即使一個經(jīng)驗豐富的工程師，對于設(shè)備的完整性、數(shù)據(jù)保護和設(shè)備管理, DIY安全也不會得到保證，近來物聯(lián)網(wǎng)設(shè)備的應用讓這一觀點變得痛苦而清晰。2017年底，有超過50億的藍牙設(shè)備被發(fā)現(xiàn)容易受到 BlueBorne 惡意軟件的攻擊。 打開藍牙設(shè)備, 黑客可以注入惡意代碼, 在某些情況下, 可以攔截進出 Windows PC 的網(wǎng)絡流量, 并隨意修改。

　　這不是一個孤立的事件， 搜索一下就會發(fā)現(xiàn)幾十起類似的攻擊事件。

　　由于制造商讓物聯(lián)網(wǎng)設(shè)備容易受到默認密碼和不必要開放端口的影響, 這些設(shè)備可以被用來攻擊整個物聯(lián)網(wǎng)堆棧。 這就是物聯(lián)網(wǎng)安全攻擊如此嚴重的原因: 犯罪者不僅可以竊取數(shù)據(jù)和關(guān)閉服務, 而且會對設(shè)備和用戶造成損害。

　　當然, 設(shè)計者可以下載一些開源傳輸和加密代碼, 并將其連接到應用程序中，但這也不可避免地導致了黑客能夠找到相關(guān)的安全漏洞。

　　盡管現(xiàn)有的商業(yè)安全平臺并沒有完全消除安全風險, 但它們確實會減少安全風險。 為了實現(xiàn)最佳的安全性, 這些解決方案必須無縫地集成到一個平臺中, 而不是在一個設(shè)計完工的時候進行加鎖。

　　物聯(lián)網(wǎng)安全與傳統(tǒng)安全

　　物聯(lián)網(wǎng)安全和傳統(tǒng)的安全措施之間有一些關(guān)鍵的區(qū)別。 傳統(tǒng)的安全性假定它可以控制對孤立網(wǎng)絡的設(shè)備和數(shù)據(jù)的訪問, 這兩種網(wǎng)絡都存在于已定義的物理環(huán)境中。

　　保護這些設(shè)備和數(shù)據(jù)的解決方案在端點上需要相當大的計算能力, 例如防病毒軟件、防火墻和入侵檢測 / 防御系統(tǒng)(IDS / IPS)。 如果需要安全更新, 那么就很容易下載和安裝設(shè)備上的最新補丁。

　　另一方面, 物聯(lián)網(wǎng)安全更像是荒野。 設(shè)備通常生活在相對開放的網(wǎng)絡上, 通常是在物理上沒有保護的區(qū)域。 尤其是對于電池驅(qū)動的便攜式設(shè)備而言， 計算能力更加有限，發(fā)布軟件更新的能力也是如此。 物聯(lián)網(wǎng)系統(tǒng)的終端可能很少或者根本沒有安全軟件的空間。

　　因此, 物聯(lián)網(wǎng)安全必須在邊緣設(shè)備進行通信之前進行身份驗證, 并保護從終端設(shè)備到云端的數(shù)據(jù)。 這意味著安全必須在設(shè)備裝載之前被植入, 而不是一旦設(shè)備到達工作現(xiàn)場就會啟動。

　　內(nèi)部的缺點, DIY 安全

　　為了更好地了解物聯(lián)網(wǎng)安全的艱巨性, 可以考慮一下典型的系統(tǒng)架構(gòu):

　　設(shè)備側(cè): 由物聯(lián)網(wǎng)設(shè)備、應用程序、數(shù)據(jù)和連接到網(wǎng)絡交換機 / 網(wǎng)關(guān)

　　網(wǎng)絡交換機 / 網(wǎng)關(guān): 包括網(wǎng)絡交換機 / 網(wǎng)關(guān)、路由軟件和其他應用程序, 以及與設(shè)備端和云的通信

　　云: 包括服務器基礎(chǔ)設(shè)施、存儲數(shù)據(jù)、本機應用程序, 也許包括對硬件安全模塊(HSMs)的訪問, 以及向網(wǎng)絡交換機 / 網(wǎng)關(guān)或設(shè)備的雙向通信機制

　　為了在內(nèi)部開發(fā)物聯(lián)網(wǎng)安全的解決方案, 解決這些領(lǐng)域的每一個問題, 設(shè)計團隊必須在應用范圍、時間和成本之間進行權(quán)衡。 構(gòu)建此類解決方案的組件通常依賴于內(nèi)部開發(fā)和開源社區(qū), 如 ssl / tls、 OpenSSH、 OpenVAS、 AES、 TrueCrypt 等等。

　　不幸的是, 在許多情況下, 這些組件是在物聯(lián)網(wǎng)存在多年前就已經(jīng)開發(fā)出來的。 他們通常不認為物聯(lián)網(wǎng)超越了防火墻, 而且在許多情況下超越了所有的保護, 因為物聯(lián)網(wǎng)設(shè)備來自野外的電線桿和其他結(jié)構(gòu)等等。 這為黑客攻擊創(chuàng)造了許多不可預見的機會(圖1)。

　　圖1. SSL的注多漏洞。 來源:Centri Technology

　　對于由多個設(shè)備、服務和軟件組成的物聯(lián)網(wǎng)系統(tǒng)選擇一個安全解決方案不是一件容易的事。 首先, 它可能導致一個缺乏集成的龐大安全解決方案組合。 每個點必須單獨管理, 這增加了工程支持的負擔。

　　單點的解決方案也難以彼此共享數(shù)據(jù), 導致對安全性的看法分散, 威脅檢測受到限制。 增加的復雜性還會產(chǎn)生矛盾, 因為新的應用程序和服務必須與一系列專業(yè)技術(shù)兼容, 每一種都有自己的 API、策略和需求。

　　錯誤的安全選擇對敏捷性和上市時間的影響可能很大。 創(chuàng)建緊密集成的物聯(lián)網(wǎng)安全解決方案可能以年為單位，而不是以普通的工作時間來衡量的。

　　綜合安全辦法

　　Centri物聯(lián)網(wǎng)高級安全平臺的目標是設(shè)計者從一開始就希望整合安全(圖2)。 該平臺允許開發(fā)者將基于標準的加密和高級密碼集成到物聯(lián)網(wǎng)解決方案堆棧中, 包括從芯片到云的安全通信, 數(shù)據(jù)處理的保護, 以及數(shù)據(jù)取證的管理控制臺。

 1/3    1 2 3 下一頁 尾頁