物联网是否在没有安全带的情况下驾驶?

保护物联网(IoT)的速度一直很慢,并且会使用户隐私和个人安全受到威胁。物联网安全的主题在过去几年中获得了很多可见性。我们想知道这个行业是否比消费者做得更多,以提高安全性。此外,消费者对理解如何保护自己似乎并不感兴趣。还能做些什么?在本文中,我们将尝试将我们研究的所有要点汇总到这些要点中。我们将谈论:
  1. 近年来的问题
  2. 为什么我们认为安全性目前不是物联网制造商的最高优先级,但应该是
  3. 是否可以获得安全的物联网
  4. 最后,关于企业和消费者今天可以做些什么的一些建议

物联网提供商应该从历史中学习

在20世纪30年代,美国医生开始在他们自己的汽车中安装临时安全带,这是因为车辆相关的死亡和伤害经常发生在医生身上。在接下来的几十年里,汽车安全方面有了很多创新。直到1968年,第一部联邦汽车安全法才生效。它要求所有机动车辆(公共汽车除外)都要制造并配备安全带。对于许多人来说,安全带可以挽救他们生命的基本理解足以证明穿着安全带是合理的。
尽管有统计数据,但很多人继续乘坐汽车而没有安全带。认识到一个简单的措施被许多乘客所忽视,美国各州需要花费数年时间才能通过法律,这些法律实际上要求乘客系好安全带或承担罚款。为什么采用这种简单的安全功能需要业界和消费者这么长时间?多年以后,关于物联网安全的现状,还会提出同样的问题吗?

像20世纪30年代的医生一样,我们意识到了这个问题

早在2014年,Target公司就正在应对来自远程访问其网络的黑客的影响(通过HVAC系统:连接设备)。仅这一漏洞就损害了成千上万的持卡人记录。物联网设备的安全性在2016年末引起了额外关注,当时发现Mirai僵尸网络已经感染了专家估计成千上万个连接设备。恶意代码用于对各种目标发起分布式拒绝服务(DDoS)攻击,从而导致广泛的中断。赛门铁克在其2017年互联网安全威胁报告中报告的另一个令人不安的事实是,破解连接设备的平均时间仅为两分钟。对于一个职业网络犯罪分子来说,这不是一个需要克服的障碍。最终,对设备安全性的关注不仅仅是受感染的用户/设备,还包括属于这些设备所依赖的较大网络的资产。因此,IT安全专家和专业人员关注连接设备的安全性已不是什么秘密。

专家估计,在未来五年内,将通过物联网系统连接数量惊人的设备。根据Gartner  Inc.的数据,2017年连接设备的数量达到约84亿。他们预测到2020年市场将增长近三倍,达到204亿。也许唯一比连接设备数量更令人惊讶的事实是无担保数量连接设备。

消费者和行业需求推动了对增强功能和用户体验的需求。为了与当今市场的“即时满足”胃口保持一致,消费者不会等待。简单地说:制造只能满足其功能目的的电器或产品的日子已经过去了。因此,与此同时,高管们为推动业务变革和创新提供这些产品的压力越来越大,IT专业人员和安全专家也面临同样令人担忧的问题:公司如何能够满足对智能设备的需求,同时也是聪明的安全吗?为了回答这个问题,可能有助于概述为物联网安全物联网增加不必要的复杂性的一些因素:
  1. 非技术公司被迫在技术领域展开竞争
  2. IT和安全专业人员短缺
  3. 各种设备都存在标准化挑战
在只烤面包的烤面包机感觉过于古老的时候,似乎每家公司都需要成为一家科技公司。
鉴于前面提到的动态,如果一家公司要在当今的技术驱动型经济中保持相关性,他们必须考虑自己在互联设备领域的角色 - 即使他们是传统的家电制造商或非技术公司。此外,似乎将“智能”方面带入其产品的压力还不够,科技公司也在寻找打入传统产品市场的方法,只会增加非科技公司在物联网武器中竞争的紧迫感种族。这意味着原始设备制造商(“OEM”)或非技术公司承担了快速将创新推向市场的高级任务,这不仅满足了设备的原始用途,而且满足了精通技术的用户。

急于获得“聪明”

什么是“非技术”公司?出于本讨论的目的,非技术公司是生产或制造传统上不被认为是智能或连接的产品或设备的公司(例如冰箱,厕所,加热系统,医疗设备,汽车)。另一方面,科技公司是主要生产或开发技术的公司; 想想谷歌,亚马逊,微软,IBM 。考虑到为传统的非技术设备添加连接组件所需的大量专业知识,研究和开发,行业领导者正在寻找留在游戏中的方法。两种常见的策略 非技术公司在物联网领域的竞争正在与科技公司合并或收购,并与合资企业的科技公司合作。

非科技公司收购科技公司的情况有所好转。 “纽约时报”依据彭博数据报道,2016年,“682家科技公司被一家非技术行业的公司收购,而科技公司则收购了655家。”根据这些数据,非科技公司账户近一半的科技公司收购。2017年,通用汽车采取了大胆举措,以便与特斯拉在自动驾驶汽车市场上展开竞争。他们收购了Strobe,一家位于加利福尼亚州的相对年轻的公司,专门从事开发 的 无人驾驶技术。

惠而浦  是一家OEM的例子,该公司在2010年开始建立一家合资企业,将家用电器连接到互联网。这一战略举措允许消费者通过智能手机远程控制和监控他们的设备。他们通过与一家科技公司Prodea合作来帮助他们建立连接部分。

值得注意的是,上述每种策略在安全性方面都存在挑战。通过收购技术提供商,仍然有责任确保为物联网安全开发提供适当的资金。“ Gartner预测,到2020年,超过25%的企业发现的攻击将涉及物联网,尽管物联网将占IT安全预算的不到10%。由于物联网的预算有限以及组织中早期物联网实施的分散方法,安全供应商将难以提供可用的物联网安全功能。供应商将过分关注发现漏洞和漏洞,而不是分割和其他更好地保护物联网的长期手段。“

外包并不能免除非技术公司的责任。  应制定谨慎的计划,以确定谁负责确保产品的安全设计和设备的后续支持。只要非技术公司将软件开发项目外包给第三方,非技术公司就需要负责制定完善的安全和可持续发展计划。从本质上讲,这要求他们通过代理成为一家科技公司。

一个合格的安全专业人员名单

智能技术需求的惊人增长只与拥有安全构建这些智能技术的技能的人员不断增长相匹配。正如思科的Sudashan Krishnamurthi所报告的那样,“许多组织都在努力了解哪些技能是成功的物联网实施所必需的。”此外,根据ISC2,分析师认为到2020年安全专业人员短缺将达到150万。

这并不是说物联网行业没有尝试。为了弥补缺乏合格的专业人员,领先的安全行业组织正在加强认证计划和培训机会。例如,ISC2创建了国际学术计划,以支持高等教育机构开发安全课程,以及网络安全和教育中心,该中心已设立奖学金以吸引个人将网络安全领域视为一种选择。此外,ISC2强调了针对此问题的以下建议:
  1. 为实习和学徒提供更多机会,为学生提供教育后的入门级途径。
  2. 当明天的领导者开始形成关于他们未来的想法时,我们的最年轻一代就会到来。将网络安全和信息安全纳入学术课程。
  3. 开辟新的人才来源或扩大仍未充分利用的现有人才库的使用(例如 社区大学生,女性,回归服务成员和少数群体)
  4. 整合工具和流程以优化整体人才资源。
最重要的风险是这些产品的创建和推向市场的速度。正如芝加哥论坛报,Haka Products创始人Colm Lennon 所引述的那样,“在这个互联物联网领域的所有角色中,如果公司希望以极快的速度进行创新,而且还要以创新的方式进行创新,那么他们必须真正紧密合作。这样做是为了保护他们的客户,保护自己并保护他们的合作伙伴。“随着企业努力发展和变革,他们的战略需要将消费者保护纳入竞争市场。

一种尺寸不适合所有

存在一系列设备和架构,并且存在各种安全挑战。连接的设备执行各种功能,包括处理,存储和传输数据; 有些人做三件事,有些人做,只有一件。此外,物联网设备有各种形状和大小。大多数设备都是小而离散的。那么为什么功能和大小会产生安全问题呢?

正如Nick Allot博士在2016 IoT安全会议上所指出的,一个重大的安全挑战是处理难以支持适当加密的受限或低功耗设备。这些设备很小,处理能力自然受到限制。找到设备功能,尺寸和安全性之间的和谐平衡已被证明是设备开发商和制造商面临的主要障碍之一。

单击“推文”提供各种类型的架构。然而,根据发表在沙特国王大学期刊上的一项研究,“这些架构的核心问题是在抽象层面缺乏互连事物的完全互操作性。这导致调用 许多公布的问题,如此 如:降低了智能程度,适应性较差,匿名性有限,系统行为不良,信任度降低,隐私和安全性降低。物联网架构由于其同质性方法的限制而确实会出现一些面向网络的问题。“简而言之,有许多伟大的”设计安全“架构,但使它们协同工作是一个挑战。

应该要求设计安全

不管 路径非技术公司正在将连接设备集成到他们的产品组合中,有一件事是肯定的:安全必须处于最前沿。虽然各行各业的管理层都在研究如何将物联网纳入未来的业务计划,但安全专业人员必须制定并就标准达成共识。问题在于先进的全球经济通过技术继续增长,物联网设备制造商没有一套监管标准来确保设备安全。

物联网行业现在可以开始做很多工作来改善安全性。行业,政府和SRO都在制定最佳实践。云提供商 - 谷歌,亚马逊和微软 - 都公开拥有物联网安全最佳实践,保证安全的基础设施,加密,身份验证,及时修补和防范恶意活动。一些云提供商甚至指导设备制造商在构建时考虑到安全性。他们推广诸如可修补设备设计,加密数据,没有硬编码密码,没有已知安全漏洞以及使用行业标准互联网协议等标准。

同样,物联网安全基金会(IOTSF)是一个非营利性组织,已经开发了大量指导文档,以解决设备制造商的物联网安全框架检查表,漏洞的报告和公告,以及产品和消费者安全意识支持。IOTSF建立了最佳实践用户标记,可供实施合规性框架建议的组织使用。马萨诸塞州和加州参议员于2017年10月起草了一项法案,以确保物联网设备满足某些网络安全要求。一个批准印章可能获得类似的动力收视率目前所需的视频游戏。参议员Edward J. Markey说,预期的结果将是“帮助消费者识别符合某些标准的产品”。今天拥有这些印章或标记的好处在于它们有助于提高消费者的意识,而不是等待制定法规。通过这种方式,经济可以更快地驱动受保护的设备。

用户喜欢...

物联网安全:硬件与软件

我们现在的业务是将一切都连接到一切。有了这个,物联网(IoT)诞生了。一旦完成整个连接,这带来的集体努力让我们开始下一系列新的令人兴奋的系统。这导致必须信任和处理大量数据(...


物联网安全领域的新方法?

据i-hls网报道,物联网设备是信息技术(IT)和操作技术(OT)结合的产物。同时,许多物联网设备是云计算、移动计算、嵌入式系统、大数据、低价硬件和其他进步技术融合的结果。 智能互联设备为...


加强物联网安全的7个步骤

确保物联网的安全是一项多方面的工作,需要大动作和小调整,以确保网络、系统、数据和设备受到保护。下面是您可能没有考虑过的7种安全实践。 物联网最大的问题之一是确保网络、数据和...


物联网设备上90%以上的数据交易都是未加密的

一份新报告查看了企业网络上存在的数百万个物联网设备连接,发现超过40%的连接不加密其流量。这意味着大量此类设备暴露于中间人(MitM)攻击中,有能力拦截流量的黑客可以窃取或操纵其...


10个炙手可热的超酷,超酷的物联网安全初创公司

我们生活在一个可以通过与我们的家庭云管理助手交谈来控制我们的电视频道和音量的世界。我们可以安排家用冷却系统在我们离开办公室后立即开始工作。我们掌握着家用电器和技术的控制权...


一种更简便的增强 Wi-Fi 连接式物联网设计安全性的解决方案

Wi-Fi 连接是许多物联网 (IoT) 设备的关键要求,也是黑客们最喜爱的攻击目标。薄弱的安全措施会导致设备在持续的网络通信过程中容易遭到入侵。更糟糕的是,物联网设备有可能在其生命周期...


物联网安全:产品开发人员和投资者的常识

经过近5年(至少)媒体对物联网(IoT)隐私入侵和安全漏洞的不断报道,看到科技行业的某些部门显然仍在努力解决这些问题,这令人震惊。 对于许多分析师来说,这一切都归结为成本;对于其...


加密如何为物联网的未来提供动力

Gartner报告说,他们预计到2020年将安装超过200亿个物联网单元。这清楚地表明新的商业机会即将出现。 物联网(IoT) - 可穿戴设备,智能家居应用,自动驾驶汽车,智能城市,农业 - 创造了一...


物联网安全解决方案是否会涓流或冒泡?

对于不经意的观察者来说,今天的IoT(物联网)安全性似乎已经被任何措施所破坏。开发人员可以找到分散在各处的安全解决方案。通常情况下,这些解决方案仅仅是机制 - 拼图的一部分必须一...


物联网安全:将您的信任置于模块中

数据安全性目前是一个非常热门的话题。如果没有听到大公司或个人被烧的消息,很难度过一天。当我们生活中的几乎每个方面都涉及技术和数据存储时,这并不奇怪:每个城镇的街道都挤满了...


实现物联网安全需要的不仅仅是强大的技术

关于数据泄露事件的新闻头条已经变得如此普遍,以至于对于一周内大规模盗窃数据的反应很快就会被更加严重的安全性崩溃所导致。 黑客从各种类型的组织窃取信息 - 甚至三封信的政府机构...


解开物联网安全的难关

最近的公共服务公告(PSA)中,FBI警告公众,物联网(IoT)设备是黑客非常有吸引力的目标。另外,最近的一项市场调查显示,很少有受访消费者认为他们了解物联网的性质,即使绝大多数同样...


物联网网络安全的现状

10月是国家网络安全意识月(NCSAM),还有什么时候讨论物联网网络安全的现状? 物联网设备包括智能扬声器和巨大的机器到机器工业网络。连接设备在各种垂直行业中变得非常流行。 由于设...


5个原因隐私和物联网不兼容

我们称之为 物联网 (IoT),但我们通常所说的是 个人数据互联网 。如果数据是新油,那么个人数据就是物联网的润滑剂。连接互联网的设备充斥着敏感信息。在超连接时代,我们正在以隐私...


有一种部署安全物联网的方法(并且不必太可怕)

如果您关心数据隐私和保护,您可能会担心在工作场所部署物联网解决方案。您也可能认识到,连接丰富的物联网网络是爱好黑客的游乐场,也是处理受损信息的人的金矿。 虽然安全问题可能...


SDN和物联网:确保物联网安全

花点时间尝试精神描绘地球上的每一只昆虫。来吧 - 真的花一点时间,闭上眼睛,并获得一个生动的图像,知道有多少虫子。有它?好。现在将它们全部连接到互联网。这基本上就是我们所说的...