如何提高物联网安全

这一趋势打造物联网设备和设备制造令人生畏的安全挑战。研究人员说,解决这个问题的唯一方法是创建安全文化。

思想库

海啸大小的趋势与传感器和执行器和连接设备,设备和家电互联网安全的姿势,安全和隐私风险加智力。

证据来自名为最近的一项荟萃​​研究可侵入物的互联网(pdf)来自丹麦技术大学的研究人员;据英国大学、瑞典;俄罗斯伊诺波利斯大学(Innopolis University, Russian federation)根据行业和学术研究报告编制的报告发现,医疗、智能家居和建筑中使用的智能设备存在令人生畏的风险。

作者量化的事(物联网)设备上网的风险:

  • 90%设备中的至少收集经由设备的一些信息
  • 设备的80%,他们的云计算和移动部件一起,并不需要密码足够复杂
  • 设备的70%,与他们的云和移动部件一起,使攻击者识别通过枚举有效用户帐户
  • 70%的设备使用未加密的网络服务
  • 6出10个设备的,所提供的用户界面容易受到一系列缺点,如持续XSS1弱凭证

作者使用的一些数据和例子有些过时。然而,它们仍然是一个问题,因为大多数这些设备仍然在使用,特别是医疗设备。

特别是,像CT扫描仪这样的智能设备被证明有受到攻击的危险,这种攻击能够将辐射暴露限制提高到有害或致命的水平。另一个潜在致命的弱点是植入式心脏复律除颤器(ICDs),它可以自动地使病人休克,使其心跳停止。植入后,他们使用一个蓝牙栈,里面的密码很弱,很容易被破解。

为什么我们有物联网的安全问题

物联网架构的原因造成这些缺陷和弱点暴露:

  • 它意味着复杂的分布式系统,以及大量不同的(有时是过时的)操作系统、编程语言和硬件。
  • 即使开发的物联网设备可能是不平凡的一个简单的应用程序。
  • 确保应用程序甚至不太容易,因为攻击面是巨大的(任何设备可能是一个可能的入口点),并定义所有的潜在威胁事先所有的潜在威胁是极具挑战性。
  • 所包含的数据是敏感的,对当今的市场非常有价值,任何成功的攻击者都有巨大的潜在收益和很高的吸引力。

大多数风险被认为是金融方面的。然而,作者举出了一些例子来反驳这一观点。健康记录实际上可能比银行和信用卡信息更有价值。例如,一份包含社会安全号码、地址、儿童和工作等身份信息的健康记录,每一份的价格可能高达500美元。

这不是一个理论上的估计。7880万Anthem客户和1.13亿民权用户的身份数据遭到了破坏。这些信息在黑暗网络上卖给出价最高的人。

谁负责物联网安全?

对一些风险的责任归因于设备制造商:

  • 只有48%的企业集中在他们的设备的安全性从开发阶段开始。
  • 只有49%的组织为他们的设备远程更新。
  • 只有20%雇佣物联网安全专家。
  • 只有35%邀请安全研究人员识别他们设备中的漏洞。

应当指出的是,这个数据的来源是来自凯捷2015年的研究。

物联网的竞争类似于Windows和Android产品的早期历史,当企业匆忙设计并向一个快速增长的市场交付产品时,往往忽视了安全性。

该报告的作者数学上表示这个问题:

物联网安全公式 N.龙,A. Giaretta和M.Mazzara

使问题复杂化,当你有设备制造商和制造商添加传感器,摄像头和连接一切从医疗设备到智能电视的多样化的生态系统,你得到的不同和多样化的平台架构的生态系统。没有一个平台公司,如微软和谷歌,具有资金和技术人才回填良好的安全性为平台,如Windows和Android。

根据Capgemini的一项调查,当被要求对行业内产品遭受网络攻击的弹性进行排名时,物联网高管表示,这些物联网平台的安全性还不够成熟。虽然他们可能对自己的产品有不同的看法,但他们对行业产品中设计的网络防御没有很高的信心。

物联网设备的安全性调查 N.龙,A. Giaretta和M.Mazzara

高管的百分比谁在自己的行业评定的物联网产品具有高度弹性的网络攻击

还有比在此荟萃研究编制,使该嵌入到设备,设备和电器滥连接改善客户体验,并为制造商提供的分析的情况下违规行为,攻击和漏洞足够的例子更多,但它可能会导致不可收拾的漏洞。

Windows和Android的早期发展过程中也面临这个问题,但有一点不同。所有这些异构互联的物联网设备建立一个大生态系统的制造商,网络罪犯需要找到只有一个薄弱点。

如何解决物联网的安全问题

有争议的是,作者称物联网安全问题不是技术问题;它的文化。

作者写道:“最后,我们通过这次旅行了解到,物联网安全的主要问题和担忧在于,我们的社会几乎不存在安全文化。

他们说,解决办法是整合人类的理解和算法。他们建议创建和加强一种安全文化,在这种文化中,安全贯穿于物联网产品的整个开发生命周期,而不是将安全视为单个实例。

“这显然是有几个方面一个长期目标:开发者必须接受教育采用的特定的应用领域内保护他们的物联网设备的最佳做法;普通公众必须接受教育重视安全问题,太,除其他事情将修复不改变默认密码的问题,”作者写道。

做这些事情会防止另一个物联网僵尸网络攻击,如未来的恶意软件这导致了创纪录的分布式拒绝服务(DDoS)攻击,以1.2 Tbps的请求达到目标。除了创纪录的请求率之外,Mirai恶意软件还以其简单性而著称。在穿越互联网和封闭节点的过程中,它只使用了50个用户名和密码组合的字典,从而获得了对数千台设备的访问权限,并将它们束缚起来,形成了一个物联网僵尸网络。

阅读更多:

加入对网络世界的社有个足球雷竞技app区脸谱网LinkedIn对最重要的话题发表评论。
有关:

史蒂文•马克斯•帕特森(Steven Max Patterson)住在波士顿和旧金山,他跟踪并撰写有关软件开发平台、移动、物联网、可穿戴设备和下一代电视的趋势。他的写作受到了他20年的经验的影响,这些经验包括对原始的科技创业公司的报道和工作。

版权所有©2017年Raybet2

IT薪资调查:结果是