返回 登录
0

直击 IoT 重点安全隐患

IoT
阅读6829

原文: Meet IoT security challenges head-oncondition?
作者: Jeff Pollard
译者:张新慧
审校:屠敏,关注 IoT 等领域,寻求报道或者投稿请发邮件tumin@csdn.net


守卫联网设备安全应是网络安全主管们的首要职责。本文将悉数IoT重点安全隐患。

谈及物联网(IoT)安全问题,近两年媒体的关注点都是联网汽车、可穿戴设备和智能家居等IoT设备遭受攻击的具体事件。

这些固然放大了某些IoT设备的弱点,加强了人们对IoT安全的重视,但只见树叶,不见森林。

IT安全部门应清楚,IoT在企业中的应用将集中在两大战略层面:联网设备以及联网业务流程。

全公司上下,不论是使用者,制造者,还是操作者对IoT的应用方式都各不相同;而这些利益攸关者中,处于同一条纵向业务线的人甚至需要IoT进一步个性化和定制化。

IoT设备可以升级企业的业务流程,但若操作者遍布全球,且使用的宽带网络质量参差不齐,那么安全人员须区分对待,而不是一刀切地认为他们跟享受优质网络连接的本地员工没什么不同。

核心系统危机

不仅仅是设备,核心系统或应用也容易成为黑客的目标,因为后者是收集、规范化以及储存海量IoT设备信息的重要载体。

尽管强有力的终端设备安全防范措施仍或不可缺,但应更多从黑客的角度思考问题:既然直接攻击应用就能让上百个车载娱乐系统染上僵尸病毒,那么攻击一台设备有什么意思?既然可以捣乱竞争对手供应链的物流数据而延迟交货,干嘛在一辆货车上费心思?

残酷现实

芯片组、形状系数和电池寿命的改良和创新让IoT设备甚至可以部署在恶劣或危险的环境下,让数据组和IoT之前无法想象的实时遥感勘测成为现实。一位Cisco(思科)研究者称:IoT最大特点在于——用户并没有意识到他们的联网洗衣机也是电脑,IoT是实体和数字的结合。举个例子,通过可穿戴设备可以知道一位20多岁的用户有着固定的慢跑路线,这对运动饮料的广告商很有价值,但也可能被坏人利用策划绑架。

危机意识

IoT设备为吸引消费者,提升服务提供了新机遇,但对于制造、销售或使用IoT设备的公司里的CISO(首席信息安全官)而言,也意味着紧迫的安全隐患,包括很容易被忽略的固件更新缺陷。安全主管人员必须清楚:IoT攻击门槛并不高。很多安全专家以为IoT设备相比功能齐全的普通电脑数量那么少,就不会成为目标。这么想就错了。

实际上,Riot OS和Windows 10 IoT core(微软的物联网核心系统)等Linux操作系统就跟开放给IoT架构的普通OS没什么不同,这种情况下能攻击笔记本电脑的黑客转而攻击IoT设备易如反掌。IoT安全公司Senrio透露说:“两年前,我们公司两个实习生做一个公共项目,短短一个月就远程攻击了一台ATM、一个智能家居控制器、几台医疗设备、一台路由器。” 由此可见,黑客故技重施,将攻击电脑的那套法子拿来“绑架”IoT设备来赚钱也没什么不可能。

折了设备又赔钱

IoT安全防线要是没守住,影响的不但是设备本身,还有金钱损失。跟窃取信用卡和身份数据来偷钱的传统网络攻击不同,某一类IoT设备牵扯到生命健康。2016年8月,网络安全公司MedSec发现St Jude Medical公司生产的联网起搏器有致命缺陷。后来Muddy Waters研究公司的一份报告向投资者严厉批评了这一失误严重威胁了病人健康,潜在的产品召回和诉讼还有可能惊动监管部门。

消费者也很担心。Forrester的科技消费调查就发现64%的被调查者担心使用IoT设备会泄露身份信息。

受限物联网设备出现问题尤其难以解决。很多IoT设备是没有用户界面/屏幕的,所以不会像电脑那样推送更新及步骤。别奇怪,过不了几年你的邻居也许就会告诉你,他们买新的冰箱并不是要翻新厨房,而是因为冰箱的软件有不可修复的安全漏洞。

“人们掏钱买的是IoT设备,没人给开发团队付钱,”Cisco一位研究者说:“IoT设备寿命很长,如果制造商仅保修一两年,那么一两年以后就只能靠你自己了。”

隐私为重

海量的IoT设备需要隐私保护。为了了解消费者的背景和行为,公司须收集和分享大量数据,这就意味着CISO们需要强有力的隐私控制,特别是静态数据。消费者很难了解被收集了多少数据,其中又有多少给公司赚钱了。

安全主管人员需要向用户解释为什么要收集他们的信息,这些信息用来做什么,以及让用户自己来决定什么信息可以被收集、如何被使用、如何被分享。大概67%的安全主管人员担心IoT隐私侵犯问题。对于CISO们而言,这既是挑战,也是公司受益透明化,赢取用户信任的绝佳机会。

评论