为什么IoT公司保持构建具有巨大安全漏洞的设备?

标签:物联网安全风险管理技术产品

访客:30304  发表于:2017-05-03 10:00:02

为什么IoT公司保持构建具有巨大安全漏洞的设备?

今年早些时候,一个令人震惊的故事触动了这个消息:黑客已经在奥地利的一家豪华酒店接管了电子钥匙系统,将客人锁在房间外,直到酒店支付赎金。令人惊讶的是,客人和任何曾住过酒店的人都是这样的。但网络安全专家越来越关注网络连接到互联网的物理设备(被称为物联网)的许多方式,可以被黑客入侵和操纵,这并不奇怪。 (酒店已经宣布它正在使用物理钥匙。)

想象一个物联网人质的场景,或者黑客所有其他方式都可能会对我们每天使用的联网对象造成严重破坏,这并没有大的飞跃。智能设备渗透到我们的家庭和办公室。烟雾探测器,恒温器,喷头和物理访问控制可以远程操作。虚拟助理,电视,婴儿监视器和儿童玩具收集数据并发送到云端。 (涉及CloudPets泰迪熊的最新玩具违规行为之一,现在是国会调查的主题。)一些智能技术可以挽救生命,如控制静脉注射药物剂量的医疗设备或远程监测生命体征。

问题是许多IoT设备不是作为优先级设计或维护的安全的。根据IBM Security和Ponemon Institute最近的一项研究,80%的组织没有定期测试他们的IoT应用程序的安全漏洞。这使得犯罪分子使用IoT设备来侦察,窃取甚至造成身体伤害变得容易多了。

一些观察家将失败归因于物联网淘金热,并呼吁政府加强监管智能设备。然而,在网络安全方面,监管可以善意,但误导。由缓慢移动的政府机构起草的安全检查表无法跟上技术和黑客技术的不断发展,合规制度可能会转移资源,给予虚假的安全感。加上所有不同的联邦,州和国际机构,声称其中一个监管派别,你会发现一些重叠的要求,可以混淆和约束公司 - 但让黑客有足够的空间来操纵。

奥巴马政府早年推出了关于网络安全基础设施的监管建议,但最终转向采用更为有效的风险管理方法。这受到广泛赞誉的国家标准与技术研究所(NIST)网络安全框架的体现,该架构是与行业合作开发的,并提供可适应任何规模或简档的组织的基于风险的指导和最佳实践。早期的迹象表明,特朗普政府计划继续采用NIST方法。

明智的下一步将是建立在这一成功之上,并为物联网制定类似的框架。该框架可以协调国际惯性关系方面的最佳做法,而不是试图对各种不断增长的技术进行具体控制,并帮助企业为其组织确定最重要的安全策略。这实际上是12月份向两国新政府推荐的两党加强国家网络安全委员会。一个框架也可以作为联邦机构目前正在进行的一些分散的物联网工作的急需的协调点。

然而,对于物联网行业等待政府来说,这是一个错误,这个问题是迫切的,随着新的“物联网”攻击事件的发展,将会变得更加如此。 IoT提供商可以通过采取一些基本步骤来证明他们认真对待安全。

首先,安全和隐私应纳入设计和开发。 IoT设备的大多数安全测试发生在生产阶段,如果太晚无法进行重大更改。规划和投资前进可以走很长的路。例如,许多IoT设备共享了众所周知的默认用户名和密码,可以通过快速的Google搜索找到。因为大多数消费者不会更改这些设置,所以产品应该设计为具有唯一凭据,或者要求用户首次使用时设置新的凭据。这样做会阻碍物联网设备的最简单和最广泛的方法。就在去年秋天,黑客利用知名的工厂凭证,与未来的僵尸网络(Mirai botnet)一起感染数以千计的DVR和网络摄像头,这些网络摄像机曾经造成大量的互联网中断。

第二,IoT设备应该能够在整个使用寿命期间接收软件更新。产品发布后经常会发现新的软件漏洞,从而使安全补丁至关重要,以防御威胁。如果可以合理地提供更新的时间长短有限制,则产品应该被清楚地标上“过期日期”,过去将不再维护安全。

三要提高消费者的透明度。与手机和计算机不同,IoT设备通常在没有人力监督或可视性的情况下运行。许多这些对象缺少显示消息的屏幕。与其他类型的产品召回一样,当设备出现安全问题时,业主需要收到通知,并告知如何应用安全更新。当物联网设备被转售时,应该有一种简单的方法来进行出厂重置以擦除数据和凭据。例如,IBM Security最近展示了二手车的销售商如何能够保留对车辆的远程功能(如地理定位)的访问,而无需买家的意识。

在物联网的世界还处于早期阶段,但它是一个快速发展的世界,每年都有数十亿个新设备连接起来。建立可信赖的生态系统的窗口正在关闭。别人会遵循奥地利酒店的例子,断开他们的设备和他们的信任是否被违反?物联网行业不应该等到找出来。我们现在可以投资于确保这种信任,并且安全地享受这种卓越的技术的好处,或者我们可以预期黑客会更加狠狠的和政府干预干预。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");