评论

安全

物联网安全-洞察趋势、挑战和未来之路

安Finnie

安Finnie
全球通信经理

2017年8月17日,

物联网(IoT)行业并不是不久的将来“ - 它已经在这里并迅速增长。这华尔街日报》将物联网视为下一个工业革命,据思科称,目前有49亿台联网设备,预计到2020年将达到120亿台。这种快速增长的成熟结果是一个价值6万亿美元的产业。

AT&T的网络安全洞察报告调查了全球5000多家企业,发现85%的企业正在或打算部署物联网设备。然而,只有10%的受访者相信他们能够保护这些设备免受网络攻击。

随着个人的大问题,作为个人的含义更深入地对所连接的几乎每个设备的影响是:“我们如何保证我们的设备安全?”

来进一步讨论IOT安全我们采访了Kyrio的安全服务业务发展总监Ron Ih,让专业深入了解今天技术中最紧迫的问题之一......

  1. 今年最重要的物联网安全趋势是什么?

作为消费者和企业采用更多的物联网设备并且威胁继续乘以,很容易确保这些设备已经成为一个艰巨的任务我们在今年看到更专业的安全工具和专门针对IOT设备的流程,特别是使用数字证书和公钥基础结构(PKI)来启用更安全的onboard过程。

“‘Onboarding’是将新设备连接到网络和本地物联网生态系统并添加到其中的过程。入职包括新设备的认证、授权和问责制过程。”- - -安全物联网愿景

数字证书由可靠的来源颁发和签名,通常称为证书颁发机构或信任根。就像数字身份证一样,设备交换数字证书以加密方式验证彼此的身份和来源。换句话说,身份验证凭证允许您证明您所说的是什么。随着物联网安全洞察他解释说:“数字证书不仅提高了安全性,还提供了更好的客户体验(例如,无需输入密码)。”

除非您在源处拥有正确的私钥,否则无法伪造或重新创建证书中的加密签名。您可以阅读更多关于身份验证过程、数字证书和PKI的信息在这里

  1. 物联网行业目前面临的主要挑战是什么?

这些挑战是多方面的,但我认为最常见的三个挑战是:

  • 虽然许多公司开始探索解决方案,但大多数设备制造商没有安全专家,也没有准备好管理安全复杂性

设备制造商和安全公司传统上在两个相当独立的世界中运营。

设备制造商在一个物理设备的世界里运作,通常每年要生产数十万甚至数百万台设备。严格管理库存、材料成本和及时交货是保持竞争力的关键。设备制造商使用固件和占用空间小的应用程序,通常计算能力和存储空间有限。为了降低成本和缩短交付时间,安全可以仅限于必要的部分。这个市场的特点是有成千上万的中小型公司,单个公司可能不会推动非常高的销量,但总体上有数十亿的设备。

安全公司传统上是在企业计算、网络、web服务器和web应用程序领域运作的。这些账户的典型特征是大型公司拥有专门从事安全的IT团队和员工或顾问。一般来说,这些都是大公司、银行、数据中心、医疗保健提供商等,这些地方可能没有物理产品,但有价值的数据存储在巨大的数据库服务器中。这些数据能够提供服务,通常涉及必须保护的个人和/或财务信息。

正如你所看到的,这可能会导致设备制造商的需求和安全公司提供的设备之间的巨大不匹配,导致双方都在谈论对方。因此,设备安全性通常不能得到正确的实现。这并不是因为设备制造商不想这样做,而是因为他们没有有效地指导如何这样做。

  • 在满足产品时间表和季度收益的压力下,设备安全通常省略或留下作为事后的事后,因为它目前需要太多的努力和成本来理解和实施它

人们经常听到成本是不实施安全的原因,而是误解了那种成本的谎言。确实有强大的压力来降低BOM成本,但较大的成本通常在工作人员中,公司需要才能理解安全本身。无论是分配现有员工或新员工的大脑周期,都是公司遭受的最大成本之一。理解需要大脑周期。大脑周期=时间。时间=金钱,大钱。

如果我们要有效地解决IOT安全问题,我们需要解决实施安全的时间方面。

  • 虽然IoT现在已经存在了一段时间,但市场压力去无线离开设备更容易攻击

自主联网设备已经存在了相当长的一段时间,但主要是在相对有限的规模上使用通用计算机在有线网络上实现的。然而,随着摩尔定律的不断发展,微控制器已经发展到这样的地步,即使是非常小的,便宜的芯片也可以操作一个完整的TCP/UDP网络堆栈,除了管理无线无线电。这种高集成度和低成本促使市场转向采用小型无线连接的自主设备。此外,无线连接的便捷性已经使应用的规模扩大到我们以前从未见过的数量级。

每个连接到你的网络的设备实际上都是那个网络上的用户。你会让人类用户在没有验证身份的情况下进入你的网络吗?如果你不这么做,为什么要让一个“设备”来做呢?我把“设备”加引号是因为,在网络环境中,你不能总是确定声称是设备的东西是否真的是它所说的那样。

我经常听到省略安全性的理由是“那台设备上没有什么重要的东西”。这是数据中心的思考方式,你要保护系统上直接实现安全的东西。我的回答通常是这样的:“你完全正确。没人在乎设备上有什么。他们关心的是它所连接的网络。”这通常会让他们重新考虑自己的立场。不安全的设备为攻击高价值设备或获取敏感数据提供了一个立足点。

  1. 公司如何努力确保其IOT产品的更好的安全性?

  • 企业需要停止以负担为负担

相反,企业应该利用安全作为改善客户体验和收入的机会。消费者不会为安全的缘故购买安全性,他们购买使他们的生活更容易,更方便的产品。如果产品是安全的,它会提高客户体验。

  • 在设备的设计阶段,必须采取全面的安全措施

为了更快地将产品推向市场,人们很容易陷入“现在销售,以后再补补丁”的心态。要预测可能出现的每一个安全问题几乎是不可能的,所以制造商需要不断地问自己:“随着时间的推移,这个功能会如何发挥作用?”以及“我们如何以一种可扩展且安全的方式来完成这项工作”。在产品生命周期的中途进行安全性改造通常不会很好地工作,而且常常会导致失败。

  • 企业必须理解“安全”的实际含义,并寻找解决方案容易消化的如果他们不雇佣安全专家

设备制造商需要理解安全的真正含义它是什么。仅仅因为你使用了加密,并不意味着你的设备是安全的。安全的最大要素不是加密,而是身份验证:确定您正在与谁通信,并能够验证它。

--

随着物联网设备收集更多关于我们和我们日常生活的信息,消费者和企业必须更加关注安全风险和漏洞。作为Chris Connors,物联网产品总经理在IBM,各国:“这意味着设备制造商,应用程序开发人员,消费者,运营商,集成商和企业企业都将遵循最佳实践。”

你可以找到更多的信息这里的IoT安全.不要忘记订阅我们的博客,在未来的博文中获取更多关于物联网的信息。

评论

隐私偏好中心

    严格必要

    该网站必须正常运行的饼干。

    phpsessid,__cfduid,hubspotutk

    表现

    它们用于跟踪用户交互并检测潜在的问题。通过提供用户如何使用本网站的分析数据,帮助我们改进服务。

    BizoID, wooTracker, GPS, _ga, _gat, _gid, _hjIncludedInSample, mailmunch_second_pageview

    针对

    这些cookie用于(1)向您和您的兴趣提供更相关的广告;(2)限制您看到广告的次数;(3)帮助衡量广告活动的有效性;(4)在观看广告后,了解人们的行为。

    __hssc,__hssrc,__hstc,