导航IOT Security Minefield：硬件安全性

威胁X.

在我的第一篇文章在这个系列中，我突出了多么困难IOT安全可能是由于存在这些系统的硬件和操作系统。作为渗透测试仪，我还经常看到遵循严格安全策略的组织，并具有实验性测试和修补程序，仍然忽略了手机，打印机和摄像机等设备。许多人仍然认为手机是一个与众不同的网络服务器，这是一个网络服务器。

然而，这些“不成熟”的设备通常是黑客的第一目标。更糟糕的是，他们经常会发现他们跑了默认工厂凭据，有时几年落后于关键更新，许多不安全的服务，如telnet，向网络开放。

这可能是显而易见的为什么未经授权访问相机是坏事，但手机不太明显。什么是大问题？在我们的现代技术环境中，手机远远超过用于拨打电话的设备。例如，如果您使用Skype进行业务，例如，您的手机可能会存储大量敏感信息 - 包括您的Active Directory凭据。

除了凭据之外，这些设备通常运行完整的操作系统，任何体面的黑客都可以用作“跳框”进入受保护网段。他们还可以在机器人网络上制作很大的节点，因为他们对云的沟通通常很糟糕地理解并被忽视。

那么，谈到IOT设备本身，最大的挑战是什么？我会优先考虑它们如下：

IOT供应商希望促进友好的客户体验，因此大多数设备都附带默认密码，可以在几分钟内轻松找到。供应商鼓励用户在安装过程中更改这些密码，但在努力节省时间，许多客户将跳过此步骤并继续使用默认凭据运行设备。

这就是为什么通过至少一个最小的安装过程来指导客户至关重要的原因，该过程将迫使它们配置强密码并禁用任何未使用的网络端口。

鉴于当前恶意软件展示，释放及时固件升级也非常重要。不幸的是，提供定期更新的供应商通常通过将其发布在其网站上并将其留给客户来下载更新并将其应用于其网络中的所有设备。我认为我们都同意这一点不切实际的是预计持续应用于网络中可能数百或甚至数千部手机的更新是不现实的。

要缓解此问题，IoT平台需要内置，自动超空气能力在空闲时间内自动接收和安装更新和应用程序软件。

而不是尝试设计自己的系统，这是一个好主意，看看现有的框架，如已经实现了所有上述功能的“Android的事物”。更多关于事物的android这里。

在我们的超连接世界中，组织现在需要通过不同的镜头查看硬件安全性。而不是假设设备不成熟，而是假设它是您组织中的潜在途径并减轻相关的风险。

所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者，不一定能够传达物联盟议程的思想。

搜索CIO.