為什么IoT安全性如此重要 以及如何處理它

是否市場(chǎng)比物聯(lián)網(wǎng)更熱?由于制造商的互聯(lián)網(wǎng)連接，從一切嬰兒監(jiān)視器，以汽車(chē)，經(jīng)濟(jì)分析師，如貝恩和麥肯錫預(yù)測(cè)更加爆炸性的收入增長(zhǎng)為物聯(lián)網(wǎng)產(chǎn)業(yè)。

所以有什么問(wèn)題?對(duì)于初學(xué)者來(lái)說(shuō)，當(dāng)供應(yīng)商爭(zhēng)奪他們?cè)谑袌?chǎng)中的份額時(shí)，他們會(huì)偷工減料或完全忽視網(wǎng)絡(luò)安全，讓我們其他人暴露于身份盜竊，互聯(lián)網(wǎng)停機(jī)和隱私泄露。一些軍事網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)可以用作武器，甚至可以引發(fā)分布式拒絕服務(wù)(DDoS)軍備競(jìng)賽。

物聯(lián)網(wǎng)的極端價(jià)格敏感性加劇了這個(gè)問(wèn)題。要將物聯(lián)網(wǎng)添加到公用事業(yè)儀表，自動(dòng)售貨機(jī)和智能建筑傳感器，硬件必須盡可能便宜。這通常通過(guò)將足夠的內(nèi)存和處理能力放入物聯(lián)網(wǎng)模塊來(lái)實(shí)現(xiàn)其任務(wù)來(lái)實(shí)現(xiàn)，而很少或根本沒(méi)有資源來(lái)支持傳統(tǒng)的網(wǎng)絡(luò)安全工具，如反惡意軟件。這種設(shè)計(jì)實(shí)現(xiàn)了引人注目的攻擊，例如2016年9月的攻擊，當(dāng)時(shí)黑客將數(shù)百萬(wàn)臺(tái)監(jiān)控?cái)z像機(jī)，DVR和其他支持物聯(lián)網(wǎng)的設(shè)備聯(lián)合起來(lái)，以發(fā)動(dòng)歷史上最大的DDoS攻擊。

物聯(lián)網(wǎng)經(jīng)常將網(wǎng)絡(luò)和其他IT功能添加到傳統(tǒng)上沒(méi)有它們的設(shè)備這一事實(shí)進(jìn)一步加劇了這個(gè)問(wèn)題?，F(xiàn)代汽車(chē)和卡車(chē)就是一個(gè)典型的例子，它現(xiàn)在在60個(gè)物聯(lián)網(wǎng)設(shè)備上平均有一百萬(wàn)行代碼，控制從排放到信息娛樂(lè)的所有內(nèi)容。他們的所有者現(xiàn)在必須定期更新這些設(shè)備中的固件以修補(bǔ)安全漏洞 - 假設(shè)他們甚至知道這個(gè)新的責(zé)任，更不用說(shuō)認(rèn)真對(duì)待了。

而且假設(shè)補(bǔ)丁和更新甚至存在。物聯(lián)網(wǎng)的低成本要求意味著薄利潤(rùn)空間，這反過(guò)來(lái)意味著供應(yīng)商不必為多年前銷(xiāo)售的產(chǎn)品開(kāi)發(fā)補(bǔ)丁和更新的經(jīng)濟(jì)激勵(lì)。汽車(chē)和公用事業(yè)儀表是通常至少使用十年的產(chǎn)品的兩個(gè)例子。當(dāng)他們的供應(yīng)商停止支持他們，破產(chǎn)或被收購(gòu)時(shí)，他們的多少物聯(lián)網(wǎng)模塊將成為孤兒?

當(dāng)這種情況發(fā)生時(shí)，這些模塊變得更加容易受到黑客的攻擊 - 不僅是特定模塊支持的應(yīng)用程序，還包括它連接的所有其他系統(tǒng)。后者的一個(gè)例子是在卡車(chē)中使用孤立的物聯(lián)網(wǎng)模塊攻擊車(chē)隊(duì)所有者的路線和貨物數(shù)據(jù)庫(kù)，以便劫持高價(jià)值貨物。

失去人情味

自動(dòng)物聯(lián)網(wǎng)的風(fēng)險(xiǎn)甚至更高，其中設(shè)備彼此直接通信，環(huán)路中沒(méi)有人?，F(xiàn)在有數(shù)千種現(xiàn)有的自主物聯(lián)網(wǎng)應(yīng)用和數(shù)百萬(wàn)種潛在應(yīng)用。一個(gè)例子是自動(dòng)駕駛的運(yùn)載車(chē)輛，它們整天都沒(méi)有人在車(chē)輪后面，因?yàn)樗鼈兣c智能道路中的傳感器相互作用以了解它們的行進(jìn)路線。

當(dāng)人們不監(jiān)控這些交互時(shí)，安全漏洞的風(fēng)險(xiǎn)就會(huì)增加。例如，傳感器可以自動(dòng)收集有關(guān)電網(wǎng)中負(fù)載的信息，但由人來(lái)決定是否以及如何對(duì)該信息采取行動(dòng)。將人類(lèi)帶出循環(huán)，惡意軟件更容易被控制，例如導(dǎo)致停電或浪涌。

即使循環(huán)中存在人類(lèi)，也存在獨(dú)特且意外的攻擊向量。一個(gè)例子是戴在手腕上的健身追蹤器的側(cè)通道攻擊。如果此人使用該手在另一臺(tái)設(shè)備上鍵入密碼或PIN，則黑客可以使用健身跟蹤器的動(dòng)作來(lái)重新創(chuàng)建該信息。此場(chǎng)景也是物聯(lián)網(wǎng)如何為其他傳統(tǒng)IT系統(tǒng)創(chuàng)建后門(mén)的另一個(gè)示例。

無(wú)論特定的物聯(lián)網(wǎng)應(yīng)用程序是否是自治的，關(guān)鍵是每個(gè)參與該應(yīng)用程序的人 - 供應(yīng)商，服務(wù)提供商和最終用戶 - 都要了解這些獨(dú)特的考慮因素并制定最大化安全性的策略。第一步是承認(rèn)對(duì)非物聯(lián)網(wǎng)技術(shù)有效的實(shí)踐和政策 - 例如在服務(wù)器或筆記本電腦上安裝反惡意軟件 - 通常不適用于物聯(lián)網(wǎng)。

物聯(lián)網(wǎng)需要不同的安全方法。這就是為什么IEEE互聯(lián)網(wǎng)倡議最近發(fā)布了一份白皮書(shū)，其中包含一系列最佳實(shí)踐，任何人都可以使用它來(lái)提高物聯(lián)網(wǎng)應(yīng)用的安全性。這些最佳實(shí)踐可從IEEE Internet Initiative免費(fèi)下載，適用于任何物聯(lián)網(wǎng)應(yīng)用，無(wú)論是行業(yè)還是自主。IEEE將于9月27日舉辦一場(chǎng)相關(guān)的網(wǎng)絡(luò)研討會(huì)，即“物聯(lián)網(wǎng)安全最佳實(shí)踐”，并在不久后提供錄音。

一個(gè)最佳實(shí)踐建議是限制每個(gè)物聯(lián)網(wǎng)應(yīng)用程序可用的帶寬量：“大多數(shù)物聯(lián)網(wǎng)設(shè)備都是由商品組件組成，這些組件具有極大的功能，因?yàn)樗鼈儜?yīng)該執(zhí)行的功能大大超過(guò)網(wǎng)絡(luò)功能，從而導(dǎo)致家庭網(wǎng)絡(luò)擁塞，并可能導(dǎo)致巨大的物聯(lián)網(wǎng)DDoS攻擊目標(biāo)的成本。我們建議設(shè)備制造商應(yīng)將IoT設(shè)備可以生成的網(wǎng)絡(luò)流量限制為執(zhí)行其功能所需的合理水平?；ヂ?lián)網(wǎng)連接的冰箱幾乎不需要以千兆位/秒的速度發(fā)送互聯(lián)網(wǎng)控制和管理協(xié)議(ICMP)消息。雖然有些冰箱配備了視頻屏幕，但它們很可能不需要具備高速上傳功能。“

同樣重要的是，這些最佳實(shí)踐以非專(zhuān)業(yè)術(shù)語(yǔ)描述，因此它們不僅僅是IT安全專(zhuān)家才能理解。這種可訪問(wèn)性是關(guān)鍵，因?yàn)镮T專(zhuān)家并不是唯一具有物聯(lián)網(wǎng)應(yīng)用程序?qū)嵺`角色的人。例如，建筑設(shè)施經(jīng)理可以使用這些最佳實(shí)踐來(lái)確保最大化能效的物聯(lián)網(wǎng)設(shè)備不會(huì)產(chǎn)生安全和隱私風(fēng)險(xiǎn)。如果每個(gè)人 - 從制造商到最終用戶 - 都盡了自己的一份力量，黑客將有更少的機(jī)會(huì)破壞物聯(lián)網(wǎng)所帶來(lái)的光明未來(lái)。