物联网,有人称之为下一代工业革命,也有人称之为生活方式革命。连网汽车、连网机器、智慧城市、跟踪人类行为的设备、可穿戴技术、个性化医疗设备——物联网世界充满了无数迷人的应用案例。Gartner的一份报告表明,到2020年底,将有多达208亿台设备成为全球物联网生态系统的一部分。物联网骨干网包括高级通信平台和云计算解决方案,可实现设备、应用、服务、网络和网关的无缝集成。然而,这种复杂性也加剧了物联网带来的安全挑战。
物联网设备安全:更大的挑战
物联网设备安全比一般IT安全更具挑战性,原因如下:
- 复杂的安全性需要计算能力。由于尺寸限制,物联网设备并不总是具备承载此类电子组件的能力。
- 云数据是黑客实践和坚持其邪恶计划的真正游乐场。
- 中间人攻击是物联网的一种已知顽疾,但仍然很难击败。
- 物联网的复杂性创造了一个由多个攻击面和多个潜在漏洞组成的复杂网络。
- 由于物联网设备在市场上价格低廉且容易买到,因此,黑客很容易熟悉硬件。
- 大多数设备信息都存储在云中,黑客很容易伪造设备身份。
无论物联网实施的内容是什么,请注意这些数据的安全参数——机密性、真实性、可用性和完整性——将需要您能够提供所有保护。
需要专用的物联网设备安全策略
您认为现有的IT安全策略足以应对物联网?这是个大错误。另一个常见的错误是——IT高层开始寻找一个包罗万象的物联网安全解决方案。假设您的物联网项目涵盖了该技术的整个生态系统的所有层面,那么单一的解决方案根本就不适合您。
物联网在安全的各个方面都需要很好的物理、操作技术和网络安全,因此,将物联网安全视为生态系统的一部分是有意义的。由于物联网生态系统中存在多个层级,而且都有可能爆发意想不到的挑战,这就要求企业高层启动风险评估,以便能够密切关注物联网的特定漏洞。这有助于企业构建可靠的行动手册,使企业能够从容应对物联网的安全挑战。
物联网设备安全性:了解设备生命周期
物联网生态系统由数百种设备组成,每种设备都具有单一用途。这与诸如个人电脑之类的设备形成鲜明对比,单个电脑设备可以执行多种功能。基本设备生命周期包括以下步骤:
- 引导:加载固件,并按预期启动。
- 初始化:读取配置、建立连接和同步数据。
- 操作:长时间执行指定的关键功能。
- 更新:新固件安装,重新启动。
保护生命周期的每一步
在每个步骤中,都需要实现特定的安全功能。其中一些内容包括:
1. 安全引导
- 通过嵌入式密码进行固件完整性检查,以确保没有进行任何篡改。
- 基于公共/私有证书的固件加密,使启动完全安全。
2. 初始化
- 用户需要更改物联网设备的默认密码。
- 对设备之间、设备与网络之间以及设备与用户界面之间的通信进行加密。
- 使用密钥管理系统来保护加密密钥。
3. 操作
- 删除后门调试帐户。研究表明,这种账户的存在增加了设备的风险。
- 在设备系统中突出显示终端用户的异常操作。
- 运行时进行完整性检查确保设备在运行期间不会受到影响。
- 主机IPS和虚拟补丁可在固件无线升级(FOTA)触发之前将风险尽可能降低。
4. 更新
新固件也必须在FOTA触发之前加密,以确保下次启动是安全的,并重复生命周期。
物联网设备安全的更多注意事项
除了我们在文中介绍的技术细节之外,还有其他关于物联网设备安全的注意事项,可以让您的整个物联网环境变得更加强大。
当您购买物联网设备时,请确保它具有足够的内存和计算能力,以支持您打算为物联网设备实施的安全级别。很快,您将会发现设备安全问题不断增加,同时,制造商也会升级设备,以支持企业的安全目标。
您使用的设备必须是可修补的。如果您无法修补设备,这将是一个巨大的安全风险,随着时间推移,这个风险将会越来越明显。想想婴儿监视器和安全摄像头因为Mirai僵尸网络而受到的影响,这也意味着使用旧设备需要格外小心。
注意具有硬编码密码的设备——它们几乎肯定会成为黑客的攻击目标。此外,有些设备根本不支持加密,如果引入加密,它们的性能就会下降。无法通过无线更新(OTA)的设备也会使您的物联网系统面临不必要的风险,因此请避免使用它们。
“物” 是物联网的超级明星,物联网在企业中的采用速度令人印象深刻。如果您的企业也是这股巨大浪潮中的一部分,那么了解物联网设备的安全核心是非常重要的。本指南中分享的提示、方法和技巧可以帮助IT高层管理者做出更好的购买和实施决策。