物聯網技術提供了許多顯著的好處。它們可以使複雜的任務變得更簡單、更容易,而且比以往任何時候都更具成本效益,比如跟蹤數千輛汽車的車隊、監控和調整製造流程,或者使智能家庭或辦公室自動化。然而,通過將物聯網設備引入我們的家庭、工作場所和公共空間,我們也暴露了新的攻擊面。當我們指派物聯網系統負責一項關鍵任務或信任它監控我們最私密空間中的敏感信息時,我們希望確保該系統是可信的。因此,在開發物聯網解決方案時,在所有階段應用安全最佳實踐是至關重要的。
熟悉的老朋友
儘管物聯網系統引入了許多新的安全注意事項,但我們還必須記住所有舊的互聯網安全最佳實踐。許多物聯網系統的目標是監視信息並將其提供給人類用戶。我們需要確保使用最佳實踐進行用戶管理、授權以及身份驗證和數據存儲。哈希密碼、清理輸入、對所有連接使用SSL以及使用諸如雙因素身份驗證之類的工具是整個技術行業的標準做法。物聯網領域也不例外。
由於物聯網系統收集和生成的信息往往是敏感的,有時是個人性質的,因此訪問控制也至關重要。許可需要在項目、子系統、設備類別甚至特定設備級別的基礎上加以考慮。創建物聯網解決方案的最重要步驟之一是考慮誰應該有權訪問哪些數據。雖然由於涉及的設備數量太多,這種類型的系統的許可可能比其他許多系統更細粒度,但也適用相同的基本原則。
新視野
除了所有熟悉的安全考慮之外,物聯網系統還引入了許多新的風險和危險。
對於任何考慮部署IoT系統的公司來說,確定可信賴的硬件合作伙伴都是至關重要的,因為IoT系統固有的許多安全風險都始於硬件級別。
物聯網設備存儲並使用加密密鑰通過網關在更廣泛的互聯網上傳輸數據。訪問這些加密密鑰可以使惡意行為者欺騙設備數據並在物聯網系統上造成嚴重破壞。由於在許多情況下無法像對傳統計算設備那樣嚴格地控制對這些設備的物理訪問,因此採取措施防止物理設備級別的篡改非常重要。在某些情況下,如果專有數據和代碼存儲在設備上,則設備甚至可能自我破壞,當檢測到未經授權的訪問時,會破壞所有板載數據。
在物聯網設備控制涉及業務運營和人身安全的物理流程的世界中,不能適當地保護物聯網硬件可能導致收入損失,或者在最壞的情況下會導致生命損失。即使是看似不那麼凶險的攻擊,也可能對公司的品牌和客戶的信任造成極大損害。最近針對物聯網設備(尤其是網絡攝像頭)的攻擊就是最好的例子,目的是創建用於發起分佈式拒絕服務(DDOS)攻擊的巨型殭屍網絡。這些類型的攻擊的一個關鍵部分是攻擊不會被檢測到。從本質上講,這些攻擊不會立即破壞目標公司的硬件和軟件系統。一旦發現並洩露了公司的IoT設備已遭到破壞,客戶對該公司產品的信任就會喪失。
在許多方面,物聯網軟件解決方案只有在硬件提供數據的情況下才有效果。如果黑客要進入設備、提取其加密密鑰或用惡意代碼給固件打補丁,就很難檢測出該設備已被入侵,因為在不對稱的現實世界中生成的物聯網數據通常是不可預測的。但是,運行數據分析以確保設備按預期報告是很有幫助的。例如,如果一個設備報告的頻率似乎比預期的要高,這可能是一個信號,表明該設備的唯一id正在被用來欺騙數據。在數據上設置邊界和期望可以突出顯示數據不規範,這些數據可能表明網絡上存在不法活動。在許多情況下,知道設備的消息規範應該遵循的確切參數,並且只允許某些類型和字段的數據被寫入存儲器或對其執行操作,也是合適的。
未來的物聯網安全
隨著由數千甚至數百萬設備組成的物聯網解決方案的引入,這些系統的攻擊面可能比任何其他系統都要大。然而,平衡這些風險是巨大的、改變世界的回報的希望。通常情況下,與經驗豐富的物聯網解決方案提供商合作是至關重要的,他們可以幫助你駕馭這個新的、令人興奮的、有時甚至是可怕的世界。