物联网是否在没有安全带的情况下驾驶?

保护物联网(IoT)的速度一直很慢,并且会使用户隐私和个人安全受到威胁。物联网安全的主题在过去几年中获得了很多可见性。我们想知道这个行业是否比消费者做得更多,以提高安全性。此外,消费者对理解如何保护自己似乎并不感兴趣。还能做些什么?在本文中,我们将尝试将我们研究的所有要点汇总到这些要点中。我们将谈论:
  1. 近年来的问题
  2. 为什么我们认为安全性目前不是物联网制造商的最高优先级,但应该是
  3. 是否可以获得安全的物联网
  4. 最后,关于企业和消费者今天可以做些什么的一些建议

物联网提供商应该从历史中学习

在20世纪30年代,美国医生开始在他们自己的汽车中安装临时安全带,这是因为车辆相关的死亡和伤害经常发生在医生身上。在接下来的几十年里,汽车安全方面有了很多创新。直到1968年,第一部联邦汽车安全法才生效。它要求所有机动车辆(公共汽车除外)都要制造并配备安全带。对于许多人来说,安全带可以挽救他们生命的基本理解足以证明穿着安全带是合理的。
尽管有统计数据,但很多人继续乘坐汽车而没有安全带。认识到一个简单的措施被许多乘客所忽视,美国各州需要花费数年时间才能通过法律,这些法律实际上要求乘客系好安全带或承担罚款。为什么采用这种简单的安全功能需要业界和消费者这么长时间?多年以后,关于物联网安全的现状,还会提出同样的问题吗?

像20世纪30年代的医生一样,我们意识到了这个问题

早在2014年,Target公司就正在应对来自远程访问其网络的黑客的影响(通过HVAC系统:连接设备)。仅这一漏洞就损害了成千上万的持卡人记录。物联网设备的安全性在2016年末引起了额外关注,当时发现Mirai僵尸网络已经感染了专家估计成千上万个连接设备。恶意代码用于对各种目标发起分布式拒绝服务(DDoS)攻击,从而导致广泛的中断。赛门铁克在其2017年互联网安全威胁报告中报告的另一个令人不安的事实是,破解连接设备的平均时间仅为两分钟。对于一个职业网络犯罪分子来说,这不是一个需要克服的障碍。最终,对设备安全性的关注不仅仅是受感染的用户/设备,还包括属于这些设备所依赖的较大网络的资产。因此,IT安全专家和专业人员关注连接设备的安全性已不是什么秘密。

专家估计,在未来五年内,将通过物联网系统连接数量惊人的设备。根据Gartner  Inc.的数据,2017年连接设备的数量达到约84亿。他们预测到2020年市场将增长近三倍,达到204亿。也许唯一比连接设备数量更令人惊讶的事实是无担保数量连接设备。

消费者和行业需求推动了对增强功能和用户体验的需求。为了与当今市场的“即时满足”胃口保持一致,消费者不会等待。简单地说:制造只能满足其功能目的的电器或产品的日子已经过去了。因此,与此同时,高管们为推动业务变革和创新提供这些产品的压力越来越大,IT专业人员和安全专家也面临同样令人担忧的问题:公司如何能够满足对智能设备的需求,同时也是聪明的安全吗?为了回答这个问题,可能有助于概述为物联网安全物联网增加不必要的复杂性的一些因素:
  1. 非技术公司被迫在技术领域展开竞争
  2. IT和安全专业人员短缺
  3. 各种设备都存在标准化挑战
在只烤面包的烤面包机感觉过于古老的时候,似乎每家公司都需要成为一家科技公司。
鉴于前面提到的动态,如果一家公司要在当今的技术驱动型经济中保持相关性,他们必须考虑自己在互联设备领域的角色 - 即使他们是传统的家电制造商或非技术公司。此外,似乎将“智能”方面带入其产品的压力还不够,科技公司也在寻找打入传统产品市场的方法,只会增加非科技公司在物联网武器中竞争的紧迫感种族。这意味着原始设备制造商(“OEM”)或非技术公司承担了快速将创新推向市场的高级任务,这不仅满足了设备的原始用途,而且满足了精通技术的用户。

急于获得“聪明”

什么是“非技术”公司?出于本讨论的目的,非技术公司是生产或制造传统上不被认为是智能或连接的产品或设备的公司(例如冰箱,厕所,加热系统,医疗设备,汽车)。另一方面,科技公司是主要生产或开发技术的公司; 想想谷歌,亚马逊,微软IBM 。考虑到为传统的非技术设备添加连接组件所需的大量专业知识,研究和开发,行业领导者正在寻找留在游戏中的方法。两种常见的策略 非技术公司在物联网领域的竞争正在与科技公司合并或收购,并与合资企业的科技公司合作。

非科技公司收购科技公司的情况有所好转。 “纽约时报”依据彭博数据报道,2016年,“682家科技公司被一家非技术行业的公司收购,而科技公司则收购了655家。”根据这些数据,非科技公司账户近一半的科技公司收购。2017年,通用汽车采取了大胆举措,以便与特斯拉在自动驾驶汽车市场上展开竞争。他们收购了Strobe,一家位于加利福尼亚州的相对年轻的公司,专门从事开发 的 无人驾驶技术。

惠而浦  是一家OEM的例子,该公司在2010年开始建立一家合资企业,将家用电器连接到互联网。这一战略举措允许消费者通过智能手机远程控制和监控他们的设备。他们通过与一家科技公司Prodea合作来帮助他们建立连接部分。

值得注意的是,上述每种策略在安全性方面都存在挑战。通过收购技术提供商,仍然有责任确保为物联网安全开发提供适当的资金。“ Gartner预测,到2020年,超过25%的企业发现的攻击将涉及物联网,尽管物联网将占IT安全预算的不到10%。由于物联网的预算有限以及组织中早期物联网实施的分散方法,安全供应商将难以提供可用的物联网安全功能。供应商将过分关注发现漏洞和漏洞,而不是分割和其他更好地保护物联网的长期手段。“

外包并不能免除非技术公司的责任。  应制定谨慎的计划,以确定谁负责确保产品的安全设计和设备的后续支持。只要非技术公司将软件开发项目外包给第三方,非技术公司就需要负责制定完善的安全和可持续发展计划。从本质上讲,这要求他们通过代理成为一家科技公司。

一个合格的安全专业人员名单

智能技术需求的惊人增长只与拥有安全构建这些智能技术的技能的人员不断增长相匹配。正如思科的Sudashan Krishnamurthi所报告的那样,“许多组织都在努力了解哪些技能是成功的物联网实施所必需的。”此外,根据ISC2,分析师认为到2020年安全专业人员短缺将达到150万。

这并不是说物联网行业没有尝试。为了弥补缺乏合格的专业人员,领先的安全行业组织正在加强认证计划和培训机会。例如,ISC2创建了国际学术计划,以支持高等教育机构开发安全课程,以及网络安全和教育中心,该中心已设立奖学金以吸引个人将网络安全领域视为一种选择。此外,ISC2强调了针对此问题的以下建议:
  1. 为实习和学徒提供更多机会,为学生提供教育后的入门级途径。
  2. 当明天的领导者开始形成关于他们未来的想法时,我们的最年轻一代就会到来。将网络安全和信息安全纳入学术课程。
  3. 开辟新的人才来源或扩大仍未充分利用的现有人才库的使用(例如 社区大学生,女性,回归服务成员和少数群体)
  4. 整合工具和流程以优化整体人才资源。
最重要的风险是这些产品的创建和推向市场的速度。正如芝加哥论坛报,Haka Products创始人Colm Lennon 所引述的那样,“在这个互联物联网领域的所有角色中,如果公司希望以极快的速度进行创新,而且还要以创新的方式进行创新,那么他们必须真正紧密合作。这样做是为了保护他们的客户,保护自己并保护他们的合作伙伴。“随着企业努力发展和变革,他们的战略需要将消费者保护纳入竞争市场。

一种尺寸不适合所有

存在一系列设备和架构,并且存在各种安全挑战。连接的设备执行各种功能,包括处理,存储和传输数据; 有些人做三件事,有些人做,只有一件。此外,物联网设备有各种形状和大小。大多数设备都是小而离散的。那么为什么功能和大小会产生安全问题呢?

正如Nick Allot博士在2016 IoT安全会议上所指出的,一个重大的安全挑战是处理难以支持适当加密的受限或低功耗设备。这些设备很小,处理能力自然受到限制。找到设备功能,尺寸和安全性之间的和谐平衡已被证明是设备开发商和制造商面临的主要障碍之一。

单击“推文”提供各种类型的架构。然而,根据发表在沙特国王大学期刊上的一项研究,“这些架构的核心问题是在抽象层面缺乏互连事物的完全互操作性。这导致调用 许多公布的问题,如此 如:降低了智能程度,适应性较差,匿名性有限,系统行为不良,信任度降低,隐私和安全性降低。物联网架构由于其同质性方法的限制而确实会出现一些面向网络的问题。“简而言之,有许多伟大的”设计安全“架构,但使它们协同工作是一个挑战。

应该要求设计安全

不管 路径非技术公司正在将连接设备集成到他们的产品组合中,有一件事是肯定的:安全必须处于最前沿。虽然各行各业的管理层都在研究如何将物联网纳入未来的业务计划,但安全专业人员必须制定并就标准达成共识。问题在于先进的全球经济通过技术继续增长,物联网设备制造商没有一套监管标准来确保设备安全。

物联网行业现在可以开始做很多工作来改善安全性。行业,政府和SRO都在制定最佳实践。云提供商 - 谷歌,亚马逊和微软 - 都公开拥有物联网安全最佳实践,保证安全的基础设施,加密,身份验证,及时修补和防范恶意活动。一些云提供商甚至指导设备制造商在构建时考虑到安全性。他们推广诸如可修补设备设计,加密数据,没有硬编码密码,没有已知安全漏洞以及使用行业标准互联网协议等标准。

同样,物联网安全基金会(IOTSF)是一个非营利性组织,已经开发了大量指导文档,以解决设备制造商的物联网安全框架检查表,漏洞的报告和公告,以及产品和消费者安全意识支持。IOTSF建立了最佳实践用户标记,可供实施合规性框架建议的组织使用。马萨诸塞州和加州参议员于2017年10月起草了一项法案,以确保物联网设备满足某些网络安全要求。一个批准印章可能获得类似的动力收视率目前所需的视频游戏。参议员Edward J. Markey说,预期的结果将是“帮助消费者识别符合某些标准的产品”。今天拥有这些印章或标记的好处在于它们有助于提高消费者的意识,而不是等待制定法规。通过这种方式,经济可以更快地驱动受保护的设备。

用户喜欢...

MCU提供基于硬件的物联网安全性

伦敦 - 安全突然成为一个热门话题。考虑到所有关于连接设备和实现物联网(IoT)设备的讨论,以及对网络攻击的潜在威胁的更多认识,这并不令人惊讶。认识到这一点,意法半导体和恩智浦半...


SDN和物联网:确保物联网安全

花点时间尝试精神描绘地球上的每一只昆虫。来吧 - 真的花一点时间,闭上眼睛,并获得一个生动的图像,知道有多少虫子。有它?好。现在将它们全部连接到互联网。这基本上就是我们所说的...


僵尸网络带来物联网战役:重访嵌入式安全

针对物联网(IoT)的僵尸网络的崛起已成为快速发展的新兴行业(如家庭自动化,智能城市和工业网络)的明显和现实危险。虽然僵尸网络释放分布式拒绝服务(DDoS)攻击已经有相当长的一段...


降低机器人风险:如何设计安全的工业环境

工业自动化(IA)的增加,特别是工业机器人的使用,正在增加人类操作员与其他移动设备或移动机器之间的意外交互的机会。设计师有责任采取适当且经常重叠的安全预防措施,以避免从生产...


物联网时代安全问题刻不容缓

云端运算及联网家电等物联网应用日渐普及,黑客手法越来越多变,促使全球安全备受挑战。比起计算机,物联网装...


万物联网门户洞开 物联网安全议题提前发酵

曾几何时,物联网沦为互联网灾难的帮凶,众多受害企业苦不堪言。若要增强联网装置的自我防护,并预防安全漏洞...


盘点2017年发生的12大物联网安全事件

2017年随着物联网的高速发展,人们生活中与物联网设备的接触越来越频繁,人与物联网之间的联系更加紧密。IPv6通讯协议、5G通信的推广,网络传输和响应的速度越来越快,万物互联时代即将...


物联网安全迫在眉睫,如何让物联网攻不可破?

如今,快速发展的物联网设备确实能够在日常生活中为人们提供帮助,通过提供连接和智能服务,可以使人们的生活...


芯片/软件/制程保障物联网

随着物联网范围不断扩大,甚至将企业、工业和公营事业应用涵盖在内,物联网安全性不足的风险也随之高涨。但想...


万物联网潜藏风险 5G/IOT安全议题受瞩目

近来物联网的安全防护问题备受质疑,再加上5G通讯技术的发展日趋成熟,而且万物联网、数据上云端,使得黑客能够...


【原创深度】僵尸网络引发物联网安全大战:再谈嵌入式安全

贸泽电子 Majeed Ahmad 物联网(IoT)僵尸网络(botnet)的兴起已经成为智能家庭,智慧城市和工业网络化等新兴产业的安全威胁。僵尸网络的分布式拒绝服务(DDoS)攻击已有时日,而且针对物联...


工业、企业、消费者领域物联网安全趋势分析

对消费者来说,物联网有助于提升生活的舒适度、改善生活方式,并节省开销。对产业来说,物联网能增进效率、节...


90%消费者对物联网(iot)装置缺乏信心

数字安全公司Gemalto最新调查显示,90%的消费者对物联网装置的安全性缺乏信心。有3分之2的消费者和几乎80%企业因不...


三大步骤确保物联网安全

技术的价值与其实用性直接相关,今日,物联网设备的先进性和数量正在重塑我们的文明。但实用性是一把两面刃。...


万物联网无所不在 安全设计不可缺

我们每个人都将连接到许多不同的“物”,创造许多接触点。虽然这会为消费者及企业带来更大的方便性,但同时这...


Cisco副总裁:制造业的IT和营运紧密合作,才有可能防范物联网安全威胁

在网通设备中,Cisco 是相当重要的公司,而在安全上面 Cisco 也有着墨的地方。Cisco 负责企业安全的安全业务集团副总...