像任何快速发展的技术一样,物联网(IoT)也遇到了许多“增长疾病”,其中最严重的是安全性问题。 连接到网络的“智能”设备越多,未经授权访问IoT系统以及攻击者对其功能的使用所带来的风险就越高。 如今,许多公司和组织在IT领域的努力旨在寻找解决方案,以最大程度地减少阻碍物联网全面实施的威胁。
聪明但脆弱
物联网概念的发展及其在各个领域的实现提供了数百亿个独立设备的存在。 根据
Statista门户网站的数据
,到2017年,已经有超过200亿个网络连接,到2025年,预计至少有750亿个连接到网络,并通过网络传输与其功能相对应的数据。 数据和功能都是攻击者的目标,这意味着它们必须受到保护。
对于物联网设备,安全性主要在于代码的完整性,用户(设备)的身份验证,所有权(包括其生成的数据)的建立以及抵御虚拟和物理攻击的能力。 但是实际上,当今运行的大多数IoT设备都没有配备安全功能,它们具有外部控制界面,默认密码,也就是说,它们具有Web漏洞的所有迹象。
我们仍然记得一年前的事件,当时Mirai僵尸网络通过选择默认登录名和密码的组合,入侵了许多摄像机和路由器,这些摄像机和路由器后来被用于对提供商网络英国邮政局,德国电信,TalkTalk,KCOM和Eircom进行强大的DDoS攻击。 在这种情况下,物联网设备的“引导”是使用Telnet进行的,并且路由器使用TR-064和TR-069协议通过端口7547进行了黑客攻击。
但是,最令人共鸣的也许是使DNS运营商DYN遭受的攻击,几乎使美国成为“半个互联网”。 对于僵尸网络攻击,最简单的方法是使用默认的设备登录名和密码。
这些事件清楚地证明了物联网系统中的差距以及许多智能设备的脆弱性。 显然,除了主人的沮丧之外,某人的智能手表或健身追踪器的故障不会造成多大危害。 但是,尤其是将黑客攻击作为M2M系统和服务一部分的IoT设备集成到关键基础架构中,带来了不可预测的后果。 在这种情况下,其安全程度应与以下基础设施或运输基础设施,运输能源或其他基础设施的重要性相对应:人的重要活动和经济工作赖以生存。 同样在家庭一级,同一“智能”房屋系统的故障和攻击可能导致当地社区或其他紧急情况和危险情况。
当然,在互联网时代之前,对基础设施的威胁也存在-例如,由于相同的自然灾害或设计者的错误。 但是,随着连接到网络的设备的出现,又增加了一个设备,而且可能更严重了一个数量级-网络攻击。
设备认证
由于开发人员的技术愚蠢或粗心大意,因此没有出现IoT设备的现有安全问题。 在这里,耳朵会坚持清醒的计算:进入市场的速度比竞争对手有优势,尽管时间不长,甚至是由于安全门槛较低。
大多数制造商不花时间和金钱来开发和测试其“智能”产品的代码和安全系统。
让他们重新考虑其对IoT产品安全性态度的一种方法是认证。 这个想法并不新鲜,但是仍然值得关注,至少这至少是解决问题的某种方式。 物联网设备的认证程序不应官僚化,并向购买者保证其具有一定程度的针对黑客攻击的保护。 首先,可以在进行州和公司采购时指出需要安全证书。
如今,几家私营公司也参与了认证问题。 特别是,在线信任联盟(OTA)主动发布了
IoT Trust Framework ,以解决州和制造商级别的IoT安全问题
.IoT Trust Framework是针对开发人员,设备制造商和服务提供商的标准清单,旨在改善其安全性,隐私和生命周期。物联网产品。 首先,它侧重于连接的家庭,办公室和可穿戴设备,是一种推荐行为准则,是一些认证和风险评估计划的基础。
今年,Verizon的独立部门ICSA Labs
启动了一项安全测试
程序 ,并对IoT设备进行了认证。 根据其开发人员的说法,它是同类产品中的第一个,并且正在测试诸如通知/日志记录,加密,身份验证,通信,物理安全性和平台安全性之类的组件。 经过认证的设备将带有特殊的ICSA Labs认可标志,以表明它们已经过测试并且发现的漏洞已得到修复。 此外,还将在整个生命周期内对经过认证的设备进行监视和定期测试,以维护其安全性。
反过来,UL网络安全保证(CAP)
测试和认证计划旨在确保产品和系统的安全。 CAP认证证明产品或系统提供了合理级别的保护,可防止可能导致意外或未经授权的访问,更改或故障的风险。 此外,CAP还确认认证产品或系统的将来补丁,更新或新软件版本不会降低评估时的保护级别。
但是,许多物联网安全专家认为,从此类认证计划中获得的最大好处将是不仅对特定设备进行测试,而且对整个生态系统(其基础设施,应用程序等)进行测试。 毕竟,经过测试且安全的IoT设备也可能在系统内的交互过程中发生故障。
认证计划在物联网发展方面具有不可否认的优势,因此不利。 仅通过测试设备和获得证书的事实不能保证其安全性的100%,因为它很可能仍存在某些缺陷。 对安全证书的过分信任会给有个性化需求和设备各种应用程序的用户带来麻烦,这意味着他们自己的风险和威胁。 而且,当然,也不排除滥用的可能性。 当然,有些制造商将为追求纯粹的商业目标而支付“准认证”的费用。
通过认证来解决安全问题的全球解决方案似乎需要统一的解决方案,这是所有制造商生产安全设备的共同动机,并且消费者不要购买那些未经任何方式证实其安全性的产品。 它应该是立法的,经济的还是惩罚性的,尚待决定。 最终,结果应该是全球物联网系统的安全性。
区块链技术
物联网的安全性是使用区块链技术的最早领域之一。 得益于分布式注册表技术,可以为网络上的IoT设备提供高级别的安全性,并消除与集中化相关的IoT的现有限制和风险。
它使您可以在分散式系统中快速安全地保存交换协议和各种物联网设备的交互结果。 区块链的分布式架构保证了整个物联网系统的足够高的安全性。 但是,如果某些网络设备仍然受到黑客攻击,通常这不会影响系统的整体运行。 僵尸网络提到的在物联网系统中工作的“智能”设备的使用由于其安全性较弱而成为可能。 分布式信任类型使您可以摆脱被黑客入侵的设备,而不会对“健康”对象之间的整个交互模型造成明显破坏。
在安全性背景下,如今,区块链可用于物联网发展最为迅速的许多领域。 例如,这是身份验证管理,检查各种服务的运行状况,确保信息的不可分割性等。 在今年年初,包括思科,BNY Mellon,博世,富士康在内的许多领先公司组成了一个
财团 ,该
财团将找到使用区块链提高安全性并改善IoT产品交互性的解决方案。 其成员为自己设定的主要任务是在分布式数据库的区块链技术和物联网设备之间的信息交换协议的基础上进行开发。
请注意,2017年1月,美国国土安全部开始使用区块链技术来保护,传输和存储部门从视频监控摄像头和各种监控传感器收集的数据。 美国国防部的一个部门DARPA也对该技术进行了测试,该部门负责监督陆军新技术的开发。 此外,在五角大楼屋檐下进行研究的机构之一与软件公司Galois签署了一项价值数百万美元的合同,该公司正在开发区块链领域的安全性。
如今,已经很明显,要在不解决安全和隐私问题的情况下,很难实现物联网概念可以为用户提供的所有可能性。 当然,上述保护物联网的方法并不详尽;许多团体,公司和发烧友正在努力解决该问题。 但最重要的是,物联网设备的高安全性应该是其制造商的首要考虑。 最初,可靠的保护应该成为产品功能的一部分,并成为复杂物联网解决方案制造商和供应商的新竞争优势。