IoT部署的5個安全問題

物聯(lián)網(wǎng) （IoT） 在我們?nèi)找婕夹g(shù)化的世界中占據(jù)了中心舞臺?；ヂ?lián)設(shè)備正變得越來越實(shí)用和實(shí)惠。..

然而，隨著我們開始見證節(jié)省時間，削減成本，提高效率和提高生活質(zhì)量的無限潛力，我們也意識到，有了所有這些潛在的好處，也存在數(shù)據(jù)漏洞和安全漏洞的新實(shí)例。

惠普安全研究公司發(fā)布一項(xiàng)研究回顧了 10 種最受歡迎的物聯(lián)網(wǎng) （IoT） 設(shè)備，其中包括某種形式的云服務(wù)和移動應(yīng)用程序。結(jié)果顯示，令人震驚的70%的人受到嚴(yán)重安全漏洞的影響。其中一些問題包括身份驗(yàn)證/密碼強(qiáng)度不足，缺少傳輸加密，Web界面憑據(jù)薄弱以及軟件更新不安全。

隨著越來越多的參與者通過新的連接設(shè)備和應(yīng)用程序進(jìn)入市場，安全性將不被視為差異化點(diǎn) - 這將是一種期望。在部署之前，請考慮以下五個問題，這些問題可以幫助保護(hù)連接的應(yīng)用程序：

1. 數(shù)據(jù)加密 – 您的數(shù)據(jù)是否受到保護(hù)？

上述報告表明，高達(dá)90%的機(jī)器對機(jī)器（M2M）設(shè)備會收集某種個人信息，這使得應(yīng)用程序能夠?qū)@些信息保密至關(guān)重要。對于任何通過網(wǎng)絡(luò)傳輸機(jī)密信息的M2M應(yīng)用程序，例如POS系統(tǒng)（信用卡信息），移動醫(yī)療（患者數(shù)據(jù)）或基于使用情況的保險（GPS坐標(biāo)和車輛信息），都需要加密。

雖然加密可能在許多互聯(lián)網(wǎng)應(yīng)用中被廣泛實(shí)踐，但M2M帶來了一些獨(dú)特的挑戰(zhàn)。乍一看，許多開發(fā)人員可能傾向于使用SSL進(jìn)行安全通信。但是，由于設(shè)備需要額外的處理能力和內(nèi)存來支持 SSL，以及由于網(wǎng)絡(luò)通信開銷增加而增加的無線數(shù)據(jù)成本，這在 M2M 應(yīng)用中可能會出現(xiàn)問題。

還可能嘗試在運(yùn)行功能齊全的操作系統(tǒng) （OS）（如 Linux）的設(shè)備中從設(shè)備端創(chuàng)建虛擬專用網(wǎng)絡(luò) （VPN） 隧道。不幸的是，設(shè)備端加密在M2M中可能并不總是實(shí)用的。

最實(shí)用的解決方案是創(chuàng)建從 M2M 操作員到后端服務(wù)器網(wǎng)絡(luò)的站點(diǎn)到站點(diǎn) VPN 隧道。這允許在網(wǎng)絡(luò)路徑最脆弱的部分 - 互聯(lián)網(wǎng)上進(jìn)行加密數(shù)據(jù)傳輸。站點(diǎn)到站點(diǎn) VPN 還可以通過不增加使用的無線數(shù)據(jù)量以及將所有加密和解密處理卸載到功能強(qiáng)大的網(wǎng)絡(luò)設(shè)備來提高效率。

在選擇站點(diǎn)到站點(diǎn) VPN 隧道之前，開發(fā)人員必須假定移動網(wǎng)絡(luò)運(yùn)營商 （MNO） 和 M2M 運(yùn)營商的網(wǎng)絡(luò)是可信的（稍后將詳細(xì)介紹），并且對用于保護(hù)連接的端點(diǎn)和 MNO 系統(tǒng)之間的無線通信的加密算法感到滿意。

2. 控制訪問 – 誰可以訪問您的數(shù)據(jù)/系統(tǒng)？

雖然私人信息需要加密，但在某些情況下，機(jī)密性可能遠(yuǎn)不如訪問和身份驗(yàn)證重要。例如，使用無線命令打開車門傳輸?shù)臄?shù)據(jù)可能不是機(jī)密的，但至關(guān)重要的是，未經(jīng)授權(quán)的各方無法通過該系統(tǒng)解鎖車門。

安全性需要一種有條不紊的方法，利用技術(shù)堆棧中的每個元素。從操作系統(tǒng)開始，一直到硬件級別，至關(guān)重要的是要了解沒有一道防線足以提供完整的保護(hù)。

M2M硬件應(yīng)設(shè)計(jì)為內(nèi)部組件，允許封閉和保護(hù)無線連接。確保具有可移動SIM卡的設(shè)備已采取措施，以便不容易訪問SIM卡。被盜的SIM卡可能會導(dǎo)致意外的無線數(shù)據(jù)費(fèi)用，甚至更糟的是，允許黑客直接訪問您的后端應(yīng)用程序服務(wù)器。

除了安全硬件之外，您還應(yīng)該采取措施防止訪問您的軟件系統(tǒng)?？紤]使用安全無線 （OTA） 應(yīng)用程序更新。數(shù)據(jù)簽名還可用于確保傳輸數(shù)據(jù)的真實(shí)性和完整性。

3. 監(jiān)控每一層 – 您知道何時出現(xiàn)問題嗎？

即使是最好的預(yù)防性安全系統(tǒng)也不是萬無一失的。當(dāng)事件發(fā)生時，建立監(jiān)控系統(tǒng)非常重要。檢測到事件后，必須觸發(fā)響應(yīng)操作以防止惡意使用設(shè)備或活動 SIM 卡。

后端應(yīng)用程序應(yīng)具有適當(dāng)?shù)墓δ?，可以記錄其接收的?shù)據(jù)中的異常。例如，如果設(shè)備被編程為間歇性地發(fā)送傳感器數(shù)據(jù)，但莫名其妙地破壞了模式，則系統(tǒng)應(yīng)通知管理員，并在可能的情況下阻止設(shè)備與服務(wù)器通信。在應(yīng)用程序服務(wù)器和 M2M 操作員之間設(shè)置站點(diǎn)到站點(diǎn) VPN 隧道的一個優(yōu)點(diǎn)是，行為異常的設(shè)備將具有固定的 IP 地址，從而更容易隔離和阻止。

您的 M2M 操作員應(yīng)提供解決方案提供商可用于協(xié)助欺詐檢測和預(yù)防的警報工具。您可以選擇將 GPS 與位置和時間戳信息相關(guān)聯(lián)，以驗(yàn)證后端系統(tǒng)中收到的定位數(shù)據(jù)。

您還可以考慮使用移動設(shè)備和 M2M 服務(wù)器之間的數(shù)字簽名數(shù)據(jù)消息來監(jiān)視惡意干擾，以識別更改的消息、掃描國際移動用戶標(biāo)識 （IMSI） 捕獲器的頻譜，或在硬件上設(shè)置篡改警報以觸發(fā)服務(wù)器通知。

4. 網(wǎng)絡(luò)合作伙伴 – 您的網(wǎng)絡(luò)合作伙伴安全嗎？

成功和安全的 M2M 應(yīng)用程序需要高質(zhì)量的合作伙伴。大多數(shù)依賴于蜂窩連接的M2M應(yīng)用程序通過三個網(wǎng)絡(luò)傳輸數(shù)據(jù)：MNO，M2M運(yùn)營商和互聯(lián)網(wǎng) - 通常由三個獨(dú)立的組織管理。應(yīng)用程序開發(fā)人員應(yīng)自行執(zhí)行盡職調(diào)查，以驗(yàn)證第三方管理的任何網(wǎng)絡(luò)是否滿足必要的安全要求。

作為 MNO 或互聯(lián)網(wǎng)提供商安全盡職調(diào)查的一部分，應(yīng)提出的一些可能問題包括：

1. 組織網(wǎng)絡(luò)中的所有服務(wù)器和網(wǎng)絡(luò)組件是否都使用最新的安全補(bǔ)丁和更新進(jìn)行了更新？

阿拉伯?dāng)?shù)字。 是否有及時應(yīng)用新補(bǔ)丁和更新的流程？

3. 使用什么型號的防火墻？

4. 是否有入侵防御系統(tǒng) （IPS）？

5. 是否存在分布式拒絕服務(wù) （DDoS） 防御系統(tǒng)？

6. 是否對具有服務(wù)器和網(wǎng)絡(luò)設(shè)備root訪問權(quán)限的所有個人進(jìn)行背景調(diào)查？

7. 是否記錄了所有安全事件？這些日志會保留多長時間？

8. 是否有安全信息和事件管理 （SIEM） 解決方案來提供安全事件的分析和關(guān)聯(lián)？

9. 根密碼多久更改一次？

10. 有哪些系統(tǒng)可以保護(hù)和授權(quán)訪問物理服務(wù)器和網(wǎng)絡(luò)組件（PIN碼，ID徽章，生物識別等）？

5. 安全的基礎(chǔ) – 您是否在構(gòu)建時考慮了安全性？

確保您的 M2M 應(yīng)用程序在構(gòu)建時具有堅(jiān)實(shí)的基礎(chǔ)，同時牢記安全性。盡早確定安全性將是重中之重。如果可能，請至少分配一個開發(fā)團(tuán)隊(duì)成員來專注于應(yīng)用程序的安全性。此人應(yīng)努力識別風(fēng)險并推薦避免風(fēng)險的解決方案。建議此人獲得行業(yè)標(biāo)準(zhǔn)安全認(rèn)證，如安全軟件生命周期認(rèn)證專家 （CSSLP）。

為內(nèi)部安全和定期測試建立良好的協(xié)議也很重要。測試可能包括掃描 Web 界面、查看網(wǎng)絡(luò)流量、分析物理端口的需求，以及評估設(shè)備與云和移動應(yīng)用程序的身份驗(yàn)證和交互。

簡而言之，從頭開始確保安全性是并且仍然是產(chǎn)品設(shè)計(jì)和管理的關(guān)鍵要素。

審核編輯：郭婷