首頁 > 物聯網 > 正文

物聯網中的不安全因素:隱藏

2019-12-18 15:36:25  來源:物聯之家網

摘要:物聯網設備的爆發式增長將我們的物理世界與網絡世界連接起來,使得我們的物理環境可編程,并使我們的家庭、車輛和城市陷入嚴重的網絡安全威脅之中。
關鍵詞: 物聯網 安全
  隱藏物聯網?但黑客可以看到!
\
  全球連網設備的數量正以驚人的速度增長。物聯網(IoT)設備目前的數量已經超過了世界人口,Gartner預計,今年晚些時候這一數字將達到142億。物聯網設備的爆發式增長將我們的物理世界與網絡世界連接起來,使得我們的物理環境可編程,并使我們的家庭、車輛和城市陷入嚴重的網絡安全威脅之中。
 
  這個問題足夠大,以至于政府也必須采取行動。為了保護聯邦政府免受物聯網安全漏洞的侵害,并提高私營部門對物聯網安全的認識,美國國會推出了《物聯網網絡安全改進法案》。該法案為政府購買的連網設備制定了最低安全標準,并驗證使用物聯網設備的所有組織普遍需要的安全措施。
 
  對許多組織來說,最大的挑戰實際上并不是技術,而是思維方式的轉變:人們傾向于認為安全性在于隱藏系統的訪問點及其交換的數據。事實上,降低可見性是一個危險的游戲,隱藏訪問點時,通常不會向黑客隱藏它們。更有可能的是,你把它們隱藏起來,會讓那些試圖保護它們的人無法看到。
 
  由于系統和它們交換的數據之間的連接缺乏內部可見性和治理,一些公司正在玩俄羅斯輪盤賭。不是他們是否會受到攻擊,而是何時。
 
  可編程世界中的安全性
 
  我們生活在一個可編程的物理世界中:自動駕駛汽車和機器人吸塵器處理感官信息以導航世界,而智能燈泡可以通過智能手機打開或關閉。但另一方面,同樣的自動駕駛汽車的GPS系統可以被黑客遠程控制,機器人吸塵器可以被用作監控器,智能燈泡可以被用來泄露私人信息。隨著物理世界和數字世界通過物聯網設備交織在一起,物理安全和網絡安全將變得相互依賴。
 
  保護物聯網安全的一個主要障礙是,人們普遍不了解如何保護一個既包含硬件又包含軟件的系統。大多數開發人員基本都接受過一些關于如何保護軟件系統的培訓,但物理領域帶來了新的挑戰。硬件制造商的軟件安全能力可能非常有限,或者他們可能已將安全外包給其他人。此外,物聯網設備運行的操作系統通常都是非常規的,它們的通信方式、協議和網絡通常與軟件系統不同。
 
  保護物聯網的另一個障礙是,這些設備繞過了“人類中間人”按下按鈕或發出命令的需要。人類采取手動操作通常會知道其操作的潛在負面結果,但軟件卻缺乏這種細致入微的思維。如果沒有一個有意識的參與者來執行健全性檢查,那么大量物聯網設備的大規模自動化可能會產生災難性后果。整個設備隊列最終可能會“無意識地”響應一個事件,從而增加對物理世界的影響。
 
  以智能電表為例,智能電表是一種物聯網設備,可以記錄電力消耗,并將信息傳送給電力公司,以進行監控和計費。由于智能電表也可以調節耗電量,因此更新其軟件的錯誤信號會導致數百萬個電表在相同的時間內被重置。這一信號實際上可能導致大范圍的社區停電,嚴重損害經濟并導致醫院需求激增。黑客可以利用這一漏洞,在更新中引入錯誤,從而導致這種錯誤信號并造成損害。
 
  當大量連網設備協同工作時,其行動的后果會被放大。而智能電表只是一個例子,黑客針對連接互聯網的交通信號燈發起攻擊,可以通過改變交通信號來使整個城市陷入癱瘓。安全攝像頭可能會感染惡意軟件,然后作為一個整體被控制,以對整個社區進行監控并分析,從而發現房屋何時無人或防范較弱。這些現象是大規模自動化的結果,大規模自動化只有在物理世界與軟件世界連接后才可能實現。
 
  知道數據在哪里
 
  為了有效保護物聯網設備,首先需要確保它們的安全性。這需要將安全性納入系統的設計中,而不是作為一個問題留待以后解決。
 
  企業需要在每一層建立標準化且有據可查的接口,而不是試圖通過隱藏各種軟件的必要層和層下的功能來保護物聯網,并希望沒有人會發現它們。許多人認為安全性就是隱藏敏感數據,但是當每個系統的意圖都明確時,安全性實際上是最有效的。每個接口都應表明其公開的數據和功能,以便可以應用適當的控件。這些接口中暴露的漏洞可以在任何時候得到解決,從而可以在黑客利用它們之前進行快速修復。
 
  當將物聯網設備作為應用程序網絡中的節點進行管理時,安全最佳實踐可以系統地應用于它們。例如,人們可以問:誰有權訪問物聯網設備提供的數據?在這些設備上應制定什么樣的政策?必要時如何關掉它們?根據這些答案,可以采用不同的做法。既然你現在知道數據在哪里以及如何共享,您可以在必要時應用進一步的保護。
 
  可見性也為復雜事件處理的未來鋪平了道路。例如,現在很容易為任何一種異常行為創建警報,例如成千上萬的智能電表試圖在一分鐘內重置。有了這樣的警報,人類可以在認為有必要時才進行干預。未來,機器學習系統將從人類對這些復雜事件的反應中學習,從而在不等待人類干預的情況下實現進一步的自動化和對安全問題的更快反應。機器學習不僅可以識別異常,而且還可以重新連接周圍的應用程序網絡,以自動緩解問題,例如通過以電網能夠處理的速度交錯進行智能電表更新。
 
  實際上,在純軟件生態系統中,即使尚未廣泛實踐,也已經理解了這類自動化和響應。在日益分散的世界里,可見性也是保護物聯網的關鍵,解決方案已經觸手可及,現在是執行的時候了!

第三十屆CIO班招生
法國布雷斯特商學院MBA班招生
法國布雷斯特商學院碩士班招生
法國布雷斯特商學院DBA班招生
責編:baiyl
有谁不上班靠炒股赚钱