如何制造商、服务提供者、消费者可以提高物联网安全
安全是任何企业如今面临的最大威胁之一,这个威胁加剧公司生产、支持或利用连接设备。数据传输设备之间可以驱动巨大的效率增加,从供应链自动化软件更新、自我监控、自我调节和自优化智能系统。但这些有用的交互也为恶意实体创造潜在的新攻击的点。
当前状态的设备安全亟待改变。今天许多设备在市场上被设计为了方便,不安全,因此往往容易渗透。,制造商——尤其是初创公司被迫交付为投资者(通常是优先考虑功能和速度在健壮的安全测试或固件开发市场。复合脆弱性是许多制造商未能妥善安全设备威胁,因为他们正在寻找最小的成本和最大的利润,因为消费者没有要求(因为他们经常不知道的风险)。
惠普的研究发现70%的最常用的物联网设备包含漏洞,包括密码安全、加密和普遍缺乏细粒度的用户访问权限。这项研究还发现,平均25每个产品不同的漏洞。在另一项研究中,惠普发现100%的设备用于家庭安全包含重大漏洞,包括密码安全,加密和认证问题。问题是,制造商无法设计针对恶意代码或保护设备可靠的功能很容易修补。但问题是远离一个装置的问题。
确保设备意味着保护系统
因为任何连接设备固有的连接到一个网络上的其他节点(通常更多),物联网的安全是一个函数的确定和不断降低风险在整个技术堆栈和相关的生态系统。从设备、网关和固件、软件和应用程序,网络和网络技术人,两个节点和连接器面临各种各样的漏洞。事实上,威胁和损失可以采取许多形式:
- 黑客攻击、破坏、盗窃、cyberintrusion设备、网络、私人和公共服务、个人、运输机制、基础设施
- 邪恶的使用、操作或剥削的数据,设备身份、资产、规则、功能、服务、工作流、系统升级等。
- 中断的功能、服务功能、安全机制、身份认证等。
- 使用监视杠杆(通过黑客、外国恐怖分子,国内执法)用于邪恶的目的
什么制造商、服务提供商,甚至对消费者必须明白的是,任何连接系统的强度是受制于最薄弱的点。
![物联网安全、僵尸网络](https://cdn.ttgtmedia.com/ITKE/uploads/blogs.dir/284/files/2017/01/Groopman-1-300x169.jpg)
来源:HackRead
黑客通常部署暴力策略在软件扫描设备工厂密码设置的凭证(例如,1111年,1234年,admin,密码,等等)或者过时的固件。因为许多工厂用户从来就不愿去改变密码,他们的设备是脆弱的。当软件检测到脆弱的设备,它感染恶意软件和指导他们回一个中央控制系统,黑客或指导DDoS攻击的黑客团体使用僵尸网络压倒或“洪水”网站的点击率。这是什么导致网站缓慢下降或运行Mirai僵尸网络的攻击2016年10月发生。有时设备本身就变成了演员扫描其他脆弱的设备。这不过是其中的一个例子如何以及为什么系统普遍存在的脆弱性介绍物联网的架构。
我们都可以采取实际行动
网络安全是一个棘手的问题,因为它不仅扩大范围,但也发展成熟的一个攻击提供了见解和优化未来的攻击,以及恶意代码本身就是在互联网上共享。好消息是有一个我们都可以采取各种行动努力更大的总体安全。有些人比其他人更简单、更直接,但所有至关重要的上升趋势的安全保护,电梯所有船只的潮流。
消费者可以:
- 定期更改密码;使用复杂的密码
- 更改密码到多个设备
- 关掉不必要的功能
- 升级设备
- 定期擦拭或备份敏感数据
- 加密数据,使用安全软件,防盗GPS,提防公共wi - fi
- 注意设备的处理能力(例如,摄像头,麦克风特别是;一些计算、存储、处理的局限性)
- 考虑更脆弱的用户(孩子、保姆、老年人,等等)。
- 优先供应商积极的回报,安全的需求设计
- 安全处理个人信息前处理或出售设备
- 要积极主动
考虑软件或硬件服务。的Bitdefender的盒子例如,插入家庭互联网路由器和不断扫描用户的网络和网站潜在有害软件或病毒。
制造商和服务提供商可以:
- 优先考虑安全和隐私的设计他们的产品(如安全软件写入设备功能+持续的安全更新)
- 提供清晰,交通便利和可消费的隐私和安全通信,支持和工具
- 默认加密和验证设备和软件通信
- 警报,甚至要求用户定期更改密码和升级他们的设备(安全软件更新)
- 提供安全监控,不断监控设备网络异常行为;识别可疑cross-bound和出站活动来自设备
- 隔离可疑装置,通知业主,敦促他们采取行动
- 包括设备提供安全服务
- 提供离线或云备份支持设备功能如果连接中断,特别是对设备影响用户的安全
- 了解并应用安全的最强的行业标准
- 教育决策者、员工、支持人员、现场代理商和消费者的风险和缓解策略
- 默认情况下更严格,更宽容
考虑在评估您的组织在个人数据保护的立场和要求。
我们都应该问的问题:
- 设备数据是如何存储和访问,与谁共享?
- 我们的设备数据生成个人身份信息如何?我们必须考虑如何结合其他数据集时PII ?
- 如果数据被破坏或丢失,第一和第三方负债产生什么?谁负责和如何实施保护呢?
- 谁是责任,一旦设备发生故障,因为渗透(无所谓缺陷)的软件设计?怎么这必须占在汽车等关键设备,安全设备,电力系统,等等。
- 如何改变政治和监管景观改变保护要求和/或干脆废除?(例如,欧洲的全球数据保护监管2018年来)
连通性和越来越多的软件智能注入的对象在我们周围,落在肩上的责任。而数据所有权仍然是一个悬而未决的问题和商业模式杆,符合每个人的最佳利益承担责任通过采取行动来减轻风险。
所有的物联网网络议程贡献者负责的内容和精度。观点的作家和不一定传达的思想物联网议程。