实现物联网安全需要的不仅仅是强大的技术

关于数据泄露事件的新闻头条已经变得如此普遍,以至于对于一周内大规模盗窃数据的反应很快就会被更加严重的安全性崩溃所导致。
黑客从各种类型的组织窃取信息 - 甚至三封信的政府机构曾被认为是难以理解的。在所有这一切中,一个有用的教训不在于没有人能够免疫且更重要的考虑因素:安全威胁及其缓解是一项持续的斗争,不仅涉及网络专家,还涉及触及数据的所有人和每个人。2018年,数据安全方面的最大差距之一在于认识到安全性是一个组织问题,需要在系统的每个级别结合技术,实践和策略,无论是在企业IT中还是通过基于云的IoT应用程序传播。
以数据加密为例。开发人员认识到加密方法的基本需求,以确保通过网络传递并存储在主机上的数据和元数据的完整性。诸如椭圆曲线密码术之类的技术已经获得了越来越多的认可,它们能够提供与旧密码方法相同的安全级别,但密钥长度更短,解决方案更快 - 资源受限的物联网设备的重要考虑因素。然而,即使是最强大的加密算法也无法确保安全性,而无需在整个密钥生命周期中保证加密密钥的保护,包括密钥创建,设备配置甚至密钥撤销。
使用强大的技术,实践和加密策略是安全所必需的,但绝不是足够的。应用程序的整体完整性还要求确保数据供应商和消费者是整个数据工作流程的授权参与者。这种保证采用身份验证协议的形式,例如传输层安全性,椭圆曲线Diffie-Hellman以及其他在因特网和Web应用程序中广泛使用的协议。
在Web上,身份验证通常仅限于主机身份验证,以确保用户与目标主机保持联系。虽然这种单向认证可能对Web应用程序来说是令人满意的,但IoT应用程序通常需要相互认证,其中IoT设备和主机都验证了另一个的身份。即便如此,开发人员还需要将身份验证技术与合适的实 例如,身份验证协议可能允许从会话到会话重用相同的会话密钥 - 这种做法将设备和主机暴露给中间人攻击和会话劫持,如卡内基梅隆大学计算机应急响应小组最近记录的那样(CERT )。
正确的加密和身份验证可能仍然不足以确保由边缘设备聚合并最终由基于云的应用程序消耗的IoT设备生成的数据的有效性。糟糕的演员可以利用设备软件更新延迟来安装受其控制的损坏版本。因此,设备和主机可能正在使用公认的加密密钥和身份验证实践,但在这些系统上运行的软件本身可能不值得信任。
安全的无线(OTA)更新和安全启动方法旨在防止这些攻击,但软件堆栈的每一层都可能存在漏洞。理想情况下,开发人员采用足够的安全措施来确保在底层软件的每一层使用有效的软件,从而为所有其他安全功能,软件应用程序和数据操作创建强大的信任根。然而,在实践中,由于各种因素(从用于执行安全操作的有限设备资源到对适当安全开发实践的有限理解)的组合,构建此信任根可能在物联网实现中不足。
凭借其设备标识符组合引擎(DICE)规范,可信计算组提出了一种多阶段方法,该方法使用与引导过程的每个阶段相关联的秘密来创建信任根,即使在资源受限的设备中也是如此。一类新兴的硬件设备已经支持DICE并与补充云服务协同工作,以帮助加强安全性。
加密,身份验证和可信设备可以作为安全性的关键推动因素。但是,如果执行不当,那些相同的因素可能会带来额外的威胁表面。实际上,任何智能设备的开发和部署都会呈现多个威胁表面,而且当构建到物联网应用程序中时更是如此。很少有应用程序在开发人员,技术人员和用户的不同社区共享物联网的广泛开发。链中的每个参与者都在成功部署和运行这些复杂应用程序方面发挥着关键作用,并负责在其职权范围内维护安全实践,包括避免暴露于最臭名昭着的漏洞背后的基于社会工程的攻击。
好消息是,该行业开始认识到系统安全的广泛和协作性质。在最近的“安全宣言”中,ARM要求技术用户和提供商之间共同承担责任,以降低网络犯罪分子的有效性。在2018年,深刻理解共同责任的影响是实现安全的重要障碍。通过将安全性视为不仅仅是技术问题,该行业可以开始创建一个环境,在这个环境中,不良行为者发现安全连接系统受到危害的机会较少。

用户喜欢...

解开物联网安全的难关

最近的公共服务公告(PSA)中,FBI警告公众,物联网(IoT)设备是黑客非常有吸引力的目标。另外,最近的一项市场调查显示,很少有受访消费者认为他们了解物联网的性质,即使绝大多数同样...


物联网网络安全的现状

10月是国家网络安全意识月(NCSAM),还有什么时候讨论物联网网络安全的现状? 物联网设备包括智能扬声器和巨大的机器到机器工业网络。连接设备在各种垂直行业中变得非常流行。 由于设...


5个原因隐私和物联网不兼容

我们称之为 物联网 (IoT),但我们通常所说的是 个人数据互联网 。如果数据是新油,那么个人数据就是物联网的润滑剂。连接互联网的设备充斥着敏感信息。在超连接时代,我们正在以隐私...


有一种部署安全物联网的方法(并且不必太可怕)

如果您关心数据隐私和保护,您可能会担心在工作场所部署物联网解决方案。您也可能认识到,连接丰富的物联网网络是爱好黑客的游乐场,也是处理受损信息的人的金矿。 虽然安全问题可能...


物联网是否在没有安全带的情况下驾驶?

保护物联网(IoT)的速度一直很慢,并且会使用户隐私和个人安全受到威胁。物联网安全的主题在过去几年中获得了很多可见性。我们想知道这个行业是否比消费者做得更多,以提高安全性。此...


MCU提供基于硬件的物联网安全性

伦敦 - 安全突然成为一个热门话题。考虑到所有关于连接设备和实现物联网(IoT)设备的讨论,以及对网络攻击的潜在威胁的更多认识,这并不令人惊讶。认识到这一点,意法半导体和恩智浦半...


SDN和物联网:确保物联网安全

花点时间尝试精神描绘地球上的每一只昆虫。来吧 - 真的花一点时间,闭上眼睛,并获得一个生动的图像,知道有多少虫子。有它?好。现在将它们全部连接到互联网。这基本上就是我们所说的...


僵尸网络带来物联网战役:重访嵌入式安全

针对物联网(IoT)的僵尸网络的崛起已成为快速发展的新兴行业(如家庭自动化,智能城市和工业网络)的明显和现实危险。虽然僵尸网络释放分布式拒绝服务(DDoS)攻击已经有相当长的一段...


降低机器人风险:如何设计安全的工业环境

工业自动化(IA)的增加,特别是工业机器人的使用,正在增加人类操作员与其他移动设备或移动机器之间的意外交互的机会。设计师有责任采取适当且经常重叠的安全预防措施,以避免从生产...


物联网时代安全问题刻不容缓

云端运算及联网家电等物联网应用日渐普及,黑客手法越来越多变,促使全球安全备受挑战。比起计算机,物联网装...


万物联网门户洞开 物联网安全议题提前发酵

曾几何时,物联网沦为互联网灾难的帮凶,众多受害企业苦不堪言。若要增强联网装置的自我防护,并预防安全漏洞...


盘点2017年发生的12大物联网安全事件

2017年随着物联网的高速发展,人们生活中与物联网设备的接触越来越频繁,人与物联网之间的联系更加紧密。IPv6通讯协议、5G通信的推广,网络传输和响应的速度越来越快,万物互联时代即将...


物联网安全迫在眉睫,如何让物联网攻不可破?

如今,快速发展的物联网设备确实能够在日常生活中为人们提供帮助,通过提供连接和智能服务,可以使人们的生活...


芯片/软件/制程保障物联网

随着物联网范围不断扩大,甚至将企业、工业和公营事业应用涵盖在内,物联网安全性不足的风险也随之高涨。但想...


万物联网潜藏风险 5G/IOT安全议题受瞩目

近来物联网的安全防护问题备受质疑,再加上5G通讯技术的发展日趋成熟,而且万物联网、数据上云端,使得黑客能够...


【原创深度】僵尸网络引发物联网安全大战:再谈嵌入式安全

贸泽电子 Majeed Ahmad 物联网(IoT)僵尸网络(botnet)的兴起已经成为智能家庭,智慧城市和工业网络化等新兴产业的安全威胁。僵尸网络的分布式拒绝服务(DDoS)攻击已有时日,而且针对物联...