行业动态

艾礼富Alef讯：物联网的安全盲点

发布时间：2018-05-11    浏览次数：2290



艾礼富Alef讯：物联网的安全盲点

    过去几年，企业使用的设备数量呈指数级增长。移动和物联网（IoT）爆炸式增长导致必须管理和保护的终端数量迅速增加，到2020年物联网将有超过200亿个设备互联。

    许多人认为物联网设备很简单，但它们其实并不简单，实际上它们运行的是具有完整网络堆栈和应用层的操作系统。更糟糕的是，其中大部分是我们无法控制的。据研究，多达82%的企业无法识别连接到其网络的所有设备，77%的公司承认物联网设备量的增加会带来严重的安全挑战。

    由于我们无法控制的设备数量持续增长，因此风险也在增加。我们已经看到僵尸网络的显着增加，物联网设备被接管并用于从数量、暴力攻击到垃圾邮件和数据泄露等各种应用。例如，骇客可以控制交通摄像头，上传流氓固件，从而可以远程控制受影响的设备。

    目前摄像机在动态DNS服务、设备间的通信和缓冲区溢出漏洞方面都存在问题。易受攻击的物联网设备为恶意软件的迅速传播提供入口点。同样，随着我们无线连接的增强，使更多设备能够相互连接，威胁也在不断增加。例如BlueBorne攻击，它允许攻击者利用蓝牙中的漏洞接管设备。目前53亿个设备存在该风险，开启蓝牙功能使攻击者可以悄悄接管任何设备。

    这些易受攻击的端点的最恐怖的事情之一是，它们可以让攻击者在您不知情的情况下获得访问权限。如果您不知道网络上的所有设备有哪些或不知道它们是否已正确打补丁，那么就不知道这些设备的防御措施何时已失效。同样，尽管防火墙在某些特定点上可能会很好地保护外围设备并监控网络流量，但企业之间通常也不清楚网络上列入白名单的设备是否适合。并且现在这些设备为了可以直接相互通信，通常使用蓝牙或Wi-Fi来绕过安全系统。

    那么物联网所需要做的是将可视性从外围设备扩展到网络核心。一个成功的架构不能依赖代理，它必须清楚所有连接的设备是什么，以及设备何时被入侵。在实施安全解决方案时，需要一些可以与现有环境集成并且位于现有网络基础架构之上的工具，以提供观察。

    尽可能地采用自动化，以避免安全团队的重复性工作。同样，分析物联网中各个设备的行为。建模网络中所有设备的预期行为和预期行为，在可能的地方自动执行安全策略，并将不正常的情况报告给安全人员。虽然物联网正在促成许多行业令人振奋的发展，但我们不能忽视安全问题，否则它可能成为发生重大事件的盲点。

    一年多前，mirai恶意软件控制了数十万个物联网设备，并发起了规模最大、破坏性最大的网络攻击之一。webroot认为，最根本的问题是物联网制造商只关注设备的功能，而没有在安全测试方面投入足够的资金。 因此，每个人都应该在来年决定将安全性作为物联网设计流程的一部分。那是什么意思？本文着重讨论了一些需要从一开始就考虑的问题。

    1. 设备是否执行安全敏感操作？

    如果黑客能够控制来自胰岛素泵或核电厂阀门控制器的致动器信号，这显然会造成巨大的安全问题。即使控制恒温器的不太关键的装置在寒冷的冬天也是一个安全问题。相反，控制机器人清洁器可能不会产生显着影响。

    安全高于一切。设备是否存在安全隐患将是您考虑的安全措施强度的重要因素。

    2. 设备是否处理敏感信息？

    任何类型的隐私敏感信息都应受到认真对待，尤其是如果gdpr法规在欧洲实施，如果这些数据处理不当，将受到严厉处罚。敏感信息不仅仅是个人信息；财务数据、登录凭证、遥测、配置等。需要小心保护。

    在设计产品时，问问自己如果黑客获得这些数据会发生什么情况？如果发现此结果不可接受，则应考虑使用密码加密来处理存储和传输中的数据。

    3. 你的设备是否需要安全身份认证？

    请务必注意，只有授权的物联网设备才能加入您的物联网生态系统！

    想想如果黑客的设备可以伪装成汽车传感器并触发某种自动驾驶行为会发生什么？如果胰岛素泵接收到来自假血糖传感器的读数会发生什么情况？在安全敏感的情况下，验证物联网设备的身份至关重要。

    加密的安全标识为设备提供了强大的授权，适用于各种场景，以确保物联网生态系统中的所有设备都是可信的。

    4. 你现在实施的加密方法正确吗？

    密码学是一种面向数据保护、安全通信和身份验证的前瞻性技术，难以正确实施和部署。加密将保护数据，但您还必须保护密钥。

    物联网的一个特征是，这些设备通常处于物理上不受控制的环境中，从而使黑客能够更直接地访问这些设备，从而更容易对这些设备进行反向工程以找到密钥。保护密钥可能需要在设备上安装特殊的硬件安全存储密钥，如果不可能，则需要白盒加密。 您还需要考虑密钥管理的整个生命周期。密钥是如何生成和分发的？密钥通常在未受保护的计算机上生成，私钥没有得到充分保护或备份，从而导致严重的安全漏洞。正确的密钥生成和分发需要专门的技术、设施、流程和人员，如果这些功能在您自己的企业中不可用，您可能需要外包密钥生成和配置服务。

    5. 您如何保护物联网设备上的应用程序？

    您应该考虑在开发生命周期中保护您的应用程序。在将代码部署到站点之前，可以使用许多工具来分析代码是否存在应修复的潜在漏洞。

    当然，不断发现新的漏洞，您应该有一些方法在部署后安全地更新这些设备。将修补程序部署到设备并使用代码签名技术以确保仅安装授权更新时，请考虑使用安全身份验证通道。 在不受控制的环境中部署物联网设备为黑客提供了许多逆向工程代码的机会，因此评估防止篡改的工具非常重要。

微信扫一扫，关注我们