也许你已经听到最近很多事(物联网)的网络。物联网(参见:“所述的IoT:入门”在这片的端部),同时仍然在发展的早期阶段,正在慢慢做它的方式成为主流作为多个对象变得经由技术连接,例如射频识别(RFID)与互联网的iniquitousness。
不管物联网的发展如何发挥出在未来几个月和几年来,或有什么具体的计划,组织对部署相关项目,有明显会是安全隐患。IT和安全主管可能要开始想着今天物联网的安全问题,即使他们有通过互联网没有计划链接对象。
其中的主要安全问题是什么,如果有的话,新的挑战做物联网目前和企业如何才能最好的准备来解决呢?
专家表示,物联网的安全威胁非常广泛,甚至可能对系统造成严重损害。由于物联网将拥有关键的基础设施组件,它将成为国家和行业间谍活动、以及拒绝服务和其他攻击的好目标。另一个值得关注的主要领域是可能存在于网络上的个人信息,这些信息也可能是网络罪犯的目标。
有一件事评估安全需求时,要记住的是,物联网仍在进行中非常作品。
(产品:2013年最有趣的8件事]
“这一步并不难;马萨诸塞州剑桥市Forrester Research Inc.的首席分析师安德鲁•罗斯(Andrew Rose)说。2012年,她撰写了一份题为《让你的安全组织为物联网做好准备》(Prepare Your security Organization for the Internet of Things)的报告。
“很多东西都连接到互联网,现在,我们将看到在这个增长和上下文数据共享和基于这些信息自动机械动作的出现,”罗斯说。
物联网的关键安全考虑之一是,一个物体,无论是卡车、自动售货机还是药瓶,都将成为网络环境的一部分。
“物联网是将虚拟存在分配给物理对象,”罗斯说。“随着它的发展,这些虚拟存在将开始互动和交流上下文信息,[和]设备将基于这种上下文设备作出决定。这将导致非常现实的威胁,包括国家基础设施、财产(例如汽车和房屋)、环境、电力、水和食品供应等。”
随着各种各样的对象成为一个相互连接的环境的一部分,“我们必须考虑到这些设备已经失去了物理安全性,因为它们将被放置在不适宜居住的环境中,随时可以被最有动机篡改控制的个人访问,”Rose说。
攻击者可能会拦截、读取或更改数据,Rose补充道。“他们可以篡改控制系统和改变功能,所有这些都增加了风险,”他说。
弗吉尼亚理工大学的CISO和弗吉尼亚理工大学IT安全实验室主任Randy Marchany说,联网的打印机就是一个简单的例子,说明了网络设备如何成为安全威胁。
“每台打印机都有一个内置的(网络)服务器。把你的浏览器指向设备,你就会看到设备的控制屏幕/页面,”Marchany说。“默认情况下,大多数打印机都有一个‘空白’密码。你马上就能看出问题所在。是的,你可以更改密码,但信息通常不在“先读我”页面。
另一个问题是确保运行的Web服务器的版本不容易受到攻击。“升级运行在打印机上的(Web)服务器不是一件容易的事情,”Marchany说。“你通常需要进行固件升级,这取决于供应商。所以,默认的内置服务,比如Web服务器,以及无法对这些服务进行补丁/升级,是我认为在当今环境中需要解决的两个威胁。”
独特的挑战
涉及物联网实施的安全事故已经在发生。“大多数例子来自实验室或测试环境,”Rose说。“虽然已经发生了真实的例子,但由于担心可能造成的后果,很少有人愿意将责任归咎于外部攻击者。”
在最近的几个例子中,一个是研究人员侵入了两辆汽车,通过无线方式使刹车失灵,关掉灯,然后完全打开刹车——“所有这些都超出了司机的控制范围,”罗斯说。在另一个案例中,一艘豪华游艇被研究人员破解了用于导航的GPS信号,从而偏离了航线。
罗斯说:“人们发现,家庭控制中心很容易受到攻击,攻击者可以篡改暖气、照明、电源和门锁。”他说,其他案件涉及工业控制系统通过其无线网络和传感器遭到黑客攻击。
“我们已经看到砍死电视机和摄像机[和]已经提出了隐私问题,以及迄今已被用来窃取电力甚至砍死电表子监视器,补充说:”保罗·亨利,在安全咨询公司的主要互联星空安全LLC在博因顿海滩,佛罗里达州,并在SANS研究所,在马里兰州贝塞斯达的一个合作研究和教育机构的高级讲师。
“最近的一篇文章提到了‘被黑的灯泡’,”亨利说。“我能想象出一种蠕虫,它会破坏大量的联网设备,并将它们聚集到某种僵尸网络中。记住,坏人想要的不仅仅是设备的价值或能力;这是它在DDoS(分布式拒绝服务)攻击中可以访问和使用的带宽。”
Henry说,最大的担忧是物联网设备的用户不会认为他们所连接的设备的安全性是非常重要的。他表示:“问题在于,一个受到攻击的设备的带宽可能被用来攻击第三方。”“想象一个有1亿个物联网设备的僵尸网络,它们同时在你的公司网站上发出合法的网站请求。”
专家们说,物联网将有可能创造独特和在某些情况下,组织复杂的安全挑战。
“随着机器变得自治,它们能够与其他机器进行交互,并做出对物理世界有影响的决定,”罗斯说。“我们已经看到自动交易软件的问题,它会陷入一个循环,导致市场下跌。这些系统可能内置了故障保险,但这些是由容易犯错的人编写的,尤其是当他们编写的代码以计算机程序可以操作的速度(和)频率工作时。”
物联网的安全威胁也可能导致广泛的问题,可能对很多人产生影响,罗斯说。
罗斯表示:“如果当前系统的安全性出现问题,我们可能会看到几百张信用卡信息被盗,或者某位政客陷入尴尬境地——但这些都不是大问题。”“想象一下,如果一个电力系统被黑了,他们关掉了城市某个地区的灯。也许对很多人来说没什么大不了的,但对成千上万在漆黑的地下几百英尺的地铁站里的人来说,差别是巨大的。物联网允许虚拟世界与现实世界互动,这带来了很大的安全问题。”
说,物联网将带来三大“大规模”的安全问题,泰德戴福瑞,安全达勒姆咨询公司戴福瑞Associates的创始人,这些新罕布什尔州包括隐私损失,个人和公司数据的comingling和发现。
隐私的损失将来自追踪个人行踪的能力,以及他们所购买的物品或者他们是否是离家出走。“我们大多数人携带手机24/7被连接到手机天线塔,以及数据存在今天来追踪我们的行动,”戴福瑞说。
Demopoulos说:“像智能电表这样简单的东西有可能被用来根据用电量来判断我们是在家还是出去了一段时间,我们是夜猫子还是早起鸟等等。”
至于个人和公司数据的融合,这是许多组织已经面临的相同挑战,因为移动技术在工作场所的使用越来越多,自带设备(BYOD)的趋势也越来越明显。
“智能手机是无处不在,有时也被公司所拥有,有时由员工所有,有时一个奇怪的混合,其中员工购买电话和公司给他们钱朝它,”戴福瑞说。
这个问题有技术上的解决方案;例如,使用数据加密和远程清除信息。但这又引发了需要解决的进一步问题。“公司可以合法地删除数据吗?”Demopoulos says. "In some cases it is not clear. Technical solutions do not address legal issues here."
发现涉及的问题包括攻击者能够通过RFID和类似技术远程读取个人护照或其他身份证。Demopoulos说:“在很多情况下,技术上的解决方案是可行的或已经存在的,但它们很少涉及伦理问题,包括隐私和法律问题。”
我们能做些什么呢?
尽管物联网面临的威胁与其他技术领域的威胁一样,总是存在,但使用数据加密、强大的用户身份验证、弹性编码和标准化且经过测试的api等安全工具来提高物联网环境的安全性是有可能的,这些安全工具的反应方式是可预测的。
一些安全工具需要直接应用到连接的设备上。
“物联网及其表弟BYOD具有相同的安全问题,传统的电脑,” Marchany说。“不过,物联网设备通常没有能力为自己辩护,并有可能要依靠独立的设备,如防火墙[和]入侵检测/防御系统。创建一个单独的网络段是一个选项。”
事实上,他们自己的设备上缺少的安全工具或设备上缺乏及时的安全更新是什么可以使固定物联网某种程度上更与其他类型的安全举措困难,Marchany说。
“物理安全可能是一个更大的问题,因为这些设备通常是在开放的或偏远的地方,任何人都可以通过物理访问它,”Marchany说。“一旦有人能够实际访问该设备,安全担忧就会急剧上升。”
它不会是销售商提供物联网技术最有可能还没有设计安全到他们的设备的帮助下,Marchany说。“从长远来看,IT管理人员应该开始要求供应商断言[是]他们的产品不容易受到普通攻击,例如那些在OWASP [开放Web应用安全项目]十大网站列出的漏洞,”他说。IT和安全主管应该“要求供应商名单,他们知道他们的设备上存在作为购买过程的一部分的漏洞。”
但专家表示,保护设备不只是供应商的责任。IT和安全主管将需要掌握连接到公司网络的设备类型。
“为了确保互联网上的东西,我们需要知道什么事情,我们有作为第一步,”戴福瑞说。有很多方法,有可能找到,究竟什么是网络上,他说,包括网络聚合点被动监听,并与定期运行自动化工具扫描网络。
Demopoulos说:“这在今天行得通,但在未来行不通。”“我们将生活在一个不断增长的IPv6和IPv4的世界。你不能扫描IPv6子网,所以这项技术不会工作。IPv6子网实在是太大了。组织需要现在就开始计划如何在未来进行设备发现。确保这些设备安全的第一步是知道它们在那里。”
安全需要建立在物联网作为系统的基础上,“这就是公然没有发生,”罗斯说。“我们需要安全的地方在技术链的最有能力的点,然后将其置于严格的有效性检查,验证,数据验证等。此外,所有的数据需要被加密。”
在应用程序级别,软件开发组织需要更好地编写稳定、有弹性和值得信任的代码,Rose说。他说:“他们可以通过更好的代码开发标准、培训、威胁分析和测试来实现这一点。”“不幸的是,它们总是依赖于它们下面的逻辑层,(例如)硬件、虚拟化层和操作系统。”
这些层需要审查和硬化,以确保平台的安全是一路上涨,罗斯说。“此外,由于系统互相交流,这是必须有一个一致的互操作性标准,这是稳如泰山,他说,‘这些都是在其物联网将建立的基础。’
物联网:入门