评论

安全

物联网安全——洞察趋势、挑战和未来道路

安Finnie

安Finnie
全球通信经理

2017年8月17日,

物联网(IoT)行业不是“互联网”的一部分。不久的将来“ - 它已经在这里并迅速增长。这华尔街日报》思科称物联网是下一场工业革命,目前全球联网设备数量为49亿台,预计到2020年将达到120亿台。这种快速增长的成熟结果是一个6万亿美元的产业。

AT&T的网络安全洞察报告对全球5000多家企业进行了调查,发现85%的企业正在或打算部署物联网设备。然而,只有10%的受访者有信心保护这些设备免受网络攻击。

随着个人的大问题,作为个人的含义更深入地对所连接的几乎每个设备的影响是:“我们如何保证我们的设备安全?”

为了进一步讨论IOT安全在我们的《洞察》论文中Kyrio的业务发展总监,安全服务,Ron Ih,让专业深入了解今天技术中最紧迫的问题之一......

  1. 今年我们看到的最重要的物联网安全趋势是什么?

作为消费者和企业采用更多的物联网设备并且威胁继续乘以,很容易确保这些设备已经成为一个艰巨的任务我们在今年看到更专业的安全工具和专门针对IOT设备的流程,特别是使用数字证书和公钥基础结构(PKI)来启用更安全的onboard过程。

“‘上线’是指新设备被连接并加入网络和当地物联网生态系统的过程。新设备的安装包括认证、授权和问责制。”- - -安全物联网的愿景

数字证书由有信誉的来源颁发和签名,通常被称为证书权威或信任根。与数字身份证一样,设备交换数字证书,以加密方式验证彼此的身份和来源。换句话说,身份验证凭据允许您证明您就是您所说的您。随着物联网安全洞见他解释说:“数字证书不仅提高了安全性,还提供了更好的客户体验(例如,无需输入密码)。”

除非您在源端有适当的私钥,否则无法伪造或重新创建证书中的加密签名。您可以阅读更多关于认证过程、数字证书和PKI的内容在这里

  1. 今天物联网行业面临的主要挑战是什么?

挑战是多方面的,但我认为最常见的三个是:

  • 虽然许多公司开始探索解决方案,但大多数设备制造商没有安全专家,也没有准备好应对复杂的安全问题

设备制造商和安全公司传统上在两个相当独立的世界中运营。

设备制造商是在一个物理设备的世界中运作的,通常每年生产数十万甚至数百万台设备。严格管理库存、材料成本清单和及时交货是保持竞争力的必要条件。设备制造商使用固件和占用空间小的应用程序,通常计算能力和存储空间有限。为了降低成本和缩短交付时间,安全性可以被限制在必要的范围内。这个市场的特点是有成千上万的中小型公司,它们单个可能不会产生很大的产量,但总的来说却拥有数十亿的设备。

安全公司传统上是在企业计算、网络、web服务器和web应用程序领域运作的。这些帐户的典型特征是拥有IT团队和专门从事安全工作的员工或顾问的大型公司。一般来说,这些是大公司、银行、数据中心、医疗保健提供商等,它们可能没有物理产品,但有价值的数据存储在巨大的数据库服务器中。这些数据支持服务,通常涉及必须保护的个人和/或财务信息。

正如您所看到的,这可能会导致设备制造商的需求与安全公司的设备提供之间的巨大不匹配,从而导致双方之间的交谈不经过对方。因此,设备安全性经常得不到正确的实现。这并不是因为设备制造商不想这么做,而是因为他们没有有效地指导如何去做。

  • 在满足产品时间表和季度收益的压力下,设备安全通常省略或留下作为事后的事后,因为它目前需要太多的努力和成本来理解和实施它

人们经常听到成本是不实施安全的原因,而是误解了那种成本的谎言。确实有强大的压力来降低BOM成本,但较大的成本通常在工作人员中,公司需要才能理解安全本身。无论是分配现有员工或新员工的大脑周期,都是公司遭受的最大成本之一。理解需要大脑周期。大脑周期=时间。时间=金钱,大钱。

如果我们要有效地解决IOT安全问题,我们需要解决实施安全的时间方面。

  • 虽然IoT现在已经存在了一段时间,但市场压力去无线离开设备更容易攻击

自主网络设备已经存在了一段时间,但主要是在相对有限的规模上在有线网络上实现,使用的是通用计算机。然而,随着摩尔定律的不断发展,微控制器已经发展到即使是一个非常小、便宜的芯片也可以运行一个完整的TCP/UDP网络堆栈,而不仅仅是管理一个无线电台。这种高集成度和低成本促使市场采用小型、无线连接的自主设备。此外,无线连接的便捷性已经将采用的规模提高到了我们以前从未见过的数量级。

每个连接到您的网络的设备实际上都是该网络上的用户。你会让一个人类用户进入你的网络而不验证他们的身份吗?如果你不这么做,为什么要让一个“设备”来做呢?我把“设备”放在引号里是因为,在网络环境中,你不能总是确定一些自称是设备的东西是不是它所说的那样。

我经常听到的省略安全性的理由是“这个设备上没有什么重要的东西”。这是数据中心的一种思考方式,即保护系统上直接存在的内容,在系统上实现了安全性。我的回答通常是:“你绝对正确。没人关心设备上有什么。他们关心的是它所连接的网络。”这通常会让他们重新考虑自己的立场。不安全的设备在网络上提供了一个立足点,可以攻击价值较高的设备或获取敏感数据。

  1. 公司如何努力确保其IOT产品的更好的安全性?

  • 企业需要停止以负担为负担

相反,企业应该利用安全作为改善客户体验和收入的机会。消费者不会为安全的缘故购买安全性,他们购买使他们的生活更容易,更方便的产品。如果产品是安全的,它会提高客户体验。

  • 必须在设备的设计阶段解决安全问题的整体方法

为了更快地将产品推向市场,人们很容易陷入“现在就销售,以后再修补”的心态。预测可能出现的每一个安全问题几乎是不可能的,所以制造商需要不断地问自己:“随着时间的推移,这个功能会如何发挥作用?”以及“我们如何以一种可扩展且安全的方式来做这件事”。在产品生命周期的中途对安全性进行改进通常效果不太好,而且常常导致失败。

  • 企业必须理解“安全”的实际含义,并寻找相应的解决方案容易消化的如果他们不雇安全专家

设备制造商需要理解安全的真正含义它是什么。仅仅因为你使用了加密,并不意味着你的设备是安全的。安全性的最大要素不是加密,而是身份验证:识别与您通信的人,并能够验证它。

--

随着物联网设备收集了更多关于我们和我们日常生活的信息,消费者和企业必须更加关注其安全风险和漏洞。作为Chris Connors,物联网产品总经理在IBM,各国:“这意味着设备制造商,应用程序开发人员,消费者,运营商,集成商和企业企业都将遵循最佳实践。”

你可以找到更多的信息这里的IoT安全。不要忘记订阅我们的博客,在未来的博客文章中获取更多关于物联网的信息。

评论

隐私偏好中心

    严格必要

    该网站必须正常运行的饼干。

    phpsessid,__cfduid,hubspotutk

    表现

    它们用于跟踪用户交互和检测潜在问题。通过提供用户如何使用本网站的分析数据,帮助我们改善我们的服务。

    BizoID, wooTracker, GPS, _ga, _gat, _gid, _hjIncludedInSample, mailmunch_second_pageview

    针对

    这些cookie用于(1)向您和您的兴趣提供更相关的广告;(2)限制您看到广告的次数;(3)帮助衡量广告活动的有效性;(4)在观看广告后,了解人们的行为。

    __hssc,__hssrc,__hstc,