物联网安全:物联网不一定是威胁的互联网
全面的物联网安全需要一组集成的设备管理服务,包括安全设备调试、证书管理、无线提供固件更新的机制以及强大的身份验证和授权功能。你猜怎么着?如果98%的数据没有加密,大多数人也无法访问这些服务。
坏消息
从哪儿开始?物联网从根本上改变了在日益以数据为中心的世界中收集和处理数据的成本。然而,大多数人都专注于机会,而忽略了安全性。安全是次要的,是一个难以衡量ROI的成本中心,但物联网带来了真实的、不断增长的、系统性的和可怕的危险。
2016年针对闭路电视摄像头的“Mirai”僵尸网络攻击几乎让整个互联网瘫痪,而且是青少年的杰作。这次攻击背后的代码可以在互联网上免费获得。
情况并没有好转。Avast最近使用“激增”和“将孩子扔进糖果店”等术语描述了物联网威胁,称情况会变得更糟。
从设备到网络再到云,漏洞都存在。这些设备包含有缺陷的代码和库,如Ripple20IP漏洞。
当前的加密方法是有限的。设备的数据仅在网络中的下一站之前进行加密,因此如果网络受到威胁,数据可能也会受到威胁。
2020年,英国、美国和欧洲都实施了物联网安全立法。虽然出于好意,不想过度监管,但他们专注于基础知识和指导方针。
甚至像无线固件更新这样的立法硬性要求也可能存在问题。固件更新可以修补设备以纠正前面提到的Ripple20等缺陷。不过,固件机制必须是安全的。很多时候,情况并非如此。
说到固件,LoRaWAN和Sigfox等许多专有的低功耗广域网缺乏提供固件更新的带宽。
今天,许多物联网解决方案都是黑盒专有的努力。我们不知道设备内部的代码。通常包含意外漏洞,如Ripple20或有意的后门漏洞。
另一个问题是许多企业缺乏应对这些挑战所需的知识、能力和资源。保护物联网通常是IT的工作,但共同点大多以字母结尾。IT以Web为中心、集中化,拥有几乎无限的计算资源,用户靠近大多数计算机。
物联网设备是远程的,物理上容易受到攻击,还有带宽、CPU功率和能源等其他限制。用例越来越普遍,不支持人为干预的经济学。
最后,搅浑水是越来越多诉讼的法律问题。最近,有30,000家公司因电子邮件遭到黑客攻击而丢失了数据。被黑的技术提供商只承担部分责任。多少?这将需要数百万美元、数年和许多律师才能找到。
物联网解决方案同样复杂,引发了谁将花钱来解决他们可能或可能不分担责任的问题。像汽车制造商一样,有些人可能会认为,与做正确的事情相比,战斗和解决或将责任推卸给另一方更便宜。
好消息
事情不必是这样的,只要有一点运气、一些宏观经济学、亚当·斯密(AdamSmith)的“看不见的手”和常识,物联网是可以得到保障的。
物联网的采用没有达到早期的预期。为什么?也许市场和技术还没有准备好,但两个削弱的挑战是糟糕的连接选项和糟糕的安全性。这正在改变。
世界现在有两个以电信为中心的全球连接解决方案,非常适合大多数物联网解决方案。NB-IoT非常适合需要发送少量数据的智能计量等应用,而LTE-M更适合需要更多数据和带宽的解决方案。电信运营的LPWA网络提供基本的安全优势,包括强大的身份验证机制、相对较长的加密密钥以及足够的带宽来提供固件更新。
许多物联网解决方案的使用寿命长达十年或更长时间,这使得固件更新成为维护安全性的关键。
电信也为第二个非网络标准做出了重大贡献,即开放移动联盟的轻量级M2M。
LwM2M为IoT解决方案提供标准化框架,以管理连接、报告数据、保护IoT解决方案并提供固件更新。Gartner建议制造商专注于LwM2M,以使其蜂窝物联网开发工作合理化。
LwM2M提供了一个针对物联网挑战而优化的端到端安全框架。
特别值得注意的是OSCORE,这是一种仅适用于IoT的加密标准,也是LwM2M的一部分。OSCORE节省能源,这是电池供电的物联网解决方案的重要投资回报率考虑因素。更重要的是,OSCORE对数据进行端到端加密,因此即使网络遭到破坏,数据也是安全的。
最后,LwM2M是一个标准。许多专家为确保FOTA机制之类的东西尽可能安全做出了贡献,但随着缺陷的发现和缺陷的发现,许多专家将有助于解决问题。我们不能说这是专有的非标准化方法。
结论
在短短几年内,物联网和人工智能将无处不在。20世纪依赖石油。21世纪属于知识和数据。物联网的价值随着数据速度的增加而增加。当一个生态系统(如交通)中的数据被另一个(如智能城市)利用时,就会创造新的效率。
想象一下,一架送货无人机请求允许降落在您的家中,而城市的灯光立即亮起。数据、物联网和人工智能需要无缝协作才能实现这一目标。
我们已经不远了,但我们必须首先回答以下紧迫的问题:如何确保这些解决方案的安全,并在尊重数据隐私的同时安全地共享数据。
机遇和危险都是实实在在的。
您可以做些什么来保护您的设备、数据和世界?它从意识、优先考虑安全和坚持标准开始。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341