Nasazení IoT vyvolává řadu bezpečnostních problémů IoT souvisejících s funkcemi zařízení IoT, jako je potřeba lehkých šifrovacích algoritmů, pokud jde o možnosti zpracování a ukládání, a použití standardních protokolů.IoT zařízení jsou zranitelnější vůči bezpečnostním hrozbám než tradiční internetové počítače pro jejich nižší výpočetní výkon a omezené paměťové zdroje, zostřující prosazování ochrany. Současný přechod internetového síťového protokolu z IPv4 na IPv6 znamená, že stále více zařízení IoT má globální IP adresy, které mohou pomoci identifikovat tato zařízení jako cíle bezpečnostních útoků. Autonomní provoz a komunikace IoT zařízení také usnadňují bezpečnostní útoky. Proto, naléhavě potřebujeme nová a výkonnější bezpečnostní řešení pro systémy internetu věcí. Tento článek vás provede internetem věcí od sítě k hardwaru, software, a další bezpečnostní otázky na všech úrovních diskuse.
1. Jaké jsou problémy se zabezpečením IoT?
Bezpečnost IoT má mnoho společného s bezpečností IT. nicméně, Systémy internetu věcí vyžadují větší citlivost a důvěrnost, protože tyto systémy přicházejí a digitalizují soukromý život jednotlivce. Citlivost technologie IoT vyplývá z vysokých požadavků na bezpečnost, s extrémně vysokou důvěrností, pravost, Soukromí, a bezúhonnost. Existují fyzické a logické problémy s bezpečností IoT. Na jedné ruce, fyzickým problémem je energie zařízení. Většina zařízení IoT je napájena bateriemi, takže energie je relativně nedostatečná. Na druhou stranu, Zařízení IoT mají relativně nízký výpočetní výkon a omezené paměťové zdroje. Při ověřování existují logické problémy, ochrana proti malwaru, ochrana soukromí, a dohled.
Internet a jeho technologie existují desítky let. Během této doby, centralizovaná architektura klientů a serverů byla základem, na kterém byly postaveny současné platformy a služby. Tyto architektury mohou být také těžkopádné z pohledu IoT. Například, když nesčetné množství bezdrátových senzorů potřebuje odeslat svá data zpět do centralizované služby, monolitická služba by měla být schopna distribuovat aktualizace zabezpečení do decentralizované nebo distribuované sítě senzorů. Tyto senzorové sítě obvykle těží z decentralizované komunikační architektury, která má velkou Do jisté míry je samořídící. Tradičně, překážkou pro vytvoření decentralizované architektury byla důvěra ostatních účastníků. Zavedení kryptoměny Bitcoin předpokládá, že není potřeba důvěry mezi dvěma stranami. Toho je dosaženo začleněním mechanismu distribuovaného konsenzu jako důkazu o nové validaci transakcí při inkasování dřívější historie transakcí. To se týká i návrhu zobecněných transakcí mimo rámec kryptoměn. Dnes, tento zobecněný mechanismus často nese název blockchain.
Nedávná pozornost regulátorů, zejména v Evropské unii, vyvolalo zvýšené zaměření na bezpečnost a soukromí v prostoru IoT. Přijetí technologie blockchain má velký potenciál jako životaschopné řešení pro budoucí systémy internetu věcí, které splňují regulační požadavky. Ohledně regulačních požadavků na design zařízení IoT, Evropský parlament nedávno schválil nové směrnice a nařízení. Tyto požadavky, který lze považovat za nejpřísnější na světě, se vztahují na výrobce zařízení i poskytovatele služeb a platforem, pokud poskytují do EU nebo zpracovávají osobní údaje obyvatel EU.
Navíc, Členské státy EU poskytují určitá sektorová nařízení pro oblasti, které se zabývají citlivými informacemi, jako je zdravotnictví a finanční služby. Spojené státy americké postrádají obecnou ochranu údajů nebo zákon na ochranu soukromí a spoléhají se hlavně na malý počet právních předpisů týkajících se ochrany soukromí souvisejících s tímto odvětvím.. Americký přístup k navrhování informačních systémů ztěžuje dosažení společných závěrů o zachování určité úrovně soukromí. Například, zatímco stejný systém IoT lze používat v různých regionech, nedostatek společných požadavků na ochranu soukromí nebo definic tomu nasvědčuje. Výrobce tedy musí alespoň trochu předvídat zamýšlené použití konstrukčního systému, a zamýšlené použití konstrukčního systému, pokud by mu byl zakázán vstup do U.S. trh.
Na druhou stranu, lidé by mohli považovat regulační požadavky EU za měřítko povinností, které je třeba splnit při nakládání s osobními údaji nebo při jednání s provozovateli určité důležité infrastruktury. Za vývoj a správu informačních systémů jsou odpovědné dva zákony a předpisy EU. Jsou to Obecné nařízení o ochraně osobních údajů (GDPR) a směrnice o bezpečnosti sítí a informačních systémů (směrnice NIS).
GDPR může mít mezi členskými státy určité nuance, ale pokládá základy pro jednotný digitální jednotný trh v rámci EU. Jako směrnice, členské státy mohou k NIS zaujmout odlišný přístup, ačkoliv definuje, co lze považovat za minimální míru odpovědnosti za bezpečnost informačních systémů.
Co je internet věcí(IoT) Soukromí?
S rozvojem technologie IoT, digitální technologie dále pronikla do našeho života a prostředí. Podle Strategy Analytics, dosažený počet připojených zařízení po celém světě 22 miliard do konce roku 2018 a očekává se, že dosáhne 50 miliardu 2030. Na základě optimistických údajů, spojení IoT a umělé inteligence vytvoří inteligentnější způsob komunikace. Celkově, sociální a ekonomický dopad internetu věcí bude významný, s připojenými zařízeními integrovanými do všech aspektů našeho života, od nositelných zařízení přes internet vozidel přes chytré domácnosti až po internet všeho. Pohodlí a všudypřítomnost internetu věcí přinese obrovské výhody, ale také to znamená, že sběr informací se přesouvá z online světa do offline světa, se naše těla a soukromé prostory stávají zdrojem sběru informací. V tomto kontextu, internet věcí, zejména otázky ochrany soukromí související se spotřebitelským internetem věcí, se stala středem pozornosti. V září 19, internetová společnost vydala zprávu o soukromí internetu věcí nazvanou „Policy Brief: Ochrana osobních údajů IoT pro tvůrce zásad “, který analyzuje rizika a výzvy, které přináší internet věcí pro ochranu soukromí, a předkládá konkrétní doporučení pro politické činitele, poskytovatelé služeb IoT a další zúčastněné strany, a vyzývá k posílení modelu řízení, který spočívá ve spolupráci mnoha zúčastněných stran.
Rozvoj internetu věcí umožňuje generovat každodenní předměty a senzory jiné než počítače, vyměňovat a spotřebovávat data s menším zásahem člověka. Dnes, Internet věcí ukazuje vývojový trend rozsahu (počet připojených zařízení stále roste), intimita (nositelná zařízení a zařízení implantovaná do lidského těla, atd.), všudypřítomný, vždy připojen, a inteligentní. Tento rozsah vývoje by však mohl ovlivnit ochranu soukromí, umožňující snadnější identifikaci jednotlivců, sledované, profilované, a ovlivněné.
Mezi výzvy internetu věcí pro ochranu soukromí patří: První, ochrana internetu věcí zahrnuje širokou škálu, včetně regulačních hranic různých oddělení a jurisdikcí. Na jedné ruce, legislativa na ochranu soukromí má tendenci být segmentována podle domén, jako je lékařské soukromí, finanční soukromí, soukromí studentů, atd., a zařízení a služby internetu věcí je obtížné kategorizovat. Na druhou stranu, různé země a regiony mohou mít různé právní předpisy na ochranu soukromí pro zařízení a služby internetu věcí a budou čelit různým předpisům, když se sběr a zpracování dat uskuteční v různých jurisdikcích. Druhý, pro IoT je obtížné získat informovaný souhlas od uživatelů. Když je IoT nasazen, kromě získání informovaného souhlasu od vlastníka zařízení, je obtížné současně získat souhlas ostatních v okolí. Zařízení IoT se neliší od běžných věcí, jako jsou hodinky, Řečníci, a televizory, takže je těžké zjistit, zda zařízení shromažďuje a zpracovává data. Konečně, IoT výzvy princip transparentnosti ochrany soukromí. Například, na rozdíl od webových stránek, aplikace, atd., Zařízení a služby internetu věcí nemusí být schopny uživatelům prezentovat své zásady ochrany osobních údajů, a nemusí odvádět dobrou práci při informování uživatelů o tom, že shromažďují data.
Abychom lépe čelili těmto výzvám a posílili ochranu soukromí osob souvisejících s internetem věcí, Internet Society předložila čtyři doporučení: První, posílit smysluplnou kontrolu uživatelů nad zařízeními a službami internetu věcí, a posílit správu dat IoT. Konkrétně, to zahrnuje: vyjasnění povinností poskytovatelů služeb, včetně získávání informovaného souhlasu od uživatelů při shromažďování osobních údajů, zvýšení transparentnosti, a bezpečné ukládání dat, atd.; podpora otevřených standardů a interoperability v zařízeních a službách internetu věcí; a podpora postupů minimalizace dat. Druhý, zlepšit transparentnost shromažďování a používání uživatelských dat. Například, informovat uživatele o možnostech zařízení IoT a shromažďování dat způsobem, který je pro uživatele snadno srozumitelný, nastavit účinný souhlas a funkce odhlášení pro uživatele, zlepšit srozumitelnost zásad ochrany osobních údajů, zlepšit transparentnost během životního cyklu dat, a zajistit soukromí a bezpečnost. Je chráněn po celou dobu životního cyklu produktu, atd. Třetí, legislativa a zásady ochrany soukromí drží krok s technologickým vývojem. Konkrétně, to zahrnuje: zlepšení stávajících zákonů na ochranu soukromí a spotřebitele; přezkoumání přizpůsobivosti a rozsahu zákonů na ochranu soukromí; posílení právní ochrany pro výzkumné pracovníky v oblasti soukromí, aby se zajistilo, že nevystavují právní rizika vyšetřováním otázek ochrany soukromí; Široké používání sítí nezhoršuje diskriminaci a nekalé praktiky; zavést hodnocení dopadu na soukromí při rozvoji internetu věcí, atd. Čtvrtý, posílit účast mnoha zúčastněných stran. Řešení rizik a výzev souvisejících s internetem věcí vyžaduje společnou účast vlády, veřejnost, průmysl, akademická sféra, společenských organizací, a technický personál. Na sociální úrovni by měl být veden rozsáhlý dialog, a pozornost by měla být věnována právu spotřebitelů mluvit.
Celkově, kombinace IoT s novými technologiemi, jako je cloud computing a umělá inteligence změní naši ekonomiku a společnost mnoha způsoby. Technologie přináší velké příležitosti, ale přináší to i rizika. Je třeba podniknout vhodné kroky, aby se zajistilo, že výhody IoT daleko převáží nad riziky ochrany soukromí, bezpečnostní, atd. To vyžaduje spolupráci všech zúčastněných stran, včetně vlád, výrobci, spotřebitelů, atd., zajistit, aby byly technologie internetu věcí vyvíjeny odpovědným a udržitelným způsobem. Zahraniční země již prosazují legislativu na ochranu soukromí a bezpečnosti IoT. Legislativa musí zohlednit charakteristiky zařízení a služeb internetu věcí a přijmout flexibilní a rozumné regulační mechanismy. Například, i v EU GDPR, informovaný souhlas uživatelů není jediným právním základem pro poskytovatele služeb ke shromažďování a zpracovávání osobních údajů uživatelů. Proto, zásady ochrany osobních údajů internetu věcí by se neměly omezovat na informovaný souhlas, ale měly by brát v úvahu technické vlastnosti, a za určitých okolností, budou převedeny z předchozího povolení na povinnosti ochrany údajů v průběhu procesu a po události. Navíc, povědomí spotřebitelů o soukromí se probudilo. Například, v průzkumu, 77% spotřebitelů uvedlo, že schopnost ochrany soukromí a zabezpečení internetu věcí jsou důležitými faktory, které je třeba vzít v úvahu při rozhodování o nákupu. Výrobci internetu věcí musí při vývoji a budování internetu věcí zohlednit otázky ochrany soukromí uživatelů a zabezpečení dat. Procvičte si koncept „privacy by design“ a posilněte kontrolu uživatelů nad daty.
Proč je jáÓT bezpečnostní kritický?
01. Proč je dnes zabezpečení internetu věcí tak důležité
Dnes, Zařízení a aplikace internetu věcí jsou široce používány v práci a životě lidí, a téměř všechny objekty se stanou inteligentními, aby mohly využívat výhod připojení ke globálnímu internetu.
Zatímco v prvních dnech, síťové hrozby byly zaměřeny na podniková IT zařízení, v moderním světě se staly rozšířenějšími a častějšími. Než probereme bezpečnostní opatření pro internet věcí, je důležité porozumět některým vektorům síťových hrozeb obklopujících internet věcí.
02. Běžné vektory hrozeb pro internet věcí
Vektory hrozeb označují cesty nebo prostředky, kterými mohou kyberzločinci získat přístup k hlavním systémům společnosti fungujícím v síti.. Některé z nejběžnějších vektorů hrozeb v IoT jsou:
(1) Žádné fyzické hranice
Hranice sítě IoT je otevřenější než tradiční hranice internetu. Tradiční bezpečnostní metody omezování přístupu k zařízením již nejsou dostupné. Tato zařízení IoT se v případě potřeby přesunou na jakékoli nové místo a mají přístup k síti.
(2) Únik dat Wi-Fi a Bluetooth
Konfigurace Wi-Fi a Bluetooth v IoT jsou hlavními zdroji úniku dat. Bluetooth a WI-FI se slabými hesly mohou síťoví útočníci snadno ukrást během přenosu dat. Taky, většinou, heslo použité pro konfiguraci není pro každé zařízení nastaveno jednoznačně. Pokud je sítí napadeno a kompromitováno pouze jedno zařízení, je ponechána mezera pro neoprávněný přístup.
(3) Fyzický přístup k zařízením IoT
Kybernetičtí útočníci získávají fyzický přístup k zařízením IoT a pracovní zátěži, nejhorší ze všech vektorů hrozeb. S tímto přístupem, Kybernetičtí útočníci mohou snadno získat přístup k interním informacím zařízení IoT a jejich obsahu. A pomocí nástrojů jako BusPirate, Šikra, nebo LogicAnalyzers, mohou také číst veškerý provoz v síti. S fyzickým přístupem, kybernetičtí útočníci mohou získat hesla, upravovat jejich programy, nebo je vyměňte za jiná zařízení, která ovládají.
03. IoT vs IT
Zatímco mnoho zařízení IoT je na hraně, IT infrastruktura je v cloudu. Hrozby pro bezpečnost internetu věcí mohou vést k tomu, že kybernetičtí útočníci získají přístup k hlavním IT sítím prostřednictvím vektorů hrozeb internetu věcí. Zde jsou některé skutečné kybernetické útoky.
- Přístup k síti prostřednictvím systému HVAC vede k narušení dat
Podle zpráv médií, Společnost Target Inc., jeden z top 10 maloobchodníci v USA, byl hacknut za účelem krádeže 40 milionů čísel kreditních karet od společnosti. Jde o jeden z největších úniků dat na světě. Hackeři hackli systémy HVAC tím, že ukradli přihlašovací údaje třetích stran a poté získali přístup do podnikových sítí.
- SubwayPoS utrpělo útok hackerů
V současné době se objevují zprávy o bezpečnostních chybách souvisejících s PoS. Narušení v SubwayPoS mělo za následek ztrátu $10 milión, s minimálně 150 cílových franšíz Subway. K podobnému hacknutí došlo u amerického knihkupce Barnes & Ušlechtilý, ve kterých čtečky kreditních karet at 63 obchody byly napadeny a kompromitovány.
ransomware SamSam
Dalším známým případem narušení systému je kybernetický útok ze strany ransomwaru SamSam, která zasáhla správní orgány, jako je Colorado Department of Transportation a Port of San Diego v 2018 a náhle zastavili své služby.
04. Předpisy IoT
Přestože některé země a regiony vydaly některé předpisy IoT, nejsou dostatečné ke zmírnění rizik spojených s kybernetickými útoky. Kalifornie má rozumné předpisy na úrovni zabezpečení, pokud jde o omezování kybernetických útoků. Rovněž, Spojené království zavedlo unikátní politiku hesel, a podniky musí poskytnout jasné kontaktní údaje pro zařízení IoT připojená k místní IT infrastruktuře, aby odhalily zranitelnosti a prováděly pravidelné aktualizace zabezpečení. Zatímco tyto regulační pokyny jsou vítány mnoha bezpečnostními komentátory, není jasné, kdo bude tyto zásady prosazovat. Komentátor dodal, že pracují na tom, aby pochopili, jak budou předpisy vynucovány prostřednictvím stávajících regulátorů.
Strategie a opatření kybernetických útočníků se aktualizují mnohem rychleji, a tyto předpisy mohou být vydávány nebo prováděny ročně nebo pololetně. Proto, je obtížné držet krok s útoky prováděnými kybernetickými útočníky pouze se spoléháním na regulační politiku.
05. Jaká bezpečnostní opatření musí společnosti přijmout
Při dodržení výše uvedených předpisů, podniky musí vyvinout svá bezpečnostní opatření pro přijetí zařízení IoT.
První, musí určovat bezpečnost zařízení IoT. Je důležité zajistit, aby zařízení internetu věcí měla jedinečné identity, které jsou základem pro další bezpečnostní opatření.
Pak, založené na vrstvě identity, software je chráněn opatřeními, jako je podepsaný kód, firmware, atd.
Konečně, podnik musí mít soulad na nejvyšší úrovni, aby mohl rozhodnout, které verze softwaru budou provozovány.
IoT hardwarové zabezpečení
V designu elektronických produktů, bezpečnost je prvořadá. To platí zejména pro komplex, omezený na zdroje, a vysoce propojený internet věcí (IoT). Dosažení bezpečnosti internetu věcí vyžaduje spoléhání se na osvědčené bezpečnostní zásady a ostražitost vůči vyvíjejícím se hrozbám. Při uvádění produktů na trh však konstruktéři čelí některým bezpečnostním problémům IoT.
01. IoT čelí bezpečnostním hrozbám
IoT je v současnosti začleňován do většiny průmyslových a komerčních provozů, včetně veřejných služeb, kritická infrastruktura, přeprava, finance, maloobchodní, a zdravotnictví. Zařízení IoT dokážou snímat a měřit fyzický svět a sbírat data o různých lidských aktivitách, usnadnění širokého nasazení inteligentních, Automatizovaný, a technologie autonomního velení a řízení. Prostřednictvím všudypřítomného internetu věcí propojujících chytrá zařízení, podniky jsou schopny vytvářet skutečně revoluční technologie, které v budoucnu zlepší každý aspekt lidské společnosti a ekonomického života. Přesto téměř každý týden mainstreamová média informují o narušení digitální bezpečnosti. Hlášené ztráty jsou často krádeže nebo zneužití informací o spotřebitelských kreditních kartách, což jsou kapky ve srovnání s tisíci kybernetických útoků, ke kterým dochází každý den. Bezpečnostní útoky zahrnují krádež cenných dat a způsobení rozsáhlých škod, a ještě více, převzetí kontroly nad kritickými systémy. Z pohledu spotřebitele, distribuované odmítnutí služby (DDoS) útoky jsou pravděpodobně nejčastější hrozbou. Botnet Mirai, která narušila celý internet 2016, rozezněly první poplašné zvony, informování agentur o hrozbě. Po Mirai, Aidra, Wifatch, a Gafgyt, stejně jako nové botnety, jako je BCMUPnP, Myslivec52, a Torii53, kumulativně pronikli do milionů zařízení internetu věcí, aby rozšířili svůj malware DDoS, těžaři kryptoměn, a spam.
Jak se v naší práci a životech objevuje stále více zařízení IoT, potenciální bezpečnostní útoky jsou všude a ve stále větším měřítku. Take intelligent traffic control as an example. Imagine a major city where the infrastructure of sensors, traffic lights, car mesh networks, and control devices that control the flow of traffic is exposed to adversaries. Controlling traffic lights or communication between vehicles via wireless networks at important intersections is no longer the stuff of Hollywood blockbusters, but a real and serious issue.
Think also of internet-enabled medical devices, smart labels in stores to help improve the retail shopping experience, and how our appliances are connected. If you can use your smartphone to start the stove, unlock the lock and turn off the alarm system, what about everyone else?
The examples above are relevant to all of us, but there are many situations that are invisible to the average consumer. Imagine the Průmyslový internet věcí (IIoT) nasazena pro automatizovaná výrobní prostředí. Jaký by to byl chaos, kdyby došlo k narušení bezpečnosti, a jaké by byly finanční náklady na prostoje výroby a poškození zařízení?
S exponenciálním růstem potenciálu útoků, Zabezpečení internetu věcí musí být komplexní a robustní, se schopností rychlého zotavení.
02. Vy by neměl spoléhat pouze na softwarový přístup
Pokusy o odposlech nebo nelegální získání informací nejsou žádnou novinkou. Od té doby na tom pracuje holandský počítačový výzkumník Wim Van Eck 1985. Úspěšně extrahoval informace z displeje zachycením jeho elektromagnetického pole a jeho dekódováním. Jeho průkopnická práce zdůraznila skutečnost, že bylo možné obejít nákladná bezpečnostní opatření použitím levných komponentů..
Takovéto nerušivé a pasivní elektromagnetické útoky postranním kanálem se nyní stávají sofistikovanějšími a jsou jednou z mnoha útočných zbraní. Mezi další metody útoku na okrajových kanálech patří diferenciální analýza výkonu (DPA) a další, které se běžně používají spolu s elektromagnetickými útoky na hraně kanálu. Prostřednictvím tohoto útoku, citlivé informace, jako jsou šifrovací klíče, hesla, a osobní identity v mikroovladači zařízení IoT budou „kompromitovány“ ve formě elektromagnetických signálů, když budou provedeny instrukce pro zpracování šifrování.. Širokopásmové přijímače jako softwarově definované rádiové aplikace jsou v současné době velmi levné a lze je použít k detekci a ukládání elektromagnetických signálů v provozu.
DPA je složitější zlodějská metoda, který dokáže porozumět spotřebě energie procesoru během provozu zařízení pomocí jednoduché analýzy napájení. Protože energie spotřebovávaná procesním zařízením se bude lišit v závislosti na vykonávané funkci, diskrétní funkce lze identifikovat na základě znalosti spotřeby energie. Funkce šifrovacích algoritmů založených na AES, ECC, a RSA vyžadují mnoho výpočtů a lze je identifikovat analýzou měření spotřeby. Zkoumání spotřeby energie v mikrosekundových intervalech odhaluje různé numerické operace často používané v kryptografii, jako je násobení součtu na druhou. DPA přidává statistiky a techniky opravy chyb k jednoduché analýze napájení, které mohou realizovat vysoce přesné dekódování důvěrných informací.
Únik dat prostřednictvím kabelové nebo bezdrátové komunikace může také odhalit důvěrné informace. Skryté kanály a „útoky typu man-in-the-middle“ jsou efektivní způsoby, jak shromažďovat data nasloucháním komunikaci mezi zařízeními IoT a hostitelskými systémy.. Analýza těchto dat může odhalit protokoly ovládání zařízení a soukromé klíče potřebné k převzetí provozu vzdáleně připojených zařízení.
Další útočnou technikou používanou hackery jsou implantační útoky na nechráněné mikrokontroléry a bezdrátový systém na čipu. (SoC) zařízení. V nejjednodušším případě, tato technika může snížit nebo rušit napájecí napětí mikrokontroléru, dělat podivné chyby. Tyto chyby pak mohou spustit další chráněná zařízení k otevření registrů obsahujících důvěrné informace, čímž je vystavíte vniknutí. Manipulace s hodinovým signálem systému změnou frekvence, zasazení nesprávného spouštěcího signálu, nebo změna úrovně signálu může také vést k abnormalitám v zařízeních internetu věcí, které mohou odhalit důvěrné informace nebo vést k manipulaci s řídicími funkcemi. Oba případy vyžadují fyzickou kondici, ale ne invazivní, přístup k deskám plošných spojů uvnitř zařízení.
Protože mnoho bezpečnostních technologií používaných k zabezpečení zařízení IoT je založeno na softwaru, bezpečnostní informace budou pravděpodobně čteny nelegálně. Standardní kryptografické šifrovací algoritmy, jako je AES, ECC, a RSA běží jako softwarové sady na mikrokontrolérech a vestavěných procesorech. Zařízení a software, které stojí méně než $100 lze použít nejen k zobrazení spotřeby energie, ale také k získání klíčů a dalších citlivých informací pomocí technologie DPA. Nyní je snadné získat běžně dostupné softwarové nástroje DPA pro automatizaci celého procesu, aniž byste museli být zběhlí v těchto analytických metodách..
Takové útoky se již neomezují na oblast teorie, a byly široce používány hackery po celém světě.
S rostoucí intenzitou útoku, vývojáři zařízení a systémů IoT musí přehodnotit své metody ochrany zabezpečení a zlepšit funkce ochrany zabezpečení, aby byly robustnější a odolnější..
03. Hardwarový přístup k chránit IÓT bezpečnostní
Před návrhem nového IoT zařízení, nejlepší je mít komplexní přehled o tom, jakým útokům bude zařízení pravděpodobně vystaveno, a před jakými druhy hrozeb je třeba se chránit. Je rozumné od začátku přezkoumat bezpečnostní požadavky a začlenit je do specifikací produktu. Většina zařízení IoT obvykle vydrží mnoho let, a to samo o sobě by mohlo vést k dalším útokům, tak je potřeba to zvážit. Proto, aktualizace firmwaru musí být prováděny vzduchem (OTA), a chránit před všemi útoky, Pro implementaci návrhu zabezpečení založeného na hardwaru je vyžadován přístup čip-to-cloud.
Bezpečnostní čip OPTIGA® Trust M2 ID2, který nedávno vydala společnost Infineon, je zcela hardwarové bezpečnostní řešení, a jeho největší výhodou je, že dokáže odolat útokům na hardwarové úrovni. Využívá speciálně navrženou zjednodušenou logiku pro lepší ochranu úložiště dat. I když velmi profesionální reverzní inženýrství, původní data nelze snadno hacknout a prolomit. Některé profesionální návrhy a nestandardní implementace kódu je ve skutečnosti obtížné analyzovat a pochopit. Nejdůležitějším bodem je, že hardwarové řešení bezpečnostního čipu může poskytnout důvěryhodný „kořen“ pro celý systém a zdroj důvěry pro systém..
IoT zabezpečení firmwaru
S tím, jak počet IoT terminálů roste mílovými kroky, postupně přistávají příslušné předpisy a standardy bezpečnosti internetu věcí, a postupně bude věnována pozornost zabezpečení firmwaru nízkozdrojových embedded zařízení. Jako end-to-end platforma pro detekci zabezpečení IoT, TinyScan skutečně skenuje a doluje skryté citlivé informace a bezpečnostní rizika ze zdroje. Jak vývojáři firmwaru, tak uživatelé firmwaru mohou tento nástroj použít ke zvládnutí stavu zabezpečení specifikovaného firmwaru a provádění cílené ochrany nebo úniku, čímž se sníží počet bezpečnostních problémů IoT způsobených zranitelností firmwaru.
V době internetu věcí, třívrstvý strukturní model vnímání, přenos, a aplikace se často používá, a vestavěná zařízení, jako jsou senzory, brány, a řadiče distribuované ve třech vrstvách zavedly velké množství nových bezpečnostních problémů: architektura.
01. Szabezpečení systému
V současnosti, mainstreamovým vestavěným operačním systémům stále dominuje Linux nebo linuxové deriváty, a různé společnosti přizpůsobují a vyvíjejí linuxové systémy podle požadavků a vlastností svých produktů. nicméně, vzhledem k tomu, že zdroje vestavěných zařízení jsou omezené, je obtížné zcela transplantovat stávající řešení bezpečnostní obrany do zařízení IoT.
02. Zabezpečení komponent
Protože vestavěná zařízení používají jako operační systém Linux, mnoho open source komponent je nutné použít. Skryté problémy některých open source komponent v režimu C/S mohou být znovu objeveny a využity v éře internetu věcí.. Protože v prostoru je současně velké množství identických IoT zařízení, pokud firmware zařízení není aktualizován včas poté, co se objeví chyba zabezpečení, může způsobit těžké ztráty.
03. R&D Bezpečnost
V době internetu, klient nemůže přímo přistupovat a ovládat server, ale tento fenomén se v éře internetu věcí změnil. Prostřednictvím open source reverzního nástroje, uživatelé mohou snadno získat konfigurační soubory a informace ve formátu prostého textu ponechané ve firmwaru zařízení, a poté přímo získat přístupová práva zařízení, představující hrozbu pro velký počet zařízení stejné specifikace.
Měli bychom provést bezpečnostní analýzu firmwaru z následujících dimenzí, a výstup výsledků analýzy ve formě zpráv.
(1) Analýza zabezpečení služby souborového systému
● Automaticky skenuje a získává základní informace o systému souborů firmwaru, včetně architektury CPU, čas na přípravu, kompresní režim, typ, velikost, a režim úložiště souborového systému.
● Po získání základních informací o systému souborů, můžete určit typ cíle skenování a přepnout na různé moduly skenování.
(2) Systém & kódování analýzy služeb
● Získejte informace o systémové službě, včetně systémové servisní cesty a hodnoty MD5.
● Získáním informací o systémové službě, lze znát stav samospouštění systémové služby, a informace, jako například to, zda existují neznámé škodlivé skripty v samospouštěcí službě, lze rychle zjistit.
(3) Komponenta & analýza bezpečnosti softwaru SPA
● Směrové skenování, získání systémové komponenty & informace o softwaru, včetně komponentu & softwarová cesta, popis, a adresu webové stránky;
● Získáním součásti & informace o softwaru, můžete rychle získat informace o verzi součásti & software nainstalovaný ve firmwaru, a podle toho proveďte bezpečnostní skenování.
(4)Získání hesla uživatele
● Směrové skenování, získat informace o hesle uživatele, včetně cesty k souboru související s heslem, a informace o hesle;
● Po získání hesla uživatele, může být odhalen únik informací o hesle způsobený nestandardním vývojem firmwaru.
(5)Analýza zabezpečení autentizace šifrováním
● Automaticky skenuje a získává informace o šifrovaném ověřovacím souboru, včetně cesty a informací o šifrování souboru pro ověření šifrování;
● Po detekci autentizace šifrováním, může být odhalen únik informací o autentizaci šifrování způsobený nestandardním vývojem firmwaru.
(6) Analýza citlivých informační bezpečnost
Automatické skenování a získávání podezřelých citlivých informací ve firmwaru zahrnuje, ale není omezeno na pevně zakódovaný token/klíč, konfigurační pevně zakódované heslo, pevně zakódovaná IP, pevně zakódovaná HTTP adresa, únik souborů mezipaměti, atd., které mohou odhalit únik citlivých informací způsobený nestandardním vývojem firmwaru.
(7)Detekce zranitelnosti CVE
Rychle zjistěte informace o zranitelnosti CVE v systému souborů, včetně CVE-ID, čas vydání, popis, a úroveň. Po detekci zranitelnosti CVE, můžete získat nejnovější informace o zranitelnosti CVE softwaru nainstalovaného v aktuálním naskenovaném firmwaru.
Internet věcí(IoT) softwarové zabezpečení
72% předních představitelů informační bezpečnosti tvrdí, že cloud computing je nejvyšší prioritou digitální transformace. Cloudový software IoT integruje jak digitální, tak fyzické prvky zabezpečení, takže data mohou být přístupná a využívána bezpečnějšími telefony..
Co umí cloud-based IoT software přivést k bezpečnostní ochraně? Tento článek vám vysvětlí, jak může software IoT efektivně pomoci zlepšit zabezpečení v oblasti bezpečnosti. Představí také, jak kombinovat digitální a fyzické bezpečnostní prvky pro řešení bezpečnostních incidentů.
01. Vliv cloudového softwaru IoT
Cloudový software IoT se v podnikání používá různými způsoby. A cloudová řešení přinášejí výhody do bezpečnostního prostoru. Ve svém jádru, Technologie IoT transformuje firemní sektor, obnovení způsobu fungování podniků.
02. Integrujte cloudová řešení pro využití dat
Data jsou v každém odvětví velmi důležitá, a oblast bezpečnosti není výjimkou. S cloudovými řešeními, ukládání dat a informací do jediného rozhraní může společnostem pomoci udržet si krok s tím, co se v podnikání děje.
Navíc, kombinací softwaru vylepšeného AI a cloudových řešení, bezpečnostní pracovníci mohou lépe identifikovat potenciální bezpečnostní hrozby. Využití cloudových technologií IoT může zvýšit produktivitu. Vzhledem k rozsáhlým povinnostem bezpečnostních pracovníků, monitorování kamer v reálném čase není možné. Technologie IoT může bezpečnostním pracovníkům pomoci kdykoli přijímat informace z kamer a zaznamenávat zpětnou vazbu, kdekoli, pomáhá vytvářet lepší bezpečnostní politiky. Některá řešení IoT poskytují bezpečnostním pracovníkům upozornění v reálném čase, která kombinují video v reálném čase a analytické nástroje AI pro vylepšení funkčnosti bezpečnostního systému a urychlení reakce na bezpečnostní incidenty..
03. kombajnE síla fyzické a kybernetické bezpečnostní
Kombinace digitálního a fyzického zabezpečení je prospěšná pro optimalizaci bezpečnostních systémů IoT, pomáhá chránit systémy před online narušeními a narušeními. Plus, opatření fyzického zabezpečení pomáhají chránit důvěrné informace před hackery. Čím silnější je spojení digitálních bezpečnostních prvků a fyzických bezpečnostních týmů, tím více bude organizace chráněna.
04. Automatické aktualizace softwaru
Udržování veškerého softwaru v aktuálním stavu je nesmírně důležité, abyste zajistili, že vaše organizace nebude vystavena hrozbám kybernetické bezpečnosti, i když dojde k narušení systémů internetu věcí.. Tradičně, místní bezpečnostní systémy byly ručně aktualizovány certifikovanými profesionály s každou novou aktualizací. Používání cloudového softwaru, aktualizace nelze provádět pouze na místě nebo na dálku, ale dá se i automatizovat, výrazně snížit náklady.
05. Vzdálená funkce
Díky flexibilnímu vývoji cloudové technologie IoT, bezpečnostní pracovníci mohou obsluhovat bezpečnostní nástroje na dálku pomocí mobilních zařízení. Například, systém videotelefonu používaný v dnešním systému kontroly přístupu umožňuje bezpečnostním pracovníkům ověřit identitu návštěvníka uskutečněním videohovoru s chytrým telefonem návštěvníka. Navíc, program interkomu podporuje i vzdálené odemykání. Když je potvrzena totožnost návštěvníka, dveře lze odemknout na dálku, aby návštěvník mohl vstoupit. Díky využití cloudové technologie IoT, procedura autentizace pro návštěvníky je zjednodušena a doba ověření je výrazně zkrácena, takže návštěvníci mohou rychleji vstoupit do budovy.
06. Shrnout
Přijetí cloudu IoT řešení v podnikové strategii ochrany zabezpečení vede k vytvoření bezpečnostního systému, který drží krok s dobou. Kybernetická bezpečnost je hrozbou a výzvou, které podniky čelí při používání technologie IoT. Ale kombinací fyzických a digitálních bezpečnostních prvků, cloudové systémy IoT mohou být do značné míry chráněny před zranitelností a lépe chráněny, aby podnikům pomohly vyrovnat se s měnícím se prostředím zabezpečení.
Internet věcí(IoT) zabezpečení sítě
Zároveň s rychlým rozvojem internetu věcí, často se také objevují bezpečnostní problémy internetu věcí. K některým incidentům při těžbě a únosu zařízení docházelo opakovaně. Produkty pro chytrou domácnost nadále prolamují bezpečnostní mezery, což způsobí nevratné ekonomické ztráty při využití mezer. Ve stejnou dobu, odráží také důležitost bezpečnosti jako infrastruktury aplikace internetu věcí v rané fázi budování průmyslu internetu věcí.
V posledních letech, s průlomem klíčových technologií jako např 5G, vývoj internetu věcí pokročil mílovými kroky. Ve stejnou dobu, kvůli dopadu Covid-19, přibylo kancelářských forem práce na dálku, což přináší nejen pohodlí podnikům, ale také poskytuje pohodlí hackerům při napadení důvěrných firemních informací.
The Internet of Things has penetrated into all aspects of our lives. Frequent attacks on smart devices threaten personal privacy and security. Critical infrastructure is also facing huge risks in realizing digital networking transformation. IoT security requires the establishment of reasonable management plans and regulations to ensure timely detection and efficient recovery of risks.
IoT security issues mainly involve data security, Soukromí, replication, and RFID system threats.
- Attacks on RFID: Technologie RFID is a popular Internet of Things technology, currently mainly used in “unmanned supermarkets” and other fields.
- Attack on WSN: WSN is the wireless sensor network. The bottom layer of the Internet of Things is the perception layer. This layer includes a large number of sensors. When the sensors work, budou generovat velké množství dat. Jakmile je během procesu přenosu zachytí zločinci, následky budou nepředstavitelné. WSN má v současné době související aplikace v armádě.
- Útoky na routery: Směrovače jsou velmi důležitá síťová zařízení. Jednou zaútočil, síť může být paralyzována. Navíc, dochází k útokům na komunikační linky, útoky na uživatele, a útoky na servery.
Konkrétně, hlavní bezpečnostní hrozby, kterým v současnosti internet věcí čelí, lze shrnout jako tři aspekty „cloudu, trubka, a konec“ zabezpečení:
(1)Zabezpečení terminálu Internet of Things
Prvním aspektem je zabezpečení terminálů IoT. Jako reprezentativní produkt hluboké integrace informačního prostoru a fyzického prostoru, Terminály internetu věcí se rychle rozšířily z průkopnických produktů pro osobní spotřebu do různých oblastí ekonomiky a společnosti. Poskytuje vzdělání, zdravotní péče, maloobchodní, energie, konstrukce, automobil, a mnoho dalších průmyslových odvětví s novými prostředky služeb, a podporuje zlepšení základních městských funkcí, jako je vládní úřad, veřejná bezpečnost, přeprava, a logistiky. Stávající koncová zařízení IoT se soustředí na realizaci funkcí, zatímco tradiční výrobci zařízení nemají dostatečné bezpečnostní schopnosti, zvážit faktory, jako je čas a náklady, a obecně ignorovat bezpečnostní problémy v návrhu terminálu.
IoT terminály lze rozdělit na inteligentní terminály a neinteligentní terminály. Většina inteligentních koncových zařízení má vestavěné operační systémy a terminálové aplikace, zatímco většina neinteligentních koncových zařízení má jedinou strukturu a funkci, a provádět pouze funkce, jako je sběr a přenos dat. Proto, intelligent terminal devices have a greater threat to information security.
(2)IoT pipeline security
The second aspect is IoT pipeline security. The “tube” of the Internet of things is the pipeline connecting the “cloud” and the “end”. The security of the “tube” of the Internet of things is the security of the information pipeline with large capacity and intelligence. According to the investigation of the information pipeline of the Internet of things, it is found that there are four main security threats to the pipeline security of the Internet of Things.
(3)Internet of Things cloud service security
Třetí, Internet of Things clouds service security. Obecně řečeno, Cloudové služby internetu věcí se používají při sdílení informací s jinými stranami. Proto, ochrana bezpečnosti cloudových služeb je také klíčovým článkem ochrany bezpečnosti internetu věcí.
Způsoby, jak zlepšit zabezpečení internetu věcí
Podniky musí zlepšit zabezpečení zařízení IoT, jinak způsobí obrovské finanční ztráty a ztráty pověsti. Šifrování dat a interní monitorování jsou některé ze způsobů, jak se společnosti mohou zaměřit na zlepšení zabezpečení zařízení IoT.
01. Používejte cloudovou infrastrukturu a ochranu softwaru
Síťové zařízení Cumulonimbus udržuje zařízení v bezpečí, protože pomáhá udržovat důvěrnost a integritu informací zaznamenaných zařízením. Ve stejnou dobu, informace ve výměně mohou být šifrovány a chráněny před hackery.
02. Design A bezpečnostní přístroj a vytvořit samostatnou síť
Designing a better device focused on improving the security of IoT devices is important. A timely internal review of the behavior of the device under certain conditions is important to change the system of the device.
03. Apply jáÓT API na guard against identity spoofing
The role of API security protection is to allow only authorized devices to communicate with each other. Companies and users can be notified of any unauthorized access and operation of the system.
In today’s world, the number of IoT devices in use is increasing. Ve stejnou dobu, IoT development is facing challenges. Enterprises should gradually recognize the importance of IoT security and further enhance the technology to protect the security of devices.
Which industries are most vulnerable to jáÓT security threats?
IoT security issues pervade all industries and fields. To znamená, pokud je toto odvětví spojeno s lidským životem a majetkem, je zranitelný vůči bezpečnostní hrozbě internetu věcí.
Například, útok na chladicí systém, ve kterém je umístěna droga, monitorován systémem IoT, může narušit životaschopnost léku, pokud teplota kolísá. Rovněž, dopad útoků na ropné vrty, vodní systémy, a energetické sítě, kritická infrastruktura, která výrazně ovlivňuje lidský život, může být zničující.
nicméně, další útoky by se neměly podceňovat. Například, útok na chytrý zámek dveří by mohl umožnit zlodějům vstoupit do chytré domácnosti. Nebo, v jiných případech, Jako 2013 Cílový hack nebo jiná porušení zabezpečení, útočníci mohou šířit malware prostřednictvím připojených systémů (systém HVAC v cílovém případě) ukrást osobně identifikovatelné informace a způsobit zkázu postiženým.
01. Jak může jáÓT chránit systémy a zařízení
Přístup k zabezpečení internetu věcí závisí na aplikaci internetu věcí a na tom, kde se podnik v ekosystému internetu věcí nachází. Vývoj a integrace zabezpečeného softwaru musí být hlavním zaměřením na začátku softwaru IoT. Nasazení systémů IoT vyžaduje pozornost věnovanou ověřování a zabezpečení hardwaru. Rovněž, pro operátory, udržování systémů v aktuálním stavu, snížení malwaru, auditní infrastruktury, a zabezpečení přihlašovacích údajů je zásadní.
Bezpečnostní standardy a legislativa pro internet věcí (USA a Evropu)
01. Bezpečnostní pokyny EU pro internet věcí
Agentura EU pro kybernetickou bezpečnost vydala bezpečnostní pokyny pro internet věcí. Na 9 listopad 2020, Agentura pro kybernetickou bezpečnost Evropské unie (ENISA) zveřejnila Bezpečnostní pokyny pro internet věcí (IoT) (dále jen Pokyny), která má za cíl pomoci výrobcům IoT, vývojáři, integrátoři, a zúčastněné strany, které vlastní dodavatelské řetězce IoT, dělají ta nejlepší rozhodnutí při budování, nasazení, nebo vyhodnocování IoT technologií. Cílem pokynů je definovat a identifikovat bezpečnostní výzvy a hrozby IoT, aby byla zajištěna bezpečnost dodavatelského řetězce internetu věcí.. Pokyny poskytují pět doporučení: První, Subjekty IoT by měly mezi sebou budovat lepší vztahy, včetně upřednostňování spolupráce s dodavateli, kteří poskytují záruky kybernetické bezpečnosti, pracuje na zlepšení transparentnosti, vývoj inovativních modelů důvěry, a poskytování bezpečnostních závazků zákazníkům. Druhým je další popularizace odborných znalostí síťové bezpečnosti, posílit údržbu a školení odborníků, a zvýšit povědomí o bezpečnosti uživatelů internetu věcí. Třetí, zabezpečení je dosaženo zlepšením standardů designu IoT, včetně přijetí zásad návrhu zabezpečení, využití nových technologií pro kontrolu a audit bezpečnosti, a implementace mechanismů vzdálené aktualizace. Čtvrtý, zaujmout komplexnější a explicitnější přístup ke zlepšení bezpečnosti, včetně vytvoření komplexních testovacích plánů, integrace autentizačních mechanismů do obvodů, a ve výchozím nastavení používat tovární nastavení. Pátý, plně využívat stávající normy a úspěšné postupy ke zlepšení bezpečnosti výrobků a kvality služeb v dodavatelském řetězci.
02. Spojené státy. Internet věcí Cyber Zákon o zlepšení bezpečnosti ze dne 2020
Návrh zákona byl schválen v září 14, 2020. Vzhledem k tomu, že zabezpečení zařízení IoT je nově vznikající kybernetickou výzvou s prioritou národní bezpečnosti, cílem návrhu zákona je zlepšit bezpečnost federálních zařízení připojených k internetu tím, že se zaměří na problémy kybernetické bezpečnosti, než budou zařízení IoT zavedena do federálního použití.. Zákon vyžaduje, aby všechna zařízení IoT používaná federální vládou splňovala minimální bezpečnostní standardy zveřejněné NIST.
03. Australský kodex praxe: jáÓT Ochrana spotřebitelů
Zákon byl zveřejněn australskou vládou v září 3, 2020, a byl považován za první krok ke zlepšení bezpečnosti zařízení internetu věcí v zemi. S ohledem na globální povahu zabezpečení zařízení IoT, průmyslové standardy navržené Kodexem chování jsou v souladu s jinými mezinárodními standardy a jsou založeny na nich 13 zásady, hlavně bez opakování slabých nebo výchozích hesel, implementace zásad odhalování zranitelnosti, continuous software security updates, Credentials are securely stored, personal data protection is ensured, exposure to attack surfaces is minimized, communications are secured, software integrity is ensured, systems are resistant to interruptions, measurement data monitoring systems, atd. Mezi nimi, cryptography, vulnerability disclosure, and security update action are recommended as the top three principles that the industry prioritizes because they enable the greatest security benefits in a short period of time.
04. Similarities and differences between European, US, and Australian IoT security laws and guidelines
The Acts improve the security protection standards for IoT devices in many ways. This article introduces a number of security standards for IoT devices in the European Union, Spojené státy, a Austrálii, such as ensuring that the complexity of the device password is high enough, multi-factor authentication methods, ensuring the security of identity credentials such as secure storage, timely disclosure, and repair of security vulnerabilities, providing Regular security updates to minimize exposure to cyber attack surface and more.
All three Acts focus on strengthening the protection of personal privacy in the Internet of Things. Laws and guidelines in the EU, US, and Australia all make privacy protection an important part of IoT security. Například, Australia has proposed in its code of practice that IoT devices should have privacy protection by default, and that personal data must be processed with the prior consent of the user. And the device should support users to delete personal data at any time and have the right and time to revoke privacy, so as to maximize the protection of users’ personal privacy and sensitive data.
The coverage and target of the Acts are different. The Australian Code of Conduct is consumer-oriented, helping to raise awareness of the security protections associated with IoT devices, increasing consumer confidence in IoT technology, and enabling Australia to benefit from its rollout. The EU guidelines target IoT supply chain entities such as IoT device and software developers, výrobci, security experts, procurement teams, and other supply chain entities. By studying and responding to different security threats faced by the supply chain at different stages, cíle budování bezpečného ekosystému internetu věcí je dosaženo. Zákon USA se vztahuje především na federální vládu USA a jeho cílem je regulovat vládní hodnocení bezpečnosti zařízení internetu věcí a zajistit, aby zařízení internetu věcí zakoupená a používaná vládními agenturami splňovala bezpečnostní standardy..
Vládní regulace bezpečnosti internetu věcí má různé dopady. Směrnice EU a australský kodex nejsou povinné jako opatření doporučená příslušnými vládními agenturami. Spojené státy. návrh zákona je vládní a obsahuje několik mandátů, jako je výslovný požadavek pro Národní institut pro standardy a technologie (NIST) publikovat standardy a pokyny pro používání zabezpečení zařízení s podporou internetu v rámci 90 days of the federal agency’s enactment of the bill to guide executive agencies and budgets Conduct internet censorship; the federal government and agencies will not buy or use IoT devices that do not meet security requirements.
