IoT安全性 - 為什麼我們需要保護物聯網,我們看到安全是任何IoT系統絕對關鍵的組成部分。如果沒有適當的安全性,脆弱的設備可能會威脅消費者,企業和政府的隱私和安全。那麼為什麼物聯網安全問題如此普遍呢?消費者,企業和政府如何解決這些問題?
物聯網安全問題
物聯網是強大的,因為它利用各種傳感器網絡來生成大量的數據,使用該數據執行操作並創建非常有用的見解。由於IoT需要批量生產傳感器和設備,所以一個問題是,其中一個傳感器/設備中發現的漏洞意味著可能會受到影響的數千或數百萬個傳感器/設備。
所以你可能會想,為什麼這些傳感器/設備首先易受攻擊?正如我們在前一篇文章“未來殭屍網絡”中看到的那樣,問題的很大一部分是默認密碼和登錄憑據在設備上沒有改變。
要建立一個用於物聯網應用的傳感器或設備,多個公司都參與生產鏈。如果您正在構建路由器,您可以從像Broadcom,Qualcomm或Marvel這樣的芯片製造商開始。
該專用芯片由原始設備製造商(ODM)購買,然後在芯片周圍構建路由器的其餘部分。最後,該設備是由一個品牌公司購買的,該公司添加了用戶界面和一些其他功能,將設備放在盒子上,然後銷售給消費者。
原始供應商使用默認密碼和登錄憑據,以便鏈中的下一個可以輕鬆啟動並啟動。問題是,鏈中的下一個通常不會更改默認密碼或登錄憑據,將其發送給消費者時留下。
雖然這似乎是一個明顯的問題,但另一個問題是,建立這些傳感器或設備的許多公司都是物聯網的新功能。由於它們剛剛成為物聯網和連接設備潛在的陷阱,所以這些公司對於安全性不熟悉,往往不會使安全成為重中之重。畢竟,集成安全性更加昂貴,可能會縮短上市時間。
因此,這些傳感器/設備發送的數據可能在通信期間未被加密,這意味著它可以被第三方攔截和理解。而且,這些新的IoT公司將傳感器/設備放在網絡中(例如在家中),而不會彼此隔離。因此,如果一個設備受到威脅,則可能意味著訪問整個網絡以及該網絡上的所有其他設備。
改變的障礙
我們所有人都熟悉軟件更新。我們把它們放在我們的筆記本電腦,平板電腦,手機等上。但是為什麼我們得到他們?由於發現新的錯誤,問題或漏洞,軟件並不完美,因此需要進行更改,並通過無線網絡進行更改(意味著通過互聯網連接)軟件更新。
那麼為什麼我們不會向易受攻擊的設備發送軟件更新?首先,需要有人創建和發送這些軟件更新,但公司的激勵措施明顯不同。
回到上面路由器的例子,芯片製造商在他們的芯片上的利潤率很小,所以他們被激勵儘可能少的工程,沒有太多的理由提供持續的支持。相反,芯片製造商正在忙於開發和運送下一代芯片。
ODM在最終產品上不會有其名字,所以他們也被激勵儘可能少的工程,沒有太多理由提供持續的支持。相反,ODM正在忙於升級,以確保它們可以與下一個版本的芯片一起使用。
連鎖店(面向消費者的公司)的最後一步是提供持續支持的更大動力,因為它們是最終產品的名稱,但是他們可能無法解決新發現的漏洞,因為這些漏洞來自鏈條中的早期步驟。這裡的障礙是缺乏對鏈條中的每一步的激勵,認真對待物聯網安全問題,併為舊產品提供持續的支持和更新。
但是,並不是所有的責任都可以放在公司上。在提供必要更新方面也存在物理上的限制。
物聯網通常依賴於處理能力低,記憶力小的傳感器和設備。處理能力和存儲器是昂貴的並且消耗更多的能量,因此IoT應用利用足以執行其任務的傳感器和設備。但是由於處理能力和內存不足,這些傳感器和設備不夠複雜,不能執行空中更新。
本質上,空中更新也需要連接。許多IoT應用程序具有間歇性或不可靠的連接性,這對軟件更新構成進一步的物理約束。
即使有可能更新,可能還有其他原因不推動這些更新。將計算機關閉15分鐘來安裝更新是一回事,核反應堆的安全系統關閉15分鐘是另一回事。對於生命關鍵的IoT應用程序,只需幾分鐘或幾秒鐘就可能太長,無法執行更新。
對於不是關鍵任務的IoT應用程序,您可能不想推送更新,因為它們非常耗費能源。許多IoT應用程序使用電池供電的傳感器和設備,因此頻繁的更新將顯著降低其預期壽命。
談到壽命,作為障礙的物聯網應用的另一個方面是產品的長壽命週期。而您可能期望筆記本電腦或手機持續3-5年,IoT傳感器和設備可能需要持續15-20年。創建一個安全無虞的產品基本上是不可能的,因此需要持續的支持和頻繁的更新。但是提供持續的支持和頻繁的更新是相當昂貴的,並且面臨上述障礙。
那麼消費者,企業和政府應如何處理物聯網安全問題呢?