实现物联网安全需要的不仅仅是强大的技术

关于数据泄露事件的新闻头条已经变得如此普遍,以至于对于一周内大规模盗窃数据的反应很快就会被更加严重的安全性崩溃所导致。
黑客从各种类型的组织窃取信息 - 甚至三封信的政府机构曾被认为是难以理解的。在所有这一切中,一个有用的教训不在于没有人能够免疫且更重要的考虑因素:安全威胁及其缓解是一项持续的斗争,不仅涉及网络专家,还涉及触及数据的所有人和每个人。2018年,数据安全方面的最大差距之一在于认识到安全性是一个组织问题,需要在系统的每个级别结合技术,实践和策略,无论是在企业IT中还是通过基于云的IoT应用程序传播。
以数据加密为例。开发人员认识到加密方法的基本需求,以确保通过网络传递并存储在主机上的数据和元数据的完整性。诸如椭圆曲线密码术之类的技术已经获得了越来越多的认可,它们能够提供与旧密码方法相同的安全级别,但密钥长度更短,解决方案更快 - 资源受限的物联网设备的重要考虑因素。然而,即使是最强大的加密算法也无法确保安全性,而无需在整个密钥生命周期中保证加密密钥的保护,包括密钥创建,设备配置甚至密钥撤销。
使用强大的技术,实践和加密策略是安全所必需的,但绝不是足够的。应用程序的整体完整性还要求确保数据供应商和消费者是整个数据工作流程的授权参与者。这种保证采用身份验证协议的形式,例如传输层安全性,椭圆曲线Diffie-Hellman以及其他在因特网和Web应用程序中广泛使用的协议。
在Web上,身份验证通常仅限于主机身份验证,以确保用户与目标主机保持联系。虽然这种单向认证可能对Web应用程序来说是令人满意的,但IoT应用程序通常需要相互认证,其中IoT设备和主机都验证了另一个的身份。即便如此,开发人员还需要将身份验证技术与合适的实 例如,身份验证协议可能允许从会话到会话重用相同的会话密钥 - 这种做法将设备和主机暴露给中间人攻击和会话劫持,如卡内基梅隆大学计算机应急响应小组最近记录的那样(CERT )。
正确的加密和身份验证可能仍然不足以确保由边缘设备聚合并最终由基于云的应用程序消耗的IoT设备生成的数据的有效性。糟糕的演员可以利用设备软件更新延迟来安装受其控制的损坏版本。因此,设备和主机可能正在使用公认的加密密钥和身份验证实践,但在这些系统上运行的软件本身可能不值得信任。
安全的无线(OTA)更新和安全启动方法旨在防止这些攻击,但软件堆栈的每一层都可能存在漏洞。理想情况下,开发人员采用足够的安全措施来确保在底层软件的每一层使用有效的软件,从而为所有其他安全功能,软件应用程序和数据操作创建强大的信任根。然而,在实践中,由于各种因素(从用于执行安全操作的有限设备资源到对适当安全开发实践的有限理解)的组合,构建此信任根可能在物联网实现中不足。
凭借其设备标识符组合引擎(DICE)规范,可信计算组提出了一种多阶段方法,该方法使用与引导过程的每个阶段相关联的秘密来创建信任根,即使在资源受限的设备中也是如此。一类新兴的硬件设备已经支持DICE并与补充云服务协同工作,以帮助加强安全性。
加密,身份验证和可信设备可以作为安全性的关键推动因素。但是,如果执行不当,那些相同的因素可能会带来额外的威胁表面。实际上,任何智能设备的开发和部署都会呈现多个威胁表面,而且当构建到物联网应用程序中时更是如此。很少有应用程序在开发人员,技术人员和用户的不同社区共享物联网的广泛开发。链中的每个参与者都在成功部署和运行这些复杂应用程序方面发挥着关键作用,并负责在其职权范围内维护安全实践,包括避免暴露于最臭名昭着的漏洞背后的基于社会工程的攻击。
好消息是,该行业开始认识到系统安全的广泛和协作性质。在最近的“安全宣言”中,ARM要求技术用户和提供商之间共同承担责任,以降低网络犯罪分子的有效性。在2018年,深刻理解共同责任的影响是实现安全的重要障碍。通过将安全性视为不仅仅是技术问题,该行业可以开始创建一个环境,在这个环境中,不良行为者发现安全连接系统受到危害的机会较少。

用户喜欢...

物联网安全:硬件与软件

我们现在的业务是将一切都连接到一切。有了这个,物联网(IoT)诞生了。一旦完成整个连接,这带来的集体努力让我们开始下一系列新的令人兴奋的系统。这导致必须信任和处理大量数据(...


物联网安全领域的新方法?

据i-hls网报道,物联网设备是信息技术(IT)和操作技术(OT)结合的产物。同时,许多物联网设备是云计算、移动计算、嵌入式系统、大数据、低价硬件和其他进步技术融合的结果。 智能互联设备为...


加强物联网安全的7个步骤

确保物联网的安全是一项多方面的工作,需要大动作和小调整,以确保网络、系统、数据和设备受到保护。下面是您可能没有考虑过的7种安全实践。 物联网最大的问题之一是确保网络、数据和...


物联网设备上90%以上的数据交易都是未加密的

一份新报告查看了企业网络上存在的数百万个物联网设备连接,发现超过40%的连接不加密其流量。这意味着大量此类设备暴露于中间人(MitM)攻击中,有能力拦截流量的黑客可以窃取或操纵其...


10个炙手可热的超酷,超酷的物联网安全初创公司

我们生活在一个可以通过与我们的家庭云管理助手交谈来控制我们的电视频道和音量的世界。我们可以安排家用冷却系统在我们离开办公室后立即开始工作。我们掌握着家用电器和技术的控制权...


一种更简便的增强 Wi-Fi 连接式物联网设计安全性的解决方案

Wi-Fi 连接是许多物联网 (IoT) 设备的关键要求,也是黑客们最喜爱的攻击目标。薄弱的安全措施会导致设备在持续的网络通信过程中容易遭到入侵。更糟糕的是,物联网设备有可能在其生命周期...


物联网安全:产品开发人员和投资者的常识

经过近5年(至少)媒体对物联网(IoT)隐私入侵和安全漏洞的不断报道,看到科技行业的某些部门显然仍在努力解决这些问题,这令人震惊。 对于许多分析师来说,这一切都归结为成本;对于其...


加密如何为物联网的未来提供动力

Gartner报告说,他们预计到2020年将安装超过200亿个物联网单元。这清楚地表明新的商业机会即将出现。 物联网(IoT) - 可穿戴设备,智能家居应用,自动驾驶汽车,智能城市,农业 - 创造了一...


物联网安全解决方案是否会涓流或冒泡?

对于不经意的观察者来说,今天的IoT(物联网)安全性似乎已经被任何措施所破坏。开发人员可以找到分散在各处的安全解决方案。通常情况下,这些解决方案仅仅是机制 - 拼图的一部分必须一...


物联网安全:将您的信任置于模块中

数据安全性目前是一个非常热门的话题。如果没有听到大公司或个人被烧的消息,很难度过一天。当我们生活中的几乎每个方面都涉及技术和数据存储时,这并不奇怪:每个城镇的街道都挤满了...


解开物联网安全的难关

最近的公共服务公告(PSA)中,FBI警告公众,物联网(IoT)设备是黑客非常有吸引力的目标。另外,最近的一项市场调查显示,很少有受访消费者认为他们了解物联网的性质,即使绝大多数同样...


物联网网络安全的现状

10月是国家网络安全意识月(NCSAM),还有什么时候讨论物联网网络安全的现状? 物联网设备包括智能扬声器和巨大的机器到机器工业网络。连接设备在各种垂直行业中变得非常流行。 由于设...


5个原因隐私和物联网不兼容

我们称之为 物联网 (IoT),但我们通常所说的是 个人数据互联网 。如果数据是新油,那么个人数据就是物联网的润滑剂。连接互联网的设备充斥着敏感信息。在超连接时代,我们正在以隐私...


有一种部署安全物联网的方法(并且不必太可怕)

如果您关心数据隐私和保护,您可能会担心在工作场所部署物联网解决方案。您也可能认识到,连接丰富的物联网网络是爱好黑客的游乐场,也是处理受损信息的人的金矿。 虽然安全问题可能...


物联网是否在没有安全带的情况下驾驶?

保护物联网(IoT)的速度一直很慢,并且会使用户隐私和个人安全受到威胁。物联网安全的主题在过去几年中获得了很多可见性。我们想知道这个行业是否比消费者做得更多,以提高安全性。此...


SDN和物联网:确保物联网安全

花点时间尝试精神描绘地球上的每一只昆虫。来吧 - 真的花一点时间,闭上眼睛,并获得一个生动的图像,知道有多少虫子。有它?好。现在将它们全部连接到互联网。这基本上就是我们所说的...