物联网安全:挑战和解决方案
信贷:Wilgengebroed Flickr, CC 2.0,通过维基共享
作者:林博士羌族
被认为是第一个物联网设备(物联网),的烤面包机约翰Romkey创建通过互联网可以开启和关闭在10月的89互操作会议!从那时起,越来越多的人已经开始使用物联网设备。简单地说,物联网与互联网连接设备,从简单智能的事情灯泡和咖啡机复杂的机器人和无人驾驶飞机。
数以十亿计的连接设备(例如,亚马逊Alexa和特斯拉汽车)向世界各地的人们提供新的体验。不幸的是,作为嵌入式,模糊,相互依存和不断引入物联网产品和服务,我们已经失去了一些能力知道这些技术存在,或他们如何影响我们。此外,这种增长会带来安全风险增加——黑客很快目标这富有,但脆弱,景观。一个分布式拒绝服务(DDoS)攻击,发生在2016年10月21日,降低了Twitter, Netflix, CNN。这是使用Mirai僵尸网络策划,由100000年“恶意”物联网数码相机和录像机等设备一个非凡的攻击强度为1.2真沸点。
换句话说,物联网是无处不在的,但不够成熟是完全安全的。今天我们面临的很多物联网安全威胁,如这些:
- 缺乏合规:新物联网设备几乎每天都有,许多未被发现的漏洞,因为制造商不花足够的精力安全。
- 缺乏用户意识:而不是直接针对设备,黑客的目标通过社交工程攻击人类使用物联网设备。
- 不合时宜的设备更新:更新维护安全的关键,应该尽快的更新漏洞出现。然而,一些物联网设备继续操作没有必要的更新。
- 缺乏硬化:很多物联网设备自动操作无需用户干预,但他们应该是身体上的安全,是防篡改。
- 僵尸网络攻击:单一设备感染恶意软件的危害并不大,但他们可以推翻任何的集合。
- 工业间谍活动:间谍和入侵通过物联网设备严重的,敏感数据可能就会大打折扣。
- 劫持:700万年ransomware袭击是在2020年第三季度报告!
- 数据完整性在医疗风险:如果黑客获得医疗设备,控制设备可以发出错误的信号,使医疗从业人员采取不恰当的行动,因为他们照顾病人。
- 流氓设备:自备设备(BYOD)实践在企业和家庭网络变得更加普遍,流氓,甚至恶意,介绍了设备,收集或修改敏感信息。
应对各种物联网的安全威胁和风险,我建议一个基础课物联网安全体系结构实现深度防护效果,如图1所示。
图1——但是物联网安全体系结构
物联网设备必须安全设计,或内在安全,而不是附加安全或外在安全,因为大部分物联网设备关闭。“换句话说,客户无法添加安全软件。有人尝试,这种篡改可能无效保修。此外,物联网设备软件开始运行后,必须保护不断。基于主机的保护将帮助,包括物理硬化,封锁,network-facing入侵预防。
不幸的是,漏洞最终将出现在操作设备时,此时设备将需要修补。然而,没有人愿意访问每个设备的更新。因此,在空气(OTA)更新通过无线通信(即。,making it possible for companies to roll out new patches without having to recall those devices) should be built into IoT devices before they are deployed.
网络层
这一层保护物联网设备和云计算之间的沟通,包括:
- 对称或秘密密钥加密:发送方和接收方使用相同的密钥进行加密和解密。对称加密需要更少的计算资源和跑得快。然而,加密密钥分配仍然是一个主要问题。
- 不对称或公钥加密:每个物联网设备两套一个公钥和一个私钥加密过程。公钥是已知的(即“公众”。,any other devices and the cloud), but the private key is only held by the owner device. The sender will use the receiver’s public key to encrypt the message, then send the encrypted message to the receiver. The receiver will use its private key to decrypt the encrypted message. Asymmetric encryption avoids the key distribution issue but requires more computing resources and takes longer to encrypt and decrypt.
- 身份认证:物联网设备可以使用传统的验证密码,但公共密钥身份验证下一步提高物联网安全因为很多物联网设备操作而无需人工干预。公共密钥身份验证要求每个设备第一次得到一套公钥和私钥,然后得到它的数字证书(有它的公钥编码)证书颁发机构(CA),所以可以使用数字证书后,确认所有权的公钥证书的物联网设备命名。
- 传输层安全性(Transport Layer Security, TLS)或安全套接字层(SSL)协议安装公开可信的TLS或SSL证书身份验证和加密。
云层
云层的门将是物联网生态系统,负责物联网设备的生命周期管理,包括:
- 公共和私人密钥对生成、招生、分配、管理,并通过一个撤销公钥基础设施(PKI)
- 身份管理和访问控制
因为大多数物联网设备与云通信,包括用于数据交换、传统的端点安全措施,如杀毒软件,防火墙,入侵预防和保护云检测是很重要的。此外,三个措施是必要的:
- 安装一个物联网安全分析能力(例如,收集、汇总、监控和规范化数据从物联网设备)在云中提醒安全工程师对任何异常(例如,怀疑甚至恶意事件)。
- 监测物联网设备(例如,用于医院医疗设备)使用分析作为临时解决方案升级时将需要数年时间。
- 识别高优先级目标物联网生态系统和特别关注他们(例如,网络网关),考虑到可能会传播到整个网络的攻击如果没有发现得早。
人,流程层
这一层定义了物联网安全人员和流程能做什么,包括:
- 创建物联网安全战略、流程和政策的企业。
- 实现基于角色的访问控制和基于策略的物联网生态系统以避免意外人为错误和恶意攻击。
- 遵循最佳实践,如诺顿的提示为了保证物联网设备。
- 培训的人访问和使用物联网设备,使他们意识到和负责物联网安全——知道注意,做,避免物联网安全事故。
- 执行不同的测试和评估整个物联网生态系统和生命周期,如设备、云,和移动应用程序测试,集成测试,网络渗透测试,甚至对某些设备的反向工程。
- 引用一个行业物联网设备安全等级在购买新设备和政府物联网安全建议当可用。
- 意识到物联网安全法律,包括两个来自美国的法律加州sb - 327,2018年通过的俄勒冈州众议院法案2395,于2019年通过,以及英国守则,于2018年出版。
物联网的安全已经成为一个越来越重要的联邦机构和企业整体网络安全。斜方一直在网络安全的前沿研究和联邦机构和企业的受信任的顾问。特别是,斜方已在全球建立了一个可访问知识库,主教法冠ATT&CK®,提出了对手的战术和技术基于真实世界的观察。ATT&CK的一个领域互联网访问设备,对应于物联网安全。与此同时,斜方也是建筑网络分析库(汽车)基于ATT&CK分析的知识库。
随着越来越多的传感器嵌入在先进的系统,如f - 35的传感器融合系统,病人监控解决方案,智能城市,随着更多的事情变得相互关联,它正变得越来越迫切需要加强物联网安全国家安全的原因,使一个更安全的生活对于我们个人。
羌族林是一个斜方和兼职教师信息系统工程师在乔治梅森大学电子与计算机工程系。他之前在德勤工作,上汽,西弗吉尼亚大学计算机工程博士学位。
©2020斜方manbetx客户端首页公司。保留所有权利。批准的公开发布。无限的分布。20 - 3577
横切为导向的团队致力于解决问题的一个更安全的世界。通过公私伙伴关系和联邦政府资助研发中心,我们在政府工作,与行业合作应对挑战的安全、稳定和幸福。了解更多主教法冠。
参见: