您现在的位置是:主页 > TIPS >

物联网安全面临的挑战

2021-04-02 21:27TIPS 人已围观

简介物联网涉及将互联网连接添加到相互关联的计算设备,机械和数字机器,物体,动物或人的系统,并能够通过网络自动传输数据,如果设备没有得到适当的保护,允许设备连接到互联网...

物联网涉及将互联网连接添加到互连的计算设备、机械和数字机器、物体、动物或人类系统,并可以通过网络自动传输数据。如果设备没有得到适当的保护,允许设备连接到互联网将导致许多严重的漏洞。

物联网安全是物联网中与保护互联设备和网络相关的技术领域。物联网包括向互联的计算设备、机械和数字机器、物体、动物或人类系统添加互联网连接。每个“东西”都提供一个唯一的标识符,并可以通过网络自动传输数据。如果设备没有得到适当的保护,允许设备连接到互联网将导致许多严重的漏洞。

物联网安全的挑战

许多挑战阻碍了物联网设备的安全性,保证了物联网环境中的端到端安全性。因为网络设备等对象的想法比较新,安全性在产品设计阶段并不总是被视为重中之重。此外,由于物联网是一个新兴市场,许多产品设计师和制造商更感兴趣的是快速将他们的产品推向市场,而不是从一开始就采取必要的措施来建立安全性。

物联网安全引发的主要问题之一是使用硬编码或默认密码,这可能导致安全漏洞。即使密码被更改,通常也不足以防止渗透。

物联网设备面临的另一个常见问题是,它们通常受到资源的限制,不包含实现强安全性所需的计算资源。因此,许多设备不能或不能提供高级安全功能。例如,监控湿度或温度的传感器无法处理高级加密或其他安全措施。另外,因为很多物联网设备都是“置之不理”& # 8211;把它放在现场或机器上,直到它的生命周期结束& # 8211;他们很少收到安全更新或补丁。从制造商的角度来看,从一开始就建立安全性可能成本高昂,减缓开发速度,并导致设备故障。

连接本质上不是为物联网连接而设计的传统资产是另一个安全挑战。用连接技术替换传统基础设施成本太高,因此许多资产将通过智能传感器进行改造。但是,由于遗留资产可能尚未更新,或者曾经具有抵御现代威胁的安全性,攻击范围已经扩大。

在更新方面,许多系统只支持设置时间范围。对于旧资产和新资产,如果不添加额外的支持,安全性可能会失败。由于许多物联网设备在网络中停留多年,提高安全性可能具有挑战性。

物联网的安全性也受到缺乏行业公认标准的困扰。虽然物联网安全框架很多,但没有一个统一的商定框架。大公司和行业组织可能有自己特定的标准,而有些部门(如工业物联网)有行业领导者专有的、不兼容的标准。这些标准的多样性使得保护系统和确保它们之间的互操作性变得困难。

信息技术和操作技术(OT)网络的融合给安全团队带来了许多挑战,尤其是那些在其专业领域之外负责保护系统和确保端到端安全的团队。涉及到学习曲线,拥有适当技能的IT团队应该对物联网安全负责。

从制造商、服务提供商到最终用户,组织必须学会将安全性视为一个常见问题。厂商和服务商要优先考虑自己产品的安全性和隐私性,默认提供加密和授权。但责任并不止于此;最终用户必须确保他们采取自己的预防措施,包括更改密码、安装可用的补丁和使用安全软件。

明显的安全漏洞和物联网黑客攻击

自从物联网的概念起源于20世纪90年代末以来,安全专家一直在警告大量不安全设备连接到互联网的潜在风险。随后的一系列攻击成为头条新闻,包括用于向黑客发送垃圾邮件、渗透婴儿监视器和与儿童交谈的冰箱和电视。值得注意的是,很多物联网黑客并不是针对设备本身,而是利用物联网设备作为进入大型网络的切入点。

例如,2010年,研究人员透露,震网病毒被用来物理破坏伊朗的离心机。袭击始于2006年,但主要袭击发生在2009年。一般认为是最早的物联网攻击案例之一。Stuxnet是针对监控和工业控制系统(ICS)中的SCADA系统,利用恶意软件感染可编程逻辑控制器(PLC)发出的指令。

对工业网络的攻击只会持续,而CrashOverride/Industroyer、Triton、VPNFilter等恶意软件针对的是易受攻击的OT和工业物联网系统。

2013年12月,来自企业安全公司Proofpoint Inc .的研究员发现了第一个物联网僵尸网络。据研究人员称,超过25%的僵尸网络由计算机以外的设备组成,包括智能电视、婴儿监视器和家用电器。

2015年,安全研究人员查理·米勒和克里斯·瓦拉斯克(Chris Valasek)对吉普车进行了无线黑客攻击,更换了汽车媒体中心的电台,打开了挡风玻璃刮水器和空开关,并停止了油门。他们说还可以熄火,刹车,完全停止刹车。米勒和瓦拉塞克通过克莱斯勒的车载连接系统Uconnect渗透到汽车网络中。

Mirai未来组合是迄今为止最大的物联网僵尸网络之一。2016年9月,它首次攻击记者布莱恩·克雷布斯和法国网络主持人OVH的网站;攻击时钟分别为630千兆位/秒(Gbps)和1.1兆位/秒(Tbps)。在接下来的一个月里,域名系统(DNS)服务提供商Dyn的网络成为目标,这使得包括亚马逊、网飞、推特和纽约时报在内的许多网站几个小时无法使用。这些攻击通过消费物联网设备渗透到网络中,包括IP摄像头和路由器。

从那以后,许多Mirai未来组合变体出现了,包括哈吉姆,隐藏& # 8217;N Seek,Masuta,PureMasuta,恶人僵尸网络,Okiru。

在2017年1月的一份通知中,美国美国食品药品监督管理局(FDA)警告称,圣裘德医疗公司(St. Jude Medical)使用射频嵌入式系统的植入式心脏设备,包括起搏器、除颤器和再同步设备,可能容易受到安全入侵和攻击。

物联网安全工具与立法

物联网安全框架有很多,但到目前为止还没有一个行业公认的标准。但是,单纯采用物联网安全框架可以有所帮助;他们提供工具和清单来帮助公司创建和部署物联网设备。这些框架已经由GSM协会、物联网安全基金会、工业互联网联盟等机构发布。

2015年9月,联邦调查局发布了公共服务公告FBI AlarmNo。I-091015-PSA,警示物联网设备潜在的漏洞,提供消费者保护和防御建议。

2017年8月,国会出台《物联网网络安全改进法案》,要求出售给美国政府的任何物联网设备不使用默认密码,没有已知漏洞,并提供设备修复机制。对于那些制造出售给政府的设备的制造商,它为所有制造商应该采取的安全措施设定了一个基准。

同样在2017年8月,发展创新和发展物联网(DIGIT)法案在参议院获得通过,但仍在等待众议院的批准。该法案要求商务部召集工作组,制定物联网报告,包括安全和隐私。

虽然不是具体到物联网,但2018年5月发布的《通用数据保护条例(GDPR)》统一了整个欧盟的数据隐私法。这些保护延伸到物联网设备及其网络,物联网设备制造商应予以考虑。

2018年6月,国会通过《现代应用、研究与物联网法案趋势》或《SMART物联网法案》,提出商务部对物联网产业进行研究,为物联网设备的安全成长提供建议。

2018年9月,加州立法机构批准了SB-327《信息隐私:互联设备》,该法案引入了对在该国销售的物联网设备的安全要求。

Tags: 物联网  互联网  网络安全  物联网安全  TIPS 

站点信息

  • 文章统计32775篇文章
  • 标签管理标签云
  • 微信公众号:扫描二维码,关注我们