《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 智能設(shè)備和物聯(lián)網(wǎng)的三大關(guān)鍵安全問題

智能設(shè)備和物聯(lián)網(wǎng)的三大關(guān)鍵安全問題

2021-03-31
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  編者按:不安全的、與互聯(lián)網(wǎng)連接的硬件設(shè)備的范圍和危險(xiǎn)程度在持續(xù)增加。物聯(lián)網(wǎng)(IoT)設(shè)備交互方式的快速變化,創(chuàng)造了一個(gè)前所未有的安全漏洞定義的格局。對(duì)此,本文章討論了與其有關(guān)的三個(gè)主要安全問題以及一些相應(yīng)的修復(fù)方法。智能設(shè)備和物聯(lián)網(wǎng)中存在的三個(gè)安全問題為:不安全的API接口、過時(shí)的固件更新機(jī)制、隱私保護(hù)不足。

  2020年12月,F(xiàn)orescout發(fā)現(xiàn)了33個(gè)影響四個(gè)開源TCP/IP堆棧的漏洞,全世界數(shù)百萬(wàn)臺(tái)設(shè)備都在使用這些堆棧。它們?cè)试S攻擊者以智能家居或自動(dòng)化工業(yè)環(huán)境為攻擊目標(biāo),并幾乎使用任何設(shè)備作為網(wǎng)絡(luò)的入口點(diǎn)。

  根據(jù)IBM的數(shù)據(jù),數(shù)據(jù)泄露的平均成本不到400萬(wàn)美元,組織識(shí)別和控制數(shù)據(jù)泄露平均需要280天。同時(shí),僵尸網(wǎng)絡(luò)的破壞性潛力在過去幾年中不斷增長(zhǎng)。他們傳播惡意軟件、發(fā)動(dòng)分布式拒絕服務(wù)(DDoS)攻擊、并在社交媒體上傳播虛假信息。

  一、不安全的API連接

  應(yīng)用程序編程接口廣泛用于設(shè)備之間的相互通信,但很少以強(qiáng)大的安全性構(gòu)建。例如,當(dāng)數(shù)據(jù)分析師直接訪問數(shù)據(jù)庫(kù)時(shí),大多數(shù)安全系統(tǒng)都會(huì)記錄該用戶的姓名和角色。但是外部用戶可能不必提供這些憑據(jù)。因此,兩個(gè)日志條目可以是這樣的:

  ● John_Smith:數(shù)據(jù)分析師–172.20.118.97

  ● 應(yīng)用程序用戶:服務(wù)賬戶–172.20.0.159

  其中只有一個(gè)提供了有關(guān)用戶身份的有用信息。如果智能設(shè)備和物聯(lián)網(wǎng)設(shè)備無(wú)法收集有用的數(shù)據(jù),則會(huì)缺乏端到端的網(wǎng)絡(luò)可見性。

  網(wǎng)絡(luò)罪犯分子會(huì)在互聯(lián)網(wǎng)上搜尋公開的API令牌,這是快速創(chuàng)建和利用由僵尸物聯(lián)網(wǎng)設(shè)備組成的巨大僵尸網(wǎng)絡(luò)的最簡(jiǎn)單方法之一。

  如何解決API連接問題

  安全工程師和企業(yè)IT團(tuán)隊(duì)?wèi)?yīng)該像對(duì)待數(shù)據(jù)網(wǎng)關(guān)那樣對(duì)待應(yīng)用程序和API,這意味著要檢查API連接以進(jìn)行面向安全性的更改。如果物聯(lián)網(wǎng)設(shè)備具有任何外部連接能力,則應(yīng)將其配置為對(duì)傳入的用戶請(qǐng)求進(jìn)行安全分類,并阻止未經(jīng)授權(quán)的請(qǐng)求。開發(fā)人員需要告知安全專業(yè)人員有關(guān)可能不為人所知的“影子API”。團(tuán)隊(duì)必須共同努力,以確定已棄用和過時(shí)的API。

  限制和監(jiān)視API訪問可能很重要。使用OAuth行業(yè)標(biāo)準(zhǔn)是一種理想的方法。它包含一個(gè)“設(shè)備授權(quán)類型”參數(shù),用于容納輸入功能受限的設(shè)備,如大多數(shù)IoT設(shè)備。

  二、過時(shí)的固件更新機(jī)制

  IoT提供了一種通過破壞單個(gè)設(shè)備在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)的功能。這些設(shè)備通常以無(wú)線方式接收固件更新,從而使它們更具吸引力,且更容易成為攻擊目標(biāo)。

  但是,面臨風(fēng)險(xiǎn)的不僅僅是大規(guī)模生產(chǎn)的消費(fèi)類硬件?;A(chǔ)設(shè)施和重型工業(yè)工具都會(huì)受到惡意固件的攻擊。2015年,烏克蘭一家主要電站發(fā)生的網(wǎng)絡(luò)攻擊就涉及惡意固件。

  如果物聯(lián)網(wǎng)設(shè)備繼續(xù)激增,則需要采取新的安全措施以保護(hù)其免受惡意固件更新的侵害。隨著每個(gè)人繼續(xù)投資于處理自己的固件更新的遠(yuǎn)程管理工具,這些類型的攻擊將變得越來越頻繁。

  如何解決固件安全漏洞

  任何想要保護(hù)IoT固件更新的人都會(huì)立即面臨一個(gè)基本挑戰(zhàn),如何保護(hù)沒有用戶/密碼憑據(jù)的設(shè)備?可以使用專門為用戶身份驗(yàn)證設(shè)計(jì)的安全密碼處理器,該處理器使用公私秘鑰框架來驗(yàn)證傳入的請(qǐng)求,包括固件更新。

  政府機(jī)構(gòu)、企業(yè)組織和制造業(yè)可以設(shè)置條件。這樣的大型組織有權(quán)決定他們使用和不使用哪些設(shè)備,甚至可以修改消費(fèi)者零售設(shè)備,以滿足安全需求。

  此外,企業(yè)需要資源來開發(fā)和部署安全的IoT框架,這些框架可以在不暴露內(nèi)部數(shù)據(jù)的情況下進(jìn)行自我認(rèn)證。有一些可用的框架可以使身份驗(yàn)證和安全更新以更低的成本成為可能。

  三、隱私保護(hù)不足

  隱私保護(hù)和合規(guī)性正迅速成為世界各地司法管轄區(qū)的規(guī)范,歐洲有GDPR,美國(guó)加州有CCPA。這些法規(guī)已經(jīng)從根本上改變了面向消費(fèi)者的科技公司的運(yùn)營(yíng)方式。

  數(shù)據(jù)維護(hù)分析師必須向主管報(bào)告違規(guī)行為,并且必須通知受影響的個(gè)人。很容易看出該方式在社交媒體平臺(tái)上的工作原理,但是在醫(yī)院里又是如何工作的呢?與其他設(shè)備不同,與醫(yī)療物聯(lián)網(wǎng)設(shè)備相關(guān)的安全漏洞可能會(huì)立即導(dǎo)致生死攸關(guān)的后果。

  在美國(guó),HIPAA和HITECH規(guī)范了醫(yī)療數(shù)據(jù)的使用方式。但是,這些規(guī)則僅適用于與官方醫(yī)療保健實(shí)體合作的設(shè)備和公司,而不適用于消費(fèi)類設(shè)備。

  企業(yè)和行業(yè)組織在開發(fā)物聯(lián)網(wǎng)系統(tǒng)時(shí)也會(huì)遇到類似的問題。網(wǎng)絡(luò)上的設(shè)備包含有關(guān)員工的敏感數(shù)據(jù),此類數(shù)據(jù)需要保護(hù)。不這樣做會(huì)增加身份盜用和財(cái)務(wù)欺詐的風(fēng)險(xiǎn)。

  如何解決數(shù)據(jù)隱私問題

  當(dāng)涉及到個(gè)人可識(shí)別數(shù)據(jù)時(shí),最重要的是根據(jù)行業(yè)標(biāo)準(zhǔn)法規(guī)保護(hù)數(shù)據(jù)的安全,即使監(jiān)管機(jī)構(gòu)不要求公司執(zhí)行HIPAA合規(guī)性。

  解決此問題需要朝著用戶隱私固有價(jià)值的態(tài)度進(jìn)行文化轉(zhuǎn)變。并非每個(gè)人都喜歡與社交媒體巨頭共享跟蹤數(shù)據(jù),也并非每個(gè)員工都希望分享他們的生產(chǎn)力得分。

  制定了健全的網(wǎng)絡(luò)安全政策的組織將可以更好地應(yīng)對(duì)個(gè)人安全問題。很少有組織堅(jiān)持嚴(yán)格的數(shù)據(jù)隱私標(biāo)準(zhǔn),將用戶隱私固有價(jià)值與ROI獨(dú)立的組織甚至更少,這些組織可能會(huì)成為未來IoT安全格局的引領(lǐng)者。

  我們生活在一個(gè)手機(jī)、洗衣機(jī)、家用恒溫器、甚至太陽(yáng)能電池板都可以被入侵僵尸網(wǎng)絡(luò)服務(wù)的時(shí)代,它們可用于對(duì)世界上任何組織進(jìn)行破壞性的DDoS攻擊。

  隨著醫(yī)療物聯(lián)網(wǎng)設(shè)備成為現(xiàn)實(shí),不安全的、與互聯(lián)網(wǎng)連接的硬件設(shè)備的范圍和危險(xiǎn)程度只會(huì)增加。未來的設(shè)備,如醫(yī)療物聯(lián)網(wǎng),也需要從現(xiàn)在開始就考慮未來的威脅。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。