物联网安全管理
2016年10月21日,一场网络攻击在互联网上爆发,几乎让互联网屈服。这次攻击试图禁用互联网的DNS系统,该系统将babson.edu等域名转换为155.48.7.191等网络地址。beplay官网体育如果没有这种翻译方法,浏览器几乎毫无用处。对DNS系统的攻击本身是不寻常的,但这次网络攻击(称为Dyn攻击)真正不寻常的是,它使用了一个由受病毒感染的互联网连接(IoT)设备组成的大型僵尸网络。在袭击发生时,许多人并不知道他们使用的一些产品,如打印机、婴儿监视器、电视和汽车,有可能被病毒感染的嵌入式计算机,并由互联网发出的命令指挥。Dyn攻击给任何设计或使用物联网设备的人敲响了警钟,他们需要关注物联网安全。
物联网安全性差的风险
早在2011年的黑帽会议上,物联网设备的安全漏洞就已经被发现。在2015年的会议上,黑客证明他们可以远程控制吉普切诺基的传动系统、刹车、空调、收音机和雨刮器,而且该车的驾驶员无力超越他们的控制。这种漏洞也存在于数十万辆菲亚特克莱斯勒(FCA)汽车中,这些汽车具有UConnect功能。FCA花了将近一年的时间发布了一个修补程序,所有者可以下载或让他们的经销商下载来修复该漏洞。不幸的是,FCA无法将补丁推到他们的车上,这增加了一些车主错过或忽视公告,继续驾驶不安全车辆的可能性。
黑客攻击电网、大坝控制系统、交通控制系统和国家基础设施其他部分的可能性已经得到证明,而且是相当真实的。随着公司和政府机构将互联网功能添加到设备中,使其更易于管理,它们的可能性也随之增加。例如,2013年,伊朗黑客获得了纽约市郊纽约黑河鲍曼大道大坝控制系统的访问权。如果他们利用这条通道打开大坝的水闸,就会在这一地区引发大洪水。心脏起搏器和胰岛素泵等医疗系统也会受到黑客攻击,造成灾难性后果。
失去控制并不是物联网设备的唯一安全问题。黑客可以在不知情的情况下,使用受损设备窃取数据,侵犯用户隐私。例如,一个名为“我的朋友Cayla”的创世玩具娃娃使用网络进行语音识别,可以将孩子们与它的对话发送给创世,当然,也可以发送给任何侵入创世的人。可穿戴设备可以泄露大量个人信息,如位置和健康。家庭能源监测设备可以留下线索,当一个房子无人居住,什么样的电气设备家庭使用。
对设计师、经理和用户的影响
物联网设备的设计者及其管理者必须理解并能够量化其产品中存在的安全缺陷风险。增加一层安全性并不是免费的,因此管理者需要为这样做做做一个商业案例。意识培训至关重要;否则,管理者可能会在分析中跳过这一步。
产品设计师不应该从头开始开发安全解决方案,因为特别的安全措施很容易被专家黑客挫败。幸运的是,现成的安全组件可以很容易地集成到最终产品中。设计师应该考虑使用专门为物联网设备开发的强化操作系统。
“产品设计师不应该从零开始开发安全解决方案,因为特别的安全措施很容易被专业黑客阻挠。”
由于物联网设备捕获大量数据,因此无论是在存储还是在传输过程中,数据加密都是必不可少的。应尽可能将计算推到边缘,以减少传输中的数据量。需要数字证书以确保物联网设备不会从未经授权的设备或用户接收指令或向其发送数据。标准协议,如HTTPS或AOSSL,可以确保设备之间以及设备和服务器之间的安全通信。
设计者应该假设物联网软件需要定期更新,以应对设备投入使用后发现的安全漏洞。允许将更新推送到设备上的协议应该包含在它们的初始发布中。
理想情况下,公司应该雇佣第三方来测试并试图破坏他们设备的安全性。如果可能的话,他们还应该使用内部监控软件来识别黑客企图,并向用户或供应商报告。
终端用户应谨慎购买不符合上述设计标准的设备。但是设备安全性只是终端用户需要关注的实现的一部分。它们还需要解决连接设备和服务器的网络的安全性问题。特别是,他们应该删除任何未使用的或工厂默认的账户,关闭设备网络操作不需要的任何端口和服务,并实施与非物联网网络类似的安全政策、程序和软件。
物联网可以极大地改善用户使用公司产品的体验,但互联网连接会带来安全风险。了解这些风险并做出适当反应的公司可以确保他们的用户在使用其数字产品时的出色体验不会被不幸的安全漏洞所破坏。