,这些供应商会要求设备制造商提供第三方审计安全声明,这将是一件很有趣的事情。为此,第三方审计机构将越来越需要独立审查安全尽职调查。

也许,目前业界可以采用的安全最佳实践是更新连接设备使用的互联网协议。正如Charles Sun所说,“当我们关闭IPv4时,我们将消除基于IPv4堆栈的全球网络攻击和安全威胁”。在保护数据方面,政府比消费者更具利害关系,因此,政府更加关注安全问题。我们不仅可以使用IPv6保护目前的设备,而且IPv6还可以扩展到未来出现的连接设备。美国食品和药物管理局和美国国家标准技术研究所已经发布了行业和国际网络安全标准化指南,而英国金融培训集团正在积极寻求简单易用的用户友好型解决方案,以帮助消费者保护他们的智能家居设备。

如何保护物联网设备

物联网医疗设备的一些安全问题实际上并不是源于设备本身。根据物联网网络安全公司ZingBox的一项新研究,“最常见的物联网医疗设备安全警报来自用户实践(比如使用医疗工作站上的嵌入式浏览器浏览网页、进行在线聊天或下载内容),占所有安全警报的41%。”

消费者不能完全依靠设备制造商来保证产品安全,但是90% 的消费者对保护自己的设备缺乏信心。 然而,消费者确实可以做些事情来确保物联网设备安全。回想一下,20世纪的汽车死亡危机,这个危机需要个人、工业、州和联邦政党被一个简单的解决方案联合起来:安全带。物联网设备连接到消费者的家庭网络,通常消费者的智能手机或集线器保持对家庭网络的直接控制。出于这个原因,消费者需要确保三个领域:智能手机、家庭网络和连接设备的安全。

1. 保护智能手机 使用强密码并锁定屏幕 尽可能使用多中要素进行身份验证 安装安全软件 任何用于控制设备的应用程序都需要进行补丁更新。 2. 重视家庭网络安全性 在连接的设备上创建网络,以便在线购物或银行存储 设置WiFi时使用加密协议 使用提供防火墙保护的路由器 使用强密码并更改默认用户名和密码 更新,保证使用的软件是最新版本 3. 关注连接设备 了解设备的工作原理、功能以及它传输或存储的数据。 确定设备是否需要连接到Internet 为每个设备设置强而独特的密码。 收到通知后注册安装更新

消费者应该了解了自己确实可以保护物联网。 安全标准和协议正在慢慢融合在一起。 加速安全物联网系统的做法可以像这样简单:

(1) 加强网络安全教育

鼓励年轻一代寻求与网络安全/信息安全有关的职业 设置网络安全/信息安全课程,即使是针对低年级学生 多宣传提高消费者网络安全意识

(2) 企业能做什么

聘用安全专业人员 有的放矢地投资于网络安全 使用受信任的第三方并建立透明的业务关系 做更多的网络安全研究并加入IOTSF 支持政府法规

如果您碰巧在物联网行业,期待您的企业可以做到上述几点,以确保产品的安全性处于最前沿。如果您是消费者,是在使用物联网,那对网络和设备的安全性进行反复检查确认是很有必要的!


Viewing all articles
Browse latest Browse all 12749