IoT安全(安全保障互联网)
IoT安全是专注于在互联网上保护连接的设备和网络的技术段(IOT.)。IOT涉及将互联网连接添加到相互关联的计算设备,机械和数字机器,物体,动物和/或人的系统。每个 ”事物“提供了一个唯一标识符并且能够通过网络自动传输数据。如果没有正确保护,允许将设备连接到Internet将它们打开至多个严重漏洞。
使用常见物联网设备渗透和攻击较大网络的许多高调事件引起了对IOT安全的需求。确保使用连接到它们的IOT设备的网络安全至关重要。IoT安全,包括各种技术旨在减轻现代企业的IOT脆弱性增加的战略,议定书和行动。
什么是IOT安全?
IoT安全是指用于保护基于网络连接或基于网络的设备的保护方法。术语IOT.是令人难以置信的广泛,并且随着技术继续发展,这个术语只变得更加广泛。从手表到恒温器到视频游戏机,几乎每个技术设备都有能力与互联网或其他设备以某种容量互动。
IoT安全是家庭技术,策略和工具用于保护这些设备无法受到损害。具有讽刺意味的是,IOT固有的连接性,使这些设备越来越容易受到网络攻击的影响。<
因为物联网如此广泛,所以物联网安全甚至更广泛。这导致了各种落在物联网安全伞下的方法。应用程序接口(API)安全性,公钥基础设施(PKI.)身份验证和网络安全只是IT领导人可以用来打击越来越多的威胁的方法网络犯罪和以网络万有主义植入弱势IOT设备。
物联网安全问题
设备能够互相连接的设备的方式越多,威胁演员可以拦截更多的方式。Protects litt http(超文本传输协议) 和API.只是IoT设备依赖该黑客可以拦截的频道中的一些频道。
物联网伞不严格地包括基于Internet的设备。使用蓝牙技术的设备也依赖于IoT设备,因此需要IoT安全性。像这样的监督导致最近与IOT相关的数据泄露的飙升。
以下是一些内部安全挑战,继续威胁个人和组织的财务安全。
远程曝光
与其他技术不同,IOT设备具有特别大的攻击表面由于其互联网支持的连接。虽然这种可访问性非常有价值,但它还授予黑客的机会远程与设备交互。这就是为什么黑客竞选喜欢网络钓鱼特别有效。IoT安全,就像云安全,必须考虑大量的入口点以保护资产。
缺乏行业远见
随着公司继续数字转换他们的业务也有某些行业及其产品。等行业汽车和卫生保健最近扩展了他们选择的IOT设备,以变得更加富有成效和成本效益。然而,这种数字革命也导致了比以往任何时候都更大的技术依赖。
虽然通常不是一个问题,但依赖于技术可以放大成功数据泄露的后果。这一点是,这一点是这些行业现在依赖于一个固有的技术更脆弱的技术:物联网设备。不仅如此,但许多医疗保健和汽车公司都没有准备投资保护这些设备所需的金额和资源。
这种缺乏行业远见不必要地暴露了许多组织和制造商增加了网络安全威胁。
资源限制
缺乏远见卓识不是新数字化行业面临的唯一的IOT安全问题。IOT安全性的另一个主要问题是许多这些设备的资源限制。
并非所有IOT设备都具有计算能力,可集成复杂的防火墙或防病毒软件。有些人几乎没有能力连接到其他设备。例如,已经采用了蓝牙技术的IOT设备遭受了最近的数据泄露浪潮。汽车行业再次,一直是其中一个市场伤害了最多。
2020年,一个网络安全专家被砍成了特斯拉模型X.通过利用大规模的蓝牙漏洞,在不到90秒内。其他车依赖FOB(无线)钥匙打开并启动他们的汽车遇到了类似原因的攻击。威胁演员已经找到了一种扫描和复制这些FOB样式键的界面的方法,以窃取相关的车辆,而无需触发警报。
如果像TESLA这样的技术高级机械容易受到物联网数据漏洞的影响,那么任何其他智能设备都是如此。
如何保护IOT系统和设备
以下是企业可以用于改善其数据保护协议的一些物联网安全措施。
在设计阶段引入IoT安全性
讨论的IOT安全问题,大多数人可以通过更好的准备来克服,特别是在任何消费者,企业或企业或者的研究和开发过程中基于工业的IOT设备发展。默认情况下启用安全性至关重要,并提供最新的操作系统和使用安全硬件。
然而,IOT开发人员应该在每个发展阶段都注意网络安全漏洞 - 而不仅仅是设计阶段。例如,可以通过将FOB放入金属盒中或远离一个人的窗户和走廊来减轻汽车钥匙攻击。
PKI和数字证书
PKI是保护多个联网之间的客户端 - 服务器连接的绝佳方式。使用双关键不对称密码系统,PKI能够促进私人消息的加密和解密,并使用交互数字证书。这些系统有助于保护用户输入的清晰文本信息进入网站以完成私人事务。如果没有PKI的安全,电子商务将无法运营。
网络安全
网络为威胁演员提供了巨大的机会,以远程控制其他人的物联网设备。由于网络涉及数字和物理组件,因此本地IOT安全性应解决两种类型的接入点。保护IOT网络包括确保端口安全性,禁用端口转发,从不需要在不需要时打开端口;使用抗动件,防火墙和入侵检测系统/入侵防御系统;阻止未经授权的IP(互联网协议)地址;确保系统修补并最新修补。
API安全
API是最复杂的网站的骨干。例如,他们允许旅行社从多个航空公司聚合飞行信息到一个位置。不幸的是,黑客可以危及这些通信渠道,使得可以保护从IoT设备发送到后端系统的数据的完整性,并且仅确保仅授权的设备,开发人员和应用程序与API通信所需的API安全性。T-Mobile 2018年数据泄露是API安全性差的后果的一个完美典范。由于“泄漏API”,移动巨头暴露了200多万客户的个人数据,包括计费邮政编码,电话号码和帐号等。
额外的物联网安全方法
实现IoT安全的其他方法包括:
- 网络访问控制。n可以帮助识别连接到网络的IOT设备。这将为跟踪和监控设备提供基线。
- 分割。需要直接连接到互联网的IoT设备分段为自己的网络并限制对企业网络的访问。如果一个问题被检测到,网络段应该是监测对异常活动的影响,如果一个问题被检测到。
- 安全网关。充当物联网设备和网络之间的中介,安全网关具有比IOT设备本身更多的处理能力,内存和功能,这为它们提供了实现防火墙等功能的能力,以确保黑客无法访问它们连接的IOT设备。
- 补丁管理/连续软件更新。提供通过网络连接或通过自动化更新设备和软件的手段至关重要。具有协调泄露的漏洞,对于尽快更新设备也很重要。考虑终身策略。
- 训练。IOT和操作系统安全对许多现有安全团队来说都是新的。安全员工对新的或未知系统进行最新的服务,学习新的架构和编程语言,并准备好进行新的安全挑战。C级和网络安全团队应常规培训以跟上现代威胁和安全措施。
- 整合团队。随着培训,整合不同和定期的友好团队可能有用。例如,具有编程开发人员与安全专家合作,可以帮助确保在开发阶段期间将正确的控件添加到设备中。
- 消费者教育。消费者必须意识到IOT系统的危险,并提供了保持安全的步骤,例如更新默认凭据和应用软件更新。消费者也可以在要求设备制造商创建安全设备并拒绝使用不符合高安全标准的角色发挥作用。
哪些行业最容易受到IoT安全威胁的影响?
IOT安全黑客可以在任何地方和任何行业发生聪明的家将制造工厂到连接的汽车。影响的严重程度取决于各个系统,收集的数据和/或其包含的信息。
例如,禁用连接的汽车制动器或诸如胰岛素泵的连接的健康设备的破坏的攻击可能是危及生命的植入患者的胰岛素泵。同样地,如果温度波动,则由物联网系统监测的制冷系统外壳药物的攻击可能会破坏药物的活力。同样,对关键基础设施的攻击 - 油井,能量网格或供水 - 可能是灾难性的。
然而,其他攻击不能低估。例如,对智能门锁的攻击可能允许窃贼进入家庭。或者,在其他场景中2013年目标黑客或其他安全漏洞,攻击者可以通过连接系统通过恶意软件 -HVAC.在目标的情况下系统 - 刮个人身份信息为受影响的人造成严重破坏。
值得注意的物联网安全漏洞和IOT黑客
自IOT概念首次起源于20世纪90年代末,安全专家已经长期警告了与互联网相连的大量无担保设备的潜在风险。随后的一些攻击已经制作了头条新闻,从冰箱和电视被用来将垃圾邮件发送到黑客渗透婴儿监视器并与儿童交谈。值得注意的是,许多物联网攻击者都不瞄准设备本身,而是将IoT设备作为进入较大网络的入口点。
例如,在2010年,研究人员透露了stuxnet.病毒用于物理地破坏伊朗离心机,从2006年开始攻击,但2009年发生的主要攻击。通常被认为是IoT攻击的最早示例之一,Stuxnet目标监督控制和数据采集(苏米达)工业控制系统中的系统(ics.),使用恶意软件来感染可编程逻辑控制器发送的指令(PLCS.)。
对工业网络的攻击仅持续,恶意软件,如Crashoverride / Industryoyer,Triton和VPNFilter定位易受攻击的操作技术(OT)和工业物联网(IIT)系统。
2013年12月,企业安全公司校样点公司的研究员发现了第一个IoT僵尸网络。根据研究人员的说法,超过25%的僵尸网络由计算机以外的设备组成,包括智能电视,婴儿监视器和家用电器。
2015年,安全研究人员Charlie Miller和Chris Valasek在吉普车上执行了一名无线黑客,在汽车的媒体中心改变了广播电台,转动其挡风玻璃刮水器和空调,并停止加速器工作。他们说他们也可以杀死发动机,搞刹车并完全禁用制动器。米勒和Valasek能够通过克莱斯勒车载连接系统,Uconnect渗透汽车网络。
Mirai是最大的IOT Botnets之一,迄今为止,首次袭击了记者Brian Krebs'网站和法国网络主机OVH于2016年9月;分别在每秒630千兆位(Gbps)和每秒1.1塔比特(Tbps)时计时。下个月,域名系统(DNS.)服务提供商Dyn的网络是针对性的,制作了许多网站,包括亚马逊,Netflix,Twitter和纽约时报,不可用的时间。攻击通过包括IP摄像机和路由器在内的消费者物联网设备渗透网络。
从出现了许多Mirai变体,包括哈吉时期,隐藏'N Seek,Masuta,Puremasuta,Wicked Botnet和Okiru等。
2017年1月,食品和药物管理局警告嵌入式启用射频的圣裘德医疗植入心脏装置,包括起诉师,除颤器和重新同步装置,可能易受安全入侵和攻击。
7月2020年7月,趋势科技发现了一个IoT Mirai Botnet Downloader这适用于新的恶意软件变体,这将有助于将恶意有效载荷提供给暴露的大型IP框。发现的样本也被观察到最近披露的普通物联网设备和软件中的最近披露或未被漏洞。
2021年3月,安全相机启动Verkada有150,000个活着的摄像头饲料被黑客攻击由一群瑞士黑客。这些相机监控学校,监狱,医院和私人公司设施等活动,如特斯拉。
IOT安全标准和立法
许多IOT安全框架存在,但没有单一行业接受的标准迄今为止。但是,只需采用IoT安全框架可以提供帮助;它们提供工具和清单,以帮助公司创建和部署IOT设备。此类框架已由GSM协会,物联网安全基金会,工业互联网联盟等。
2015年9月,联邦调查局发布了公共服务公告,FBI警报号码I-091015-PSA并警告了IOT设备的潜在漏洞,并提供了消费者保护和防御建议。
2017年8月,国会介绍了IOT网络安全改进法案,该法案需要向美国政府销售的任何IOT设备不使用默认密码,而不是已知的漏洞,并提供修补设备的机制。虽然针对这些制造商创建了销往政府的设备,但它为安全措施设置了一个基线,所有制造商都应该采用。
此外,2017年8月,发展创新和成长互联网(数字)行为通过了参议院,但仍在等待房屋批准。本条例草案将要求商业部召开工作组,并在内部的报告,包括安全和隐私。
虽然不是特定于IOT的,但一般数据保护规则(GDP.),2018年5月发布,统一欧洲联盟的数据隐私法。这些保护扩展到IOT设备,其网络和IoT设备制造商应考虑到它们。
2018年6月,国会介绍了现代应用,IOT法案或智能机构法案的现代应用,研究和智慧行为,提出了对IOT行业的研究,并为安全增长提供了IOT设备的建议。
2018年9月,加利福尼亚州立法机构批准了SB-327信息隐私:连接器件,引入了该国出售的IOT设备安全要求的法律。
2019年2月,欧洲电信标准研究所发布了消费物联网安全的第一个全球适用标准 - 以前未在这种规模上解决的一方。
2020年12月,美国总统当时签署了东西网络安全改进法案2020年,指导国家标准与技术研究院为美国政府控制或拥有的那些IOT的最低网络安全标准。
IOT攻击和安全性变化
IOT安全方法因您的特定物联网应用程序和IOT生态系统中的位置而异。例如,IOT制造商 - 从产品制造商到半导体公司 - 应该专注于从一开始就建立安全性,制造硬件篡改,建立安全硬件,确保安全升级,提供固件更新/修补程序并执行动态测试。
解决方案开发人员的焦点应该是安全的软件开发和安全集成。对于那些部署IOT系统的人,硬件安全性和身份验证是关键措施。同样,对于运营商来说,保持最新系统,减轻恶意软件,审计,保护基础设施和保护凭证是关键。然而,随着IOT部署,重要的是在实施之前权衡安全性能的费用至关重要。
