您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

物联网项目五大安全问题

发表于:2018-05-04 作者:佚名 来源:云博汇物联网 点击数:

2018年将是物联网的关键一年。据估计,将有28亿台新设备连接到互联网,使十年前科幻小说中出现的各种场景成为可能。网络医疗设备、手表、家庭自动化设备、智能城市、智能汽车、工业设备等将改变人们在个人和商业世界中彼此之间以及与环境之间的通信方式。

现在是反思我们过去所犯错误和决心在未来做得更好的最佳时机。首先考虑的是安全问题。我们很容易沉浸在物联网带来的新事物中,但我们不能忽视物联网带来的安全风险。

物联网安全

一年多前,mirai恶意软件控制了数十万个物联网设备,并发起了规模最大、破坏性最大的网络攻击之一。webroot认为,最根本的问题是物联网制造商只关注设备的功能,而没有在安全测试方面投入足够的资金。 因此,每个人都应该在来年决定将安全性作为物联网设计流程的一部分。那是什么意思?本文着重讨论了一些需要从一开始就考虑的问题。

1. 设备是否执行安全敏感操作?

如果黑客能够控制来自胰岛素泵或核电厂阀门控制器的致动器信号,这显然会造成巨大的安全问题。即使控制恒温器的不太关键的装置在寒冷的冬天也是一个安全问题。相反,控制机器人清洁器可能不会产生显著影响。

安全高于一切。设备是否存在安全隐患将是您考虑的安全措施强度的重要因素。

2. 设备是否处理敏感信息?

任何类型的隐私敏感信息都应受到认真对待,尤其是如果gdpr法规在欧洲实施,如果这些数据处理不当,将受到严厉处罚。敏感信息不仅仅是个人信息;财务数据、登录凭证、遥测、配置等。需要小心保护。

在设计产品时,问问自己如果黑客获得这些数据会发生什么情况?如果发现此结果不可接受,则应考虑使用密码加密来处理存储和传输中的数据。

3. 你的设备是否需要安全身份认证?

请务必注意,只有授权的物联网设备才能加入您的物联网生态系统!

想想如果黑客的设备可以伪装成汽车传感器并触发某种自动驾驶行为会发生什么?如果胰岛素泵接收到来自假血糖传感器的读数会发生什么情况?在安全敏感的情况下,验证物联网设备的身份至关重要。

加密的安全标识为设备提供了强大的授权,适用于各种场景,以确保物联网生态系统中的所有设备都是可信的。

4. 你现在实施的加密方法正确吗?

密码学是一种面向数据保护、安全通信和身份验证的前瞻性技术,难以正确实施和部署。加密将保护数据,但您还必须保护密钥。

物联网的一个特征是,这些设备通常处于物理上不受控制的环境中,从而使黑客能够更直接地访问这些设备,从而更容易对这些设备进行反向工程以找到密钥。保护密钥可能需要在设备上安装特殊的硬件安全存储密钥,如果不可能,则需要白盒加密。 您还需要考虑密钥管理的整个生命周期。密钥是如何生成和分发的?密钥通常在未受保护的计算机上生成,私钥没有得到充分保护或备份,从而导致严重的安全漏洞。正确的密钥生成和分发需要专门的技术、设施、流程和人员,如果这些功能在您自己的企业中不可用,您可能需要外包密钥生成和配置服务。

5. 您如何保护物联网设备上的应用程序?

您应该考虑在开发生命周期中保护您的应用程序。在将代码部署到站点之前,可以使用许多工具来分析代码是否存在应修复的潜在漏洞。

当然,不断发现新的漏洞,您应该有一些方法在部署后安全地更新这些设备。将修补程序部署到设备并使用代码签名技术以确保仅安装授权更新时,请考虑使用安全身份验证通道。 在不受控制的环境中部署物联网设备为黑客提供了许多逆向工程代码的机会,因此评估防止篡改的工具非常重要。

要提高物联网的安全性仍有许多工作要做,但鉴于这五个问题,您应该走上更安全地部署物联网的道路。祝2018年好运!

 相关文章