管理物联网安全
10月21日,2016年,网络攻击在互联网上爆发,几乎使网络瘫痪。攻击试图使互联网的DNS系统失效,翻译域名,比如babson金博宝.edu,到网络地址,如155.48.7.191。如果没有翻译的方法,浏览器几乎是无用的。对DNS系统的攻击本身是不寻常的,但这次网络攻击真正不同寻常的是,称为动态攻击,它使用了一个大型的互联网连接僵尸网络(IOT)设备,这些设备已经被病毒感染。在袭击发生时,许多人不知道他们使用的一些产品,比如打印机,婴儿监视器,电视,还有汽车,有可能被病毒感染的嵌入式计算机,并由通过互联网发出的命令进行引导。Dyn攻击是对任何设计或使用物联网设备的人的叫醒,他们需要关注物联网安全。
物联网安全性差的风险
早在2011年的黑帽会议上就发现了物联网设备的安全漏洞。在2015年会议上,黑客证明他们可以控制吉普切诺基的传输系统,制动器,空调,收音机,和远程雨刮器,车辆驾驶员无力超越他们的控制。这一漏洞也存在于数十万菲亚特克莱斯勒(菲亚特克莱斯勒)汽车具有一个称为UConnect的功能。FCA花了将近一年的时间发布了一个补丁,用户可以下载该补丁或让其经销商下载该补丁来修复漏洞。不幸的是,FCA无法将补丁推到他们的车上,增加了一些车主错过或忽视公告并继续驾驶不安全车辆的可能性。
黑客攻击电网的可能性,大坝控制系统,交通控制系统,国家基础设施的其他要素也已经被证明是真实的。随着公司和政府机构向其设备添加互联网功能,使其更易于管理,它们的可能性增加。例如,2013年,伊朗黑客进入了位于莱布鲁克的鲍曼大道大坝的控制系统,纽约,纽约市郊区。如果他们用那条通道打开大坝的闸门,这将在该地区引起一场大洪水。医疗系统,例如,起搏器和胰岛素泵也会受到黑客攻击,造成灾难性后果。
失去控制并不是物联网设备的唯一安全问题。黑客可以在不知情的情况下,使用泄露的设备窃取数据并侵犯用户的隐私。例如,一个叫做“我的朋友凯拉”的“创世”玩具娃娃使用网络进行语音识别,并可以将孩子们与之进行的对话发送给“创世”或者,当然,对任何黑客来说。可穿戴设备可以泄露大量个人信息,比如位置和健康。家庭能源监测设备可以留下一些线索,比如什么时候房子没人住,家庭使用什么电气设备。
对设计师的影响,经理,和用户
物联网设备的设计者及其管理者必须理解并能够量化其产品安全弱点的风险。增加一个安全层不是免费的,因此,管理者需要做一个商业案例。意识培训至关重要;否则,管理者在分析时可能会跳过这一步。
产品设计师不应该白手起家地开发安全解决方案,因为特殊的安全措施很容易受到专家黑客的阻挠。幸运的是,现成的安全组件可随时用于最终产品。设计师应考虑使用专门为物联网设备开发的加固操作系统。
“产品设计人员不应该白手起家地开发安全解决方案,因为特殊的安全措施很容易受到专家黑客的阻挠。”
因为物联网设备捕获大量数据,数据加密是必要的,在储存和运输中。在可能的范围内,应将计算推到边缘,以减少传输中的数据量。需要数字证书以确保物联网设备不接收来自未授权设备或用户的指令或向未授权设备或用户发送数据。标准协议,例如https或aosl,确保设备之间以及设备和服务器之间的安全通信。
设计师应假设物联网软件需要定期更新,以应对设备投入使用后发现的安全漏洞。允许将更新推送到设备的协议应包含在其初始卷展栏中。
理想的,公司应该雇佣第三方来测试并试图破坏他们设备的安全性。如果可能的话,他们还应该使用内部监控软件来识别黑客企图,并向用户或供应商报告。
终端用户应谨慎购买不符合上述设计标准的设备。但设备安全只是最终用户需要关注的实现的一部分。他们还需要解决连接设备和管理设备的服务器的网络安全问题。特别地,他们应该删除任何未使用的或工厂默认的帐户,关闭设备网络运行不需要的任何端口和服务,实施安全政策,程序,以及类似于非物联网网络的软件。
物联网可以显著改善用户对公司产品的体验,但是互联网连接带来了安全风险。了解这些风险并做出适当响应的公司可以确保其用户在数字产品方面的出色体验不会因安全性的不幸破坏而受损。