Nasazení IoT vyvolává řadu bezpečnostních problémů IoT souvisejících s funkcemi zařízení IoT, jako je potřeba lehkých šifrovacích algoritmů, pokud jde o možnosti zpracování a ukládání, a použití standardních protokolů.IoT zařízení jsou zranitelnější vůči bezpečnostním hrozbám než tradiční internetové počítače pro jejich nižší výpočetní výkon a omezené paměťové zdroje, zostřující prosazování ochrany. Současný přechod internetového síťového protokolu z IPv4 na IPv6 znamená, že stále více zařízení IoT má globální IP adresy, které mohou pomoci identifikovat tato zařízení jako cíle bezpečnostních útoků. Autonomní provoz a komunikace IoT zařízení také usnadňují bezpečnostní útoky. Proto, naléhavě potřebujeme nová a výkonnější bezpečnostní řešení pro systémy internetu věcí. Tento článek vás provede internetem věcí od sítě k hardwaru, software, a další bezpečnostní otázky na všech úrovních diskuse.
1. Jaké jsou problémy se zabezpečením IoT?
Bezpečnost IoT má mnoho společného s bezpečností IT. nicméně, Systémy internetu věcí vyžadují větší citlivost a důvěrnost, protože tyto systémy přicházejí a digitalizují soukromý život jednotlivce. Citlivost technologie IoT vyplývá z vysokých požadavků na bezpečnost, s extrémně vysokou důvěrností, pravost, Soukromí, a bezúhonnost. Existují fyzické a logické problémy s bezpečností IoT. Na jedné ruce, fyzickým problémem je energie zařízení. Většina zařízení IoT je napájena bateriemi, takže energie je relativně nedostatečná. Na druhou stranu, Zařízení IoT mají relativně nízký výpočetní výkon a omezené paměťové zdroje. Při ověřování existují logické problémy, ochrana proti malwaru, ochrana soukromí, a dohled.
Internet a jeho technologie existují desítky let. Během této doby, centralizovaná architektura klientů a serverů byla základem, na kterém byly postaveny současné platformy a služby. Tyto architektury mohou být také těžkopádné z pohledu IoT. Například, když nesčetné množství bezdrátových senzorů potřebuje odeslat svá data zpět do centralizované služby, monolitická služba by měla být schopna distribuovat aktualizace zabezpečení do decentralizované nebo distribuované sítě senzorů. These sensor networks typically benefit from a decentralized communication architecture, which has a large To a certain extent it is self-managing. Traditionally, a barrier to creating a decentralized architecture has been the trust of other participants. The introduction of the cryptocurrency Bitcoin assumes that there is no need for trust between two parties. This is achieved by incorporating a distributed consensus mechanism as proof of new transaction validation while cashing in on earlier transaction history. So this extends to the design of generalized transactions outside the scope of cryptocurrencies. Dnes, this generalized mechanism often takes the name of blockchain.
Recent attention from regulators, especially in the European Union, has prompted increased focus on security and privacy in the IoT space. Přijetí technologie blockchain má velký potenciál jako životaschopné řešení pro budoucí systémy internetu věcí, které splňují regulační požadavky. Ohledně regulačních požadavků na design zařízení IoT, Evropský parlament nedávno schválil nové směrnice a nařízení. Tyto požadavky, který lze považovat za nejpřísnější na světě, se vztahují na výrobce zařízení i poskytovatele služeb a platforem, pokud poskytují do EU nebo zpracovávají osobní údaje obyvatel EU.
Navíc, Členské státy EU poskytují určitá sektorová nařízení pro oblasti, které se zabývají citlivými informacemi, jako je zdravotnictví a finanční služby. Spojené státy americké postrádají obecnou ochranu údajů nebo zákon na ochranu soukromí a spoléhají se hlavně na malý počet právních předpisů týkajících se ochrany soukromí souvisejících s tímto odvětvím.. The American approach to designing information systems makes it harder to reach common conclusions about maintaining a certain level of privacy. Například, while the same IoT system can be used in different regions, the lack of common privacy requirements or definitions suggests it. The manufacturer must therefore at least somewhat anticipate the intended use of the design system, and the intended use of the design system if it were restricted from entering the U.S. market.
Na druhou stranu, people could view EU regulatory requirements as a benchmark of obligations to be met when dealing with personal data or dealing with operators of certain important infrastructure. There are two EU laws and regulations responsible for the development and management of information systems. They are the General Data Protection Regulation (GDPR) a směrnice o bezpečnosti sítí a informačních systémů (směrnice NIS).
GDPR může mít mezi členskými státy určité nuance, ale pokládá základy pro jednotný digitální jednotný trh v rámci EU. Jako směrnice, členské státy mohou k NIS zaujmout odlišný přístup, ačkoliv definuje, co lze považovat za minimální míru odpovědnosti za bezpečnost informačních systémů.
Co je internet věcí(IoT) Soukromí?
S rozvojem technologie IoT, digitální technologie dále pronikla do našeho života a prostředí. Podle Strategy Analytics, dosažený počet připojených zařízení po celém světě 22 miliard do konce roku 2018 a očekává se, že dosáhne 50 miliardu 2030. Na základě optimistických údajů, spojení IoT a umělé inteligence vytvoří inteligentnější způsob komunikace. Celkově, sociální a ekonomický dopad internetu věcí bude významný, s připojenými zařízeními integrovanými do všech aspektů našeho života, od nositelných zařízení přes internet vozidel přes chytré domácnosti až po internet všeho. Pohodlí a všudypřítomnost internetu věcí přinese obrovské výhody, ale také to znamená, že sběr informací se přesouvá z online světa do offline světa, se naše těla a soukromé prostory stávají zdrojem sběru informací. V tomto kontextu, internet věcí, zejména otázky ochrany soukromí související se spotřebitelským internetem věcí, se stala středem pozornosti. V září 19, internetová společnost vydala zprávu o soukromí internetu věcí nazvanou „Policy Brief: Ochrana osobních údajů IoT pro tvůrce zásad “, který analyzuje rizika a výzvy, které přináší internet věcí pro ochranu soukromí, a předkládá konkrétní doporučení pro politické činitele, poskytovatelé služeb IoT a další zúčastněné strany, a vyzývá k posílení modelu řízení, který spočívá ve spolupráci mnoha zúčastněných stran.
Rozvoj internetu věcí umožňuje generovat každodenní předměty a senzory jiné než počítače, vyměňovat a spotřebovávat data s menším zásahem člověka. Dnes, Internet věcí ukazuje vývojový trend rozsahu (počet připojených zařízení stále roste), intimita (nositelná zařízení a zařízení implantovaná do lidského těla, atd.), všudypřítomný, vždy připojen, a inteligentní. Tento rozsah vývoje by však mohl ovlivnit ochranu soukromí, umožňující snadnější identifikaci jednotlivců, sledované, profilované, and influenced.
The challenges of the Internet of Things to personal privacy protection include: První, the protection of the Internet of Things spans a wide range, including the regulatory boundaries of different departments and jurisdictions. Na jedné ruce, privacy legislation tends to be segmented by domain, such as medical privacy, financial privacy, student privacy, atd., and IoT devices and services are difficult to categorize. Na druhou stranu, different countries and regions may have different privacy legislation for IoT devices and services and will face different regulations when data collection and processing occurs in different jurisdictions. Druhý, it is difficult for IoT to obtain informed consent from users. When IoT is deployed, in addition to obtaining informed consent from the owner of the device, it is difficult to obtain the consent of others around at the same time. IoT devices are no different from commonplace things like watches, Řečníci, and TVs, so it’s hard to know if a device is collecting and processing data. Konečně, IoT challenges the transparency principle of privacy protection. Například, unlike websites, apps, atd., IoT devices and services may not be able to present their privacy policies to users, and may not do a good job of informing users that they are collecting data.
In order to better meet these challenges and strengthen the protection of personal privacy related to the Internet of Things, the Internet Society has put forward four recommendations: První, strengthen users’ meaningful control over IoT devices and services, and strengthen IoT data management. Konkrétně, to zahrnuje: clarifying the responsibilities of service providers, including obtaining informed consent from users when collecting personal data, enhancing transparency, and securely storing data, atd.; promoting open standards and interoperability in IoT devices and services; and encouraging data minimization practices. Druhý, improve the transparency of user data collection and use. Například, notify users of IoT device capabilities and data collection in a way that is easy for users to understand, set up effective consent and opt-out functions for users, improve privacy policy clarity, improve transparency throughout the data life cycle, and ensure privacy and security. It is protected throughout the product life cycle, atd. Třetí, privacy legislation and policies keep pace with technological developments. Specifically, to zahrnuje: improving existing privacy and consumer protection laws; reviewing the adaptability and scope of privacy protection laws; strengthening legal protections for privacy researchers to ensure that they do not incur legal risks by investigating privacy issues; Widespread use of networking does not exacerbate discrimination and unfair practices; introduce privacy impact assessment in IoT development, atd. Čtvrtý, strengthen multi-stakeholder participation. Solving IoT-related risks and challenges requires the joint participation of the government, the public, průmysl, academia, social organizations, and technical personnel. Extensive dialogue should be carried out at the social level, and attention should be paid to consumers’ right to speak.
Celkově, the combination of IoT with emerging technologies such as cloud computing and umělá inteligence will transform our economy and society in many ways. Technology brings great opportunities, but it also comes with risks. One needs to take appropriate steps to ensure that the benefits of IoT far outweigh the risks of privacy, bezpečnostní, atd. This requires the cooperation of all stakeholders, including governments, manufacturers, spotřebitelů, atd., to ensure that IoT technologies are developed in a responsible and sustainable manner. Foreign countries are already promoting IoT privacy and security legislation. Legislation needs to take into account the characteristics of IoT devices and services and adopt flexible and reasonable regulatory mechanisms. Například, even in the EU GDPR, users’ informed consent is not the only legal basis for service providers to collect and process users’ personal information. Proto, the Internet of Things privacy policy should not be limited to informed consent but should consider the technical characteristics, and under certain circumstances, will be transformed from prior permission to in-process and post-event data protection obligations. Navíc, consumer privacy awareness has awakened. Například, in a survey, 77% of consumers indicated that the privacy protection capability and security of IoT are important factors to consider when making purchasing decisions. IoT manufacturers must consider user privacy and data security issues when developing and building IoT. Practice the concept of “privacy by design” and strengthen users’ control over data.
Why is jáÓT bezpečnostní critical?
01. Why is IoT security so critical today
Dnes, Internet of Things devices and applications are widely used in people’s work and life, and almost all objects will become intelligent to take advantage of the benefits of being connected to the global Internet.
While in the early days, network threats were focused on enterprise IT facilities, in the modern world they have become more widespread and frequent. Before discussing security measures for the Internet of Things, it is important to understand some of the network threat vectors surrounding the Internet of Things.
02. Common threat vectors for the Internet of Things
Threat vectors refer to the paths or means by which cybercriminals can gain access to a company’s core systems operating in the network. Some of the most common threat vectors in IoT are:
(1) No physical boundaries
The IoT network boundary is more open than the traditional Internet boundary. Traditional security methods of restricting access to devices are no longer available. These IoT devices move to any new location when needed and have access to the network.
(2) Wi-Fi and Bluetooth data leakage
Wi-Fi and Bluetooth configurations in IoT are major sources of data leakage. Bluetooth and WI-FI with weak passwords can easily be stolen by network attackers during data transmission. Taky, většinou, the password used for configuration is not uniquely set for each device. If only one device is attacked and compromised by the network, a gap is left for unauthorized access.
(3) Physical access to IoT devices
Cyber attackers gain physical access to IoT devices and workloads, the worst of all threat vectors. With this access, cyber attackers can easily gain access to IoT devices’ internal information and its contents. And using tools like BusPirate, Shikra, or LogicAnalyzers, they can also read all the traffic in the network. With physical access, cyber attackers can extract passwords, modify their programs, or replace them with other devices they control.
03. IoT vs the IT
While many IoT devices are on the edge, the IT infrastructure is in the cloud. Threats to IoT security may result in cyber attackers gaining access to core IT networks through IoT threat vectors. Here are some real-life cyber attacks.
- Access to the network through the HVAC system leads to a data breach
According to media reports, Target Inc., one of the top 10 retailers in the U.S., has been hacked to steal 40 million credit card numbers from the company. It is one of the largest data breaches in the world. Hackeři hackli systémy HVAC tím, že ukradli přihlašovací údaje třetích stran a poté získali přístup do podnikových sítí.
- SubwayPoS utrpělo útok hackerů
V současné době se objevují zprávy o bezpečnostních chybách souvisejících s PoS. Narušení v SubwayPoS mělo za následek ztrátu $10 milión, s minimálně 150 cílových franšíz Subway. K podobnému hacknutí došlo u amerického knihkupce Barnes & Ušlechtilý, ve kterých čtečky kreditních karet at 63 obchody byly napadeny a kompromitovány.
ransomware SamSam
Dalším známým případem narušení systému je kybernetický útok ze strany ransomwaru SamSam, která zasáhla správní orgány, jako je Colorado Department of Transportation a Port of San Diego v 2018 a náhle zastavili své služby.
04. Předpisy IoT
Přestože některé země a regiony vydaly některé předpisy IoT, nejsou dostatečné ke zmírnění rizik spojených s kybernetickými útoky. Kalifornie má rozumné předpisy na úrovni zabezpečení, pokud jde o omezování kybernetických útoků. Rovněž, Spojené království zavedlo unikátní politiku hesel, a podniky musí poskytnout jasné kontaktní údaje pro zařízení IoT připojená k místní IT infrastruktuře, aby odhalily zranitelnosti a prováděly pravidelné aktualizace zabezpečení. Zatímco tyto regulační pokyny jsou vítány mnoha bezpečnostními komentátory, není jasné, kdo bude tyto zásady prosazovat. Komentátor dodal, že pracují na tom, aby pochopili, jak budou předpisy vynucovány prostřednictvím stávajících regulátorů.
Strategie a opatření kybernetických útočníků se aktualizují mnohem rychleji, a tyto předpisy mohou být vydávány nebo prováděny ročně nebo pololetně. Proto, je obtížné držet krok s útoky prováděnými kybernetickými útočníky pouze se spoléháním na regulační politiku.
05. Jaká bezpečnostní opatření musí společnosti přijmout
Při dodržení výše uvedených předpisů, podniky musí vyvinout svá bezpečnostní opatření pro přijetí zařízení IoT.
První, musí určovat bezpečnost zařízení IoT. Je důležité zajistit, aby zařízení internetu věcí měla jedinečné identity, které jsou základem pro další bezpečnostní opatření.
Pak, založené na vrstvě identity, software je chráněn opatřeními, jako je podepsaný kód, firmware, atd.
Konečně, podnik musí mít soulad na nejvyšší úrovni, aby mohl rozhodnout, které verze softwaru budou provozovány.
IoT hardwarové zabezpečení
V designu elektronických produktů, bezpečnost je prvořadá. To platí zejména pro komplex, omezený na zdroje, a vysoce propojený internet věcí (IoT). Achieving IoT security requires relying on proven security principles and vigilance against evolving threats. But design engineers face some IoT security challenges when bringing products to market.
01. IoT faces security threats
IoT is currently being incorporated into most industrial and commercial operations, including public utilities, critical infrastructure, přeprava, finance, maloobchodní, and healthcare. IoT devices can sense and measure the physical world and collect data on various human activities, facilitating the widespread deployment of intelligent, Automatizovaný, and autonomous command and control technologies. Through the ubiquitous IoT interconnecting smart devices, businesses are able to create truly revolutionary technologies that will improve every aspect of human society and economic life in the future. Yet almost every week mainstream media reports on digital security breaches. Reported losses are often theft or misuse of consumer credit card information, which are drops in the bucket compared to the thousands of cyber-attacks that occur every day. Security attacks include stealing valuable data and causing widespread damage, and even more, taking control of critical systems. From a consumer perspective, distribuované odmítnutí služby (DDoS) attacks are probably the most common threat. The Mirai botnet, which disrupted the entire internet in 2016, sounded the first alarm bells, making agencies aware of the threat. After Mirai, Aidra, Wifatch, and Gafgyt, as well as new botnets such as BCMUPnP, Hunter52, and Torii53, have cumulatively penetrated millions of IoT devices to spread their DDoS malware, cryptocurrency miners, and spam.
As more IoT devices appear in our work and lives, potential security attacks are everywhere and on an ever larger scale. Take intelligent traffic control as an example. Imagine a major city where the infrastructure of sensors, traffic lights, car mesh networks, and control devices that control the flow of traffic is exposed to adversaries. Controlling traffic lights or communication between vehicles via wireless networks at important intersections is no longer the stuff of Hollywood blockbusters, but a real and serious issue.
Think also of internet-enabled medical devices, smart labels in stores to help improve the retail shopping experience, and how our appliances are connected. If you can use your smartphone to start the stove, unlock the lock and turn off the alarm system, what about everyone else?
The examples above are relevant to all of us, but there are many situations that are invisible to the average consumer. Imagine the Průmyslový internet věcí (IIoT) deployed for automated manufacturing environments. What would be the chaos if a security breach occurred, and what would be the financial cost of production downtime and equipment damage?
With the potential for attacks growing exponentially, IoT security must be comprehensive and robust, with the ability to recover quickly.
02. You should not rely on a software approach alone
Attempts to wiretap or illegally obtain information are nothing new. Dutch computer researcher Wim Van Eck has been working on this since 1985. He successfully extracted information from the display by intercepting its electromagnetic field and decoding it. His pioneering work highlighted the fact that it was possible to circumvent expensive security measures by using inexpensive components.
Such non-intrusive and passive electromagnetic side-channel attacks are now becoming more sophisticated and one of many attack weapons. Other edge-channel attack methods include differential Power analysis (DPA) a další, which are commonly used together with electromagnetic edge-channel attacks. Through this attack, sensitive information such as encryption keys, passwords, and personal identities in the microcontroller of the IoT device will be “compromised” in the form of electromagnetic signals when the encryption processing instructions are executed. Broadband receivers as software-defined radio applications are currently very inexpensive and can be used to detect and store electromagnetic signals in operation.
DPA is a more complex thieving method, which can understand the processor power consumption during device operation through simple power analysis. Since the power consumed by the processing device will vary depending on the function performed, discrete functions can be identified by knowing the power consumption. The functions of encryption algorithms based on AES, ECC, and RSA require a lot of computation and can be identified by power measurement analysis. Examining power consumption at microsecond intervals reveals various numeric operations often used in cryptography, such as sum-squared multiplication. DPA přidává statistiky a techniky opravy chyb k jednoduché analýze napájení, které mohou realizovat vysoce přesné dekódování důvěrných informací.
Únik dat prostřednictvím kabelové nebo bezdrátové komunikace může také odhalit důvěrné informace. Skryté kanály a „útoky typu man-in-the-middle“ jsou efektivní způsoby, jak shromažďovat data nasloucháním komunikaci mezi zařízeními IoT a hostitelskými systémy.. Analýza těchto dat může odhalit protokoly ovládání zařízení a soukromé klíče potřebné k převzetí provozu vzdáleně připojených zařízení.
Další útočnou technikou používanou hackery jsou implantační útoky na nechráněné mikrokontroléry a bezdrátový systém na čipu. (SoC) zařízení. V nejjednodušším případě, tato technika může snížit nebo rušit napájecí napětí mikrokontroléru, dělat podivné chyby. These errors can then trigger other protected devices to open registers that hold confidential information, thereby exposing them to intrusion. Tampering with the system’s clock signal by changing the frequency, planting the wrong trigger signal, or changing the signal level can also lead to abnormalities in IoT devices that can expose confidential information or lead to control functions being manipulated. Both cases require physical, but not invasive, access to the printed circuit boards inside the device.
Since many of the security technologies used to secure IoT devices are software-based, security information is likely to be read illegally. Standard cryptographic encryption algorithms such as AES, ECC, and RSA run as software stacks on microcontrollers and embedded processors. Devices and software that cost less than $100 can be used not only to see power consumption but also to obtain keys and other sensitive information using DPA technology. It is now easy to get off-the-shelf DPA software tools to automate the entire process without even having to be proficient in these analytical methods.
Such attacks are no longer confined to the realm of theory, and they have been widely used by hackers around the world.
With the increasing attack intensity, the developers of IoT devices and systems need to reconsider their security protection methods and improve their security protection functions to make them more robust and resilient.
03. Hardware approach to protecting IÓT bezpečnostní
Before designing a new IoT device, it is best to have a comprehensive understanding of what attacks the device is likely to be exposed to, and what kinds of threats need to be protected against. It is prudent to review security requirements from the outset and incorporate them into product specifications. Most IoT devices tend to last for many years, and this alone could lead to more attacks, so it needs to be considered. Proto, firmware updates must be performed over the air (OTA), and to protect against all attacks, a chip-to-cloud approach is required to implement a hardware-based security design.
The OPTIGA® Trust M2 ID2 security chip recently released by Infineon is a completely hardware-based security solution, and its biggest advantage is that it can resist attacks at the hardware level. It uses some specially designed streamlined logic to better protect the storage of data. Even though very professional reverse engineering, the original data cannot be easily hacked and cracked. Some professional designs and non-standard code implementations are actually difficult to analyze and understand. The most important point is that the hardware-based security chip solution can provide a trusted “root” for the entire system and a source of trust for the system.
IoT firmware security
With the number of IoT terminals increasing by leaps and bounds, the relevant regulations and standards of IoT security are gradually landing, and the firmware security of low-resource embedded devices will be gradually paid attention to. As an end-to-end IoT security detection platform, TinyScan truly scans and mines hidden sensitive information and security risks from the source. Both firmware developers and firmware users can use this tool to master the security status of the specified firmware and carry out targeted protection or evasion, thereby reducing the number of IoT security problems caused by firmware vulnerabilities.
V době internetu věcí, a three-layer structure model of perception, přenos, and application is often used, and embedded devices such as sensors, brány, and controllers distributed in the three layers have introduced a large number of new security issues: architektura.
01. System Security
V současnosti, the mainstream embedded operating systems are still dominated by Linux or Linux derivatives, and different companies customize and develop Linux systems according to their product requirements and characteristics. nicméně, vzhledem k tomu, že zdroje vestavěných zařízení jsou omezené, je obtížné zcela transplantovat stávající řešení bezpečnostní obrany do zařízení IoT.
02. Zabezpečení komponent
Protože vestavěná zařízení používají jako operační systém Linux, mnoho open source komponent je nutné použít. Skryté problémy některých open source komponent v režimu C/S mohou být znovu objeveny a využity v éře internetu věcí.. Protože v prostoru je současně velké množství identických IoT zařízení, pokud firmware zařízení není aktualizován včas poté, co se objeví chyba zabezpečení, může způsobit těžké ztráty.
03. R&D Bezpečnost
V době internetu, klient nemůže přímo přistupovat a ovládat server, ale tento fenomén se v éře internetu věcí změnil. Prostřednictvím open source reverzního nástroje, uživatelé mohou snadno získat konfigurační soubory a informace ve formátu prostého textu ponechané ve firmwaru zařízení, a poté přímo získat přístupová práva zařízení, představující hrozbu pro velký počet zařízení stejné specifikace.
Měli bychom provést bezpečnostní analýzu firmwaru z následujících dimenzí, a výstup výsledků analýzy ve formě zpráv.
(1) Analýza zabezpečení služby souborového systému
● Automaticky skenuje a získává základní informace o systému souborů firmwaru, včetně architektury CPU, čas na přípravu, kompresní režim, typ, velikost, a režim úložiště souborového systému.
● Po získání základních informací o systému souborů, můžete určit typ cíle skenování a přepnout na různé moduly skenování.
(2) Systém & service analysis coding
● Obtain system service information, including system service path and MD5 value.
● By obtaining the system service information, the system service self-startup status can be known, and the information such as whether unknown malicious scripts exist in the self-startup service can be quickly learned.
(3) Component & software safety analysis SPA
● Directional scanning, obtaining system component & software information, including component & software path, description, and website address;
● By obtaining the component & software information, you can quickly obtain the version information of the component & software installed in the firmware, and then perform security scanning accordingly.
(4)User password retrieval
● Directional scan, obtain user password information, including password-related file path, and password information;
● After user password retrieval, the password information leakage caused by non-standard development in firmware can be exposed.
(5)Analysis of encryption authentication security
● Automatically scans and obtains the encryption authentication file information, including the path and encryption information of the encryption authentication file;
● After the encryption authentication detection, the encryption authentication information leakage caused by the non-standard development in the firmware can be exposed.
(6)Analysis of sensitive information security
Automatic scanning and obtaining of suspicious sensitive information in firmware includes but is not limited to hard-coded Token/key, configuration hard-coded password, hard-coded IP, hard-coded HTTP address, cache file leakage, atd., které mohou odhalit únik citlivých informací způsobený nestandardním vývojem firmwaru.
(7)Detekce zranitelnosti CVE
Rychle zjistěte informace o zranitelnosti CVE v systému souborů, včetně CVE-ID, čas vydání, description, a úroveň. Po detekci zranitelnosti CVE, můžete získat nejnovější informace o zranitelnosti CVE softwaru nainstalovaného v aktuálním naskenovaném firmwaru.
Internet věcí(IoT) softwarové zabezpečení
72% předních představitelů informační bezpečnosti tvrdí, že cloud computing je nejvyšší prioritou digitální transformace. Cloudový software IoT integruje jak digitální, tak fyzické prvky zabezpečení, takže data mohou být přístupná a využívána bezpečnějšími telefony..
Co umí cloud-based IoT software přivést k bezpečnostní ochraně? Tento článek vám vysvětlí, jak může software IoT efektivně pomoci zlepšit zabezpečení v oblasti bezpečnosti. It will also introduce how to combine digital and physical security elements to deal with security incidents.
01. The impact of cloud-based IoT software
Cloud-based IoT software is being used in business in various ways. And cloud-based solutions are bringing benefits to the security space. At its core, IoT technology is transforming the corporate sector, renewing the way businesses operate.
02. Integrate cloud-based solutions to leverage data
Data is very important in every industry, and the security field is no exception. With cloud-based solutions, storing data and information on a single interface can help companies stay abreast of what’s going on in the business.
Navíc, by combining AI-enhanced software and cloud-based solutions, security personnel can better identify potential security threats. Leveraging cloud-based IoT technologies can increase productivity. Due to the extensive responsibilities of security personnel, real-time monitoring of the cameras is not possible. IoT technology can help security personnel receive camera information and log feedback anytime, kdekoli, helping to establish better security policies. Some IoT solutions provide real-time alerts to security personnel that combines real-time video and AI analysis tools to enhance security system functionality and speed up response to security incidents.
03. CombinE the power of physical and cyber bezpečnostní
Combining digital and physical security is beneficial for optimizing IoT security systems, helping to protect systems from online breaches and breaches. Plus, opatření fyzického zabezpečení pomáhají chránit důvěrné informace před hackery. Čím silnější je spojení digitálních bezpečnostních prvků a fyzických bezpečnostních týmů, tím více bude organizace chráněna.
04. Automatické aktualizace softwaru
Udržování veškerého softwaru v aktuálním stavu je nesmírně důležité, abyste zajistili, že vaše organizace nebude vystavena hrozbám kybernetické bezpečnosti, i když dojde k narušení systémů internetu věcí.. Traditionally, místní bezpečnostní systémy byly ručně aktualizovány certifikovanými profesionály s každou novou aktualizací. Používání cloudového softwaru, aktualizace nelze provádět pouze na místě nebo na dálku, ale dá se i automatizovat, výrazně snížit náklady.
05. Vzdálená funkce
Díky flexibilnímu vývoji cloudové technologie IoT, bezpečnostní pracovníci mohou obsluhovat bezpečnostní nástroje na dálku pomocí mobilních zařízení. Například, the video intercom system used in today’s access control system allows security personnel to verify the identity of the visitor by making a video call with the visitor’s smartphone. Navíc, the intercom program also supports remote unlocking. When the identity of the visitor is confirmed, the door can be unlocked remotely to allow the visitor to enter. Through the use of cloud-based IoT technology, the authentication procedure for visitors is simplified and the verification time is greatly shortened so that visitors can enter the building faster.
06. Summarize
Adopting a cloud-based IoT řešení in an enterprise’s security protection strategy is conducive to creating a security system that keeps pace with the times. Cybersecurity is the threat and challenge that enterprises face when using IoT technology. But by combining physical and digital security elements, cloud-based IoT systems can be largely protected from vulnerabilities and better protected to help businesses cope with the changing security landscape.
Internet věcí(IoT) zabezpečení sítě
At the same time as the rapid development of the Internet of Things, security problems of the Internet of Things also frequently appear. Some mining and equipment hijacking incidents occurred repeatedly. Smart home products continue to break out security loopholes, which will cause irreversible economic losses when the loopholes are exploited. Ve stejnou dobu, it also reflects the importance of security as the infrastructure of the Internet of Things application in the early stage of the construction of the Internet of Things industry.
V posledních letech, with the breakthrough of key technologies such as 5G, the development of the Internet of Things has advanced by leaps and bounds. Ve stejnou dobu, due to the impact of Covid-19, the office forms of remote work have increased, which not only brings convenience to enterprises but also provides convenience for hackers to attack confidential company information.
The Internet of Things has penetrated into all aspects of our lives. Frequent attacks on smart devices threaten personal privacy and security. Critical infrastructure is also facing huge risks in realizing digital networking transformation. IoT security requires the establishment of reasonable management plans and regulations to ensure timely detection and efficient recovery of risks.
IoT security issues mainly involve data security, Soukromí, replication, and RFID system threats.
- Attacks on RFID: Technologie RFID is a popular Internet of Things technology, currently mainly used in “unmanned supermarkets” and other fields.
- Attack on WSN: WSN is the wireless sensor network. The bottom layer of the Internet of Things is the perception layer. This layer includes a large number of sensors. When the sensors work, they will generate a large amount of data. Once they are intercepted by criminals during the transmission process, the consequences will be unimaginable. WSN currently has related applications in the military.
- Attacks on routers: Routers are very important network devices. Once attacked, the network may be paralyzed. Navíc, there are attacks on communication lines, attacks on users, and attacks on servers.
Konkrétně, the main security threats currently faced by the Internet of Things can be summarized as three aspects of “cloud, pipe, and end” security:
(1)Zabezpečení terminálu Internet of Things
Prvním aspektem je zabezpečení terminálů IoT. Jako reprezentativní produkt hluboké integrace informačního prostoru a fyzického prostoru, Terminály internetu věcí se rychle rozšířily z průkopnických produktů pro osobní spotřebu do různých oblastí ekonomiky a společnosti. Poskytuje vzdělání, zdravotní péče, maloobchodní, energie, konstrukce, automobil, a mnoho dalších průmyslových odvětví s novými prostředky služeb, a podporuje zlepšení základních městských funkcí, jako je vládní úřad, veřejná bezpečnost, přeprava, a logistiky. Stávající koncová zařízení IoT se soustředí na realizaci funkcí, zatímco tradiční výrobci zařízení nemají dostatečné bezpečnostní schopnosti, zvážit faktory, jako je čas a náklady, a obecně ignorovat bezpečnostní problémy v návrhu terminálu.
IoT terminály lze rozdělit na inteligentní terminály a neinteligentní terminály. Most intelligent terminal devices have embedded operating systems and terminal applications, while most non-intelligent terminal devices have a single structure and function, and only perform functions such as data collection and transmission. Proto, intelligent terminal devices have a greater threat to information security.
(2)IoT pipeline security
The second aspect is IoT pipeline security. The “tube” of the Internet of things is the pipeline connecting the “cloud” and the “end”. The security of the “tube” of the Internet of things is the security of the information pipeline with large capacity and intelligence. According to the investigation of the information pipeline of the Internet of things, it is found that there are four main security threats to the pipeline security of the Internet of Things.
(3)Internet of Things cloud service security
Třetí, Internet of Things clouds service security. Obecně řečeno, Internet of Things cloud services are used when information is shared with other parties. Proto, protecting the security of cloud services is also a key link to protecting the security of the Internet of Things.
Způsoby, jak zlepšit zabezpečení internetu věcí
Enterprises must improve the security of IoT devices or they will cause huge financial and reputation losses. Data encryption and internal monitoring are some of the ways that companies can be focused on improving the security of IoT devices.
01. Use cloud infrastructure and software protection
The Cumulonimbus network device keeps the device secure as it helps maintain the confidentiality and integrity of the information recorded by the device. Ve stejnou dobu, the information in the exchange can be encrypted and protected from hackers.
02. Design A bezpečnostní device and create a separate network
Designing a better device focused on improving the security of IoT devices is important. A timely internal review of the behavior of the device under certain conditions is important to change the system of the device.
03. Apply jáÓT API na guard against identity spoofing
The role of API security protection is to allow only authorized devices to communicate with each other. Companies and users can be notified of any unauthorized access and operation of the system.
In today’s world, the number of IoT devices in use is increasing. Ve stejnou dobu, IoT development is facing challenges. Enterprises should gradually recognize the importance of IoT security and further enhance the technology to protect the security of devices.
Which industries are most vulnerable to jáÓT security threats?
IoT security issues pervade all industries and fields. To znamená, as long as the industry is related to human life and property, it is vulnerable to the security threat of the Internet of Things.
Například, an attack on a refrigeration system that houses a drug, monitored by an IoT system, could disrupt the viability of a drug if the temperature fluctuates. Rovněž, the impact of attacks on oil wells, water systems, and energy grids, critical infrastructure that greatly affects human life, can be devastating.
nicméně, other attacks should not be underestimated. Například, an attack on a smart door lock could allow thieves to enter a smart home. Nebo, in other cases, such as the 2013 Target hack or other security breaches, attackers can deliver malware through connected systems (the HVAC system in the target case) to steal personally identifiable information and wreak havoc on those affected.
01. How can jáÓT systems and devices be protected
The IoT security approach depends on the IoT application and where the business is in the IoT ecosystem. The development and integration of secure software need to be a major focus at the beginning of IoT software. Deploying IoT systems requires attention to authentication and hardware security. Rovněž, for operators, keeping systems up-to-date, reducing malware, auditing infrastructure, and securing credentials are critical.
Bezpečnostní standardy a legislativa pro internet věcí (USA a Evropu)
01. Eu Internet of Things Security Guidelines
The EU Cyber Security Agency has issued Security guidelines for the Internet of Things. Na 9 listopad 2020, the European Union’s Cyber Security Agency (ENISA) published the Security Guidelines for the Internet of Things (IoT) (hereinafter referred to as the Guidelines), which aims to help IoT manufacturers, developers, integrators, and stakeholders who own IoT supply chains make the best decisions when building, nasazení, or evaluating IoT technologies. The objective of the Guidelines is to define and identify IoT security challenges and threats to ensure the security of the IoT supply chain. The Guidelines give five recommendations: První, IoT entities should build better relationships with each other, including prioritizing cooperation with suppliers that provide cybersecurity guarantees, working to improve transparency, developing innovative trust models, and providing security commitments to customers. The second is to further popularize the professional knowledge of network security, strengthen the maintenance and training of professionals, and enhance the security awareness of users of the Internet of things. Třetí, security is achieved by improving IoT design standards, including the adoption of security design principles, the use of emerging technologies for security control and audit, and the implementation of remote update mechanisms. Čtvrtý, take a more comprehensive and explicit approach to improve security, including establishing comprehensive test plans, integrating authentication mechanisms into circuits, and using factory Settings by default. Pátý, make full use of existing standards and successful practices to improve product safety and service quality in the supply chain.
02. Spojené státy. Internet of Things Cyber Security Improvement Act of 2020
The bill has been passed on September 14, 2020. Given that IoT device security is an emerging cyber challenge with a national security priority, the bill aims to improve the security of federal Internet-connected devices by addressing cyber security concerns before IoT devices are introduced into federal use. The act requires all IoT devices used by the federal government to meet minimum security standards published by NIST.
03. Australian Code of Practice: jáÓT Protection for Consumers
The Act has been published by the Australian government on September 3, 2020, and has been seen as a first step toward improving the security of IoT devices in the country. In view of the global nature of IoT device security, the industry standards proposed by the Code of Conduct are consistent with other international standards and are based on 13 principles, mainly including no repetition of weak or default passwords, implementation of vulnerability disclosure policies, continuous software security updates, Credentials are securely stored, personal data protection is ensured, exposure to attack surfaces is minimized, communications are secured, software integrity is ensured, systems are resistant to interruptions, measurement data monitoring systems, atd. Mezi nimi, cryptography, vulnerability disclosure, and security update action are recommended as the top three principles that the industry prioritizes because they enable the greatest security benefits in a short period of time.
04. Similarities and differences between European, US, and Australian IoT security laws and guidelines
The Acts improve the security protection standards for IoT devices in many ways. This article introduces a number of security standards for IoT devices in the European Union, Spojené státy, a Austrálii, such as ensuring that the complexity of the device password is high enough, multi-factor authentication methods, ensuring the security of identity credentials such as secure storage, timely disclosure, and repair of security vulnerabilities, providing Regular security updates to minimize exposure to cyber attack surface and more.
All three Acts focus on strengthening the protection of personal privacy in the Internet of Things. Laws and guidelines in the EU, US, and Australia all make privacy protection an important part of IoT security. Například, Australia has proposed in its code of practice that IoT devices should have privacy protection by default, and that personal data must be processed with the prior consent of the user. And the device should support users to delete personal data at any time and have the right and time to revoke privacy, so as to maximize the protection of users’ personal privacy and sensitive data.
The coverage and target of the Acts are different. The Australian Code of Conduct is consumer-oriented, helping to raise awareness of the security protections associated with IoT devices, increasing consumer confidence in IoT technology, and enabling Australia to benefit from its rollout. The EU guidelines target IoT supply chain entities such as IoT device and software developers, manufacturers, security experts, procurement teams, and other supply chain entities. By studying and responding to different security threats faced by the supply chain at different stages, the purpose of building a secure IoT ecosystem is achieved. The US Act mainly covers the US federal government and aims to regulate the government’s security assessment of IoT devices and ensure that IoT devices purchased and used by government agencies meet security standards.
Government regulation of IoT security has varying effects. The EU Guidelines and Australia’s Code of Practice are not mandatory as recommended measures by relevant government agencies. Spojené státy. bill is governmental and contains several mandates, such as an explicit requirement for the National Institute of Standards and Technology (NIST) to publish standards and guidelines for the use of Internet-enabled devices security within 90 days of the federal agency’s enactment of the bill to guide executive agencies and budgets Conduct internet censorship; the federal government and agencies will not buy or use IoT devices that do not meet security requirements.
