从独特的威胁中保护物联网产品

  在最近的一次安全会议上,一名白帽黑客在起搏器中恶意注入830V电击,只需使用距离最远15.24米的笔记本电脑。不用说,这种攻击的“现实世界影响”可能是致命的。有人声称,黑客可以轻易地扩大此类攻击,以增加对心脏起搏器患者的致命影响。最新一代的心脏起搏器基本上由网络连接的植入式物联网(IoT)设备组成。无论是哪个行业,任何物联网设备中的安全漏洞都会引起严重关注。

  网络连接将物联网产品暴露给新的攻击媒介。2016年对Dyn域名系统(DNS)服务器的臭名昭着的分布式拒绝服务(DDoS)攻击显示了攻击者如何将不安全的物联网设备武器化为物联网僵尸网络。连接的“事物”的网络物理特征进一步提高了保护它们的门槛。

  为什么安全性如此对网络物理系统至关重要?

  网络物理系统(CPS)是指与物理环境直接交互的任何网络连接产品。网络物理系统的例子包括:

  • 连接可穿戴设备(例如健身监视器)

  • 植入式设备(例如,心脏起搏器)

  • 自动驾驶汽车

  • 工业机器人

  • 燃气轮机

  与私人或公共网络的网络连接扩大了他们的攻击面。攻击者可以远程连接并利用CPS中的漏洞,并将其用作造成重大物理损害的工具。2010年,臭名昭着的Stuxnet蠕虫感染了工业控制系统并操纵了传感器反馈到控制器的继电器,最终损坏了伊朗核电站中984个富铀离心机。因此,CPS的安全漏洞不仅仅是数据或声誉的损失; 它还意味着环境损害,生命损失,因此涉及道德,法律和道德后果。

  保护物联网产品的独特挑战

  设计人员可以轻松查明任何传统独立系统与物联网产品之间威胁模型的大差异。物联网产品总是作为连接生态系统的一部分运行,甚至像智能发电公用事业那样的“系统系统”,这使得他们的安全状况具有独特的挑战性。

  除了物联网端点中本机硬件和软件的固有安全漏洞之外,我们还必须考虑其操作环境,网络连接以及与第三方平台和系统的互操作性所导致的漏洞。

  运营环境

  与传统PC不同,IoT产品将计算与特定于域的操作融合在一起。例如,工业机器人除了嵌入式计算和存储功能之外,还在工业环境中执行特定于域的功能。

  物联网产品运营的环境会带来某些独特的安全挑战:

  • 不同的安全优先级:IT安全实践侧重于数据机密性,完整性和系统可用性。在运营环境中; 但是,保护地点,人员和流程优先。因此,应用于物联网的标准IT安全实践必须保留,如果不增强其安全性和可靠性要求。

  • 网络安全能力不足:2017年9月,工业控制系统网络应急响应小组(ICS-CERT)标志着美国医院使用的注射器输液泵存在多个安全漏洞。其中大部分与使用硬编码或出厂默认安全凭证有关。用户和操作人员并不总是网络安全专家,因此无法检测并防范这些缺陷。

  • 及时修补:提供软件和固件更新以解决安全漏洞。在工业环境中; 但是,定期修补不是常态。此外,在许多情况下,固件升级可能需要暂时停用IoT产品。

  • 系统限制:许多物联网产品(如传感器和执行器)的内存和CPU占用空间都很小,这限制了它们的嵌入式安全功能。

  网络连接

  连接性使“安全”产品暴露于网络入侵的后果。2014年,查理•米勒和克里斯•瓦拉塞克通过利用其软件缺陷,远程将高速公路全速运行的联网车辆完全停止。要阅读他们的完整报告,请参阅他们的题为“ 远程开发未改变的乘用车 ”的文章。

  信息安全设计主要依靠使用防火墙和分区的边界保护。在物联网产品中越来越多地使用无线电技术和无线技术使它们成为远程攻击的简单目标。未加密的数据通信也是物联网妥协的主要原因。

  第三方互操作性

  任何物联网解决方案都涉及多个技术,配置和协议的服务提供商。这导致更复杂,不均衡的安全合规性以及攻击面的增加。基于订阅的模型增加了对第三方提供商对设备供应,管理和操作的依赖性,从而暴露了新的攻击媒介。

  安全物联网产品的4层方法

  物联网安全需要超越传统的网络安全措施,以克服这些挑战。包含边缘到云工作流的物联网安全的全栈方法至关重要。物联网系统设计的4层安全模型可以降低独特的风险。

  1. 可靠的端点设计

  由于它们与物理环境的直接交互,非常需要防篡改设计。合适的凭证(例如,非默认用户名/密码或公钥基础结构(PKI)证书)可以限制未经授权的设备访问和操作。其他一些安全设计措施需要考虑:

  • 基于可信平台模块(TPM)的信任根

  • 初始化和引导过程完整性

  • 提供安全的固件和软件更新

  • 存储和传输中数据的完整性

  选择安全的实时操作系统(RTOS)和使用容器化的故障隔离可以在运行时保护端点。

  2. 安全的网络访问

  由于物联网运营的独特挑战,设计思维需要设想并深入分析以下用例场景:

  • 访问方法

  • 产品用法

  • 数据通信

  • 转角案件

  这直接导致开发网络连接的威胁模型,并让我们了解如何:

  • 保护访问端口

  • 在storge和transport期间加密数据

  • 使用隧道

  • 保护协议

  • 在网络周边执行深度数据包检查

  无线和RF是物联网连接的主要选择,通常更容易受到攻击。但是,您可以通过以下方式降低连接风险:

  • 通过访问和身份控制实施网络访问凭证

  • 启用常见IoT协议的内置安全功能,例如:

  • 消息队列遥测传输(MQTT)

  • 约束应用程序协议(CoAP)

  • 紫蜂

  • 传输控制协议/ Internet协议(TCP / IP)

  3. 基于合规性的设计

  尽管合规性并不等同于安全性,但合规性设计可以最大限度地减少漏洞。与信息安全不同,除了数据完整性,隐私和可用性之外,物联网安全还涉及安全性,可靠性和弹性。换句话说,如果发生破坏,系统必须设计成小心过渡到稳定的故障状态,对周围环境的影响最小。在全速自动驾驶车辆的情况下,故障应该小心地使其停止。这就是为什么除了网络安全标准 - 联邦信息处理标准(FIPS),ISO 27001,国家标准与技术研究院(NIST)SP 800等之外 - 系统设计需要交叉符合行业特定法规 - 例如,健康保险流通与责任(HIPAA),交通部(DOT)。

  4. 云和应用程序安全性

  基于云的配置,设备管理以及数据和应用程序托管是任何物联网产品部署的核心。许多物联网产品在软件即服务(SaaS)上运行,其中第三方托管软件层。虽然系统设计人员可能会或可能不会直接控制基于云的服务中的安全实施,但仍然必须根据某些云安全标准和最佳实践来构建部署,这些标准和最佳实践在产品文档中已明确列举。

  结论

  互联产品是我们行业的未来。在不断变化的威胁环境中,物联网的网络物理特性增加了安全挑战。一旦确定了挑战,本博客中讨论的4层方法提供了一种降低风险的方法。

  关键点:

  • 物联网安全不仅仅是数据或声誉的损失,还意味着环境损害,生命损失,并涉及道德,法律和道德后果。

  • 物联网产品作为连接生态系统的一部分运行,这使其安全状况具有独特的挑战性。

  • 用于减轻威胁的物联网系统设计的4层安全模型涉及可靠的端点设计,安全的网络访问,基于合规性的设计以及云和应用程序安全性。

用户喜欢...

物联网的成功案例:从传感器数据中获取价值

物联网正在帮首席信息官收集大量的数据,比以往要多得多。在本文中,IT领导者们分享了物联网如何有助于改造制造业、农业和博物馆。 正在为数字时代重塑平台的企业迫切需要数据。这种...


集成是工业物联网成功的关键

缺乏集成是造成工业物联网发生故障的原因。 Software AG公司首席产品官Stefan Sigg日前对工业物联网的当前和未来发展状况进行了探讨,并发布了他们的研究报告,这些报告显示了工业物联网在北...


物联网时代的十大黄金定律

物联网是新一代信息技术的高度集成和综合应用,对新一轮产业变革和经济社会绿色、智能及可持续发展具有重要意义。明确物联网准则,也是为了给物联网产业创造更好的发展环境。 物联网...


低轨物联网星座,想说爱你不再难——低轨星座的铱星阴影

随着一网星座和星链星座的你追我赶,低轨道星座已经逐渐从务虚的PPT,进入到实际部署阶段。如果不出意外,1-2年内,世界上大多数地方就可以享受到部分低轨星座的服务了。其中除了上述...


物联网的共生效应

物联网作为一个概念被提出迄今已20多年,却未能像互联网一样给社会带来巨大的变革和冲击。物联网的核心动能在哪里,是沦为互联网的延伸和附庸,还是构建出一个划时代的社会形态和新经...


物联网的好处是否大于威胁?

如果不采用新技术,即使是大型知名企业也有可能落后。根据福布斯的一项调查显示,物联网和云计算目前是各大机构的投资重点。在未来的5年里,由于物联网技术的影响,我们将见证企业界...


领导者需要了解物联网的4件事

物联网(IoT)是一个由智能设备、汽车导航器、无人机等物理对象组成的网络,它们可以通过互联网进行通信、交互和交换数据。物联网最早的例子之一是20世纪80年代早期卡内基梅隆大学校园里...


UROS在俄罗斯签署意义重大的物联网项目合同

协议价值1.5亿欧元 2019年第四季度开始执行 2019年9月12日,芬兰一站式物联网解决方案供应商UROS已与其在俄罗斯的主要经销合作伙伴签署了关于销售智能水循环技术和提供相关服务的最新合同。...


构建有利可图的物联网产品的四个步骤

在过去的十年中,很多人围绕物联网(IoT)以及如何成为战略性游戏规则改变者进行了大量宣传和推广。但是只是简单地确定投资物联网,这对企业来说并不是一个成功的策略。 构建提供持续性...


四年投入50亿美元 微软的IoT野心实现得怎么样了?

近日,微软公布了针对全球物联网应用现状所做的 IoT Signals 研究报告,并发布了其在打造全面、安全、可信的智能物联网和边缘计算平台上的一系列最新进展。 IoT 发展的现状和挑战 雷锋网了...


下一个十年物联网能否催生新的BAT?

从物联网概念在1999年第一次被提出,科学家和业界一直在为人们描绘一个明日世界:万物互联,高效便捷。 司机出现操作失误时,汽车会自动报警;公文包会提醒主人忘带了什么东西;衣服会告...


关于工业物联网和智能制造 您需要了解的5件事

国际数据公司(IDC)的一份报告显示,预计到2019年,全球物联网(IoT)支出将达到7450亿美元。预计制造业将引领物联网投资,并且支出将达到1890亿美元。这一趋势预示着工业物联网(IIOT)和智能制造...


随着物联网市场不断发展和成熟 有哪些新的机遇和挑战

物联网(IoT)与云,边缘计算,人工智能(AI)和混合现实等一系列催化技术一起,为企业创造了数十亿个连接端点,以优化运营效率,改善工作场所安全并增加收入。 根据最近的微软物联网报告,...


研究显示:大多数组织难以理解物联网的商业优势

一项新的调查发现,大多数组织包括那些已经实施物联网项目的组织仍然很难理解这项技术的商业优势。 这项名为物联网实施趋势的研究报告表明,所有规模和垂直行业的企业组织都需要适当...


物联网时代的价值交换

价值交换一词指的是一种商品或服务的交换,其中一方转让取决于另一方的认可。它准确地总结了贸易和商业的基本原则,它也被解释成某物换某物。虽然它在几个世纪前就被引入,但它与数...


生活在边缘:从物联网数据中提取终极价值

物联网正在不断产生不可思议的数据量。分析师预计,2019年将有266.6亿台物联网设备投入使用。此外,IDC预计,到2025年,物联网设备将产生超过90 zettabytes的数据。 所有这些数据意味着什么?...