物联网安全:信任是必须的
物联网漏洞继续浮出水面,导致对制造商交付经过设计保护的产品能力的信心继续受到侵蚀。今年已经有几个漏洞被曝光,包括:
- 智能摄像头的安全漏洞——研究人员发现漏洞配有韩华科技的监控摄像头。这种缺陷不仅存在于韩华科技的相机中,所有的智能相机都存在这种缺陷。
- 脆弱的医疗设备——医疗成像设备,如MRI或CT系统,正在成为越来越脆弱本-古里安大学(Ben-Gurion University)的研究人员表示。
- 可破解的智能家庭枢纽-安全漏洞被发现在一个用于管理安装在家中的所有连接模块和传感器的智能集线器中,将智能家庭所有者置于危险之中。
物联网漏洞在所有行业都被发现和暴露,当涉及到他们的目标时,黑客肯定不会有歧视性。在无数的例子中,人们经常在物联网设备中发现安全漏洞,将敏感数据甚至个人安全置于危险之中。
最根本的问题是物联网设备没有把安全放在心上。随着这些技术的采用持续增加,这已经创造了一个不断增长的攻击面,不需要特别高水平的专业知识来开发。每个人都渴望登上物联网创新列车,但在这样做的过程中,保护这些设备的关键因素往往被忽视。
然而,尽管存在风险,企业仍在继续从物联网设备收集敏感数据。“2018年全球数据威胁报告“发现近四分之三(71%)的组织正在从数百万已经在使用的物联网设备中收集数据。
虽然物联网安全总体上仍然缺乏,但我们仍看到越来越多的组织开始应用措施保护物联网数据。“2018年Ponemon全球加密趋势报告“发现49%的企业正在物联网设备上部分或广泛部署物联网数据加密。
组织通过认识到IOT设备数据的加密 - 完成 - 可以有效保护隐私和机密性,但仍然存在挑战,而是通过正确的方向进行一步。在一天结束时,它归结为信任。如果没有对设备的身份和整体完整性建立信任,则加密不受信任的数据不是实现所需目标。如果设备和收集的数据不能值得信任,则无法进入收集它的所有问题,分析它,以及所有的所有问题,并根据其制定业务决策。
如何在物联网中建立信任
以下是启用信任所需的内容:
1.启用设备认证的信任根
安全地参与到物联网中,每一个连接的设备需要一个唯一的标识。今天有各种各样的方法来证明身份,从密码到生物识别,再到数字证书等等。然而,当涉及到证明物联网设备的身份时,可用的身份验证选择取决于设备的能力。
在安全性和安全性非常重要的环境中,基于硬件的信任根提供了建立和维护经过身份验证的设备标识的最强手段。数字证书由a可信公钥基础设施为此提供了一种经过验证的机制,然而,传统RSA密钥的存储和处理需求促使一些人倾向于椭圆曲线加密(ECC)。ECC提供等效保护对于较小的密钥尺寸,其操作需要更少的处理,使其适用于具有较少存储空间,处理电源和电池寿命的设备。
不幸的是,许多物联网设备甚至没有设计最基本的安全保护,比如在安装时要求更改默认的管理凭证。在设备上建立可靠的身份验证手段之前,不可能建立合理的信任级别,而且随着时间的推移,设备的完整性可以通过安全启动保护和代码签名等机制得到保证。这些是重要的,以防止引入恶意软件,特别是在固件更新期间。
2.加密保护数据
有了适当的信任基础,采取适当的手段保护敏感、个人可识别或专有的物联网数据就变得越来越重要。在物联网中,这意味着当数据被传输到中间点(如物联网网关)时,以及当数据被传输到最终目的地(如云或用于存储和分析的数据中心)时,对设备本身进行保护。10博官网
这不仅需要识别要加密的特定数据的处理步骤,还需要一个密钥管理方案来分发和管理用于加密数据的密钥。密钥的安全存储和访问控制需要进行规划——它们必须对获得许可的人/实体可用,以支持数据访问,但必须与数据适当隔离,并安全地存储。这听起来容易,但物联网的规模和速度是一个游戏规则的改变者。基于键的长度和所使用的算法,键的生命周期是有限的,因此必须定期旋转键。如果丢失了用于加密数据的密钥,就会丢失数据。密钥管理是具有敏感数据的物联网部署的关键能力。
物联网技术的采用预计不会在短期内放缓。事实上,Gartner预测到2020年,联网设备的数量将增至204亿部。信任被认为是一种物联网的关键使能器为了交付预期的结果,认证和加密是物联网信任剧本中的两个关键功能。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。