Η ανάπτυξη του IoT εγείρει ορισμένα ζητήματα ασφάλειας του IoT που σχετίζονται με τις λειτουργίες της συσκευής IoT, όπως η ανάγκη για ελαφρούς αλγόριθμους κρυπτογράφησης όσον αφορά τις δυνατότητες επεξεργασίας και αποθήκευσης, και τη χρήση τυπικών πρωτοκόλλων.Συσκευές IoT είναι πιο ευάλωτοι σε απειλές ασφαλείας από τους παραδοσιακούς υπολογιστές που βασίζονται στο Διαδίκτυο λόγω της λιγότερης επεξεργαστικής τους ισχύος και των περιορισμένων πόρων μνήμης, επιδείνωση της επιβολής της προστασίας. Η τρέχουσα μετάβαση του πρωτοκόλλου δικτύου Διαδικτύου από το IPv4 στο IPv6 σημαίνει ότι όλο και περισσότερες συσκευές IoT έχουν παγκόσμιες διευθύνσεις IP, που μπορεί να βοηθήσει στην αναγνώριση αυτών των συσκευών ως στόχων για επιθέσεις ασφαλείας. Η αυτόνομη λειτουργία και επικοινωνία των συσκευών IoT διευκολύνει επίσης τις επιθέσεις ασφαλείας. Επομένως, Απαιτούνται επειγόντως νέες και πιο ισχυρές λύσεις ασφάλειας για συστήματα IoT. Αυτό το άρθρο θα σας μεταφέρει μέσω του Διαδικτύου των πραγμάτων από το δίκτυο στο υλικό, λογισμικό, και άλλα θέματα ασφάλειας σε όλα τα επίπεδα της συζήτησης.
1. Τι είναι τα ζητήματα ασφάλειας IoT?
Οι ανησυχίες για την ασφάλεια του IoT έχουν πολλά κοινά με την ασφάλεια IT. Ωστόσο, Τα συστήματα IoT απαιτούν μεγαλύτερη ευαισθησία και εμπιστευτικότητα, καθώς αυτά τα συστήματα εισέρχονται και ψηφιοποιούν την ιδιωτική ζωή ενός ατόμου. Η ευαισθησία της τεχνολογίας IoT πηγάζει από τις υψηλές απαιτήσεις ασφάλειας, με εξαιρετικά υψηλή εμπιστευτικότητα, αυθεντικότητα, μυστικότητα, και ακεραιότητα. Υπάρχουν φυσικά και λογικά προβλήματα με την ασφάλεια του IoT. Από την μία, το φυσικό πρόβλημα είναι η ενέργεια της συσκευής. Οι περισσότερες συσκευές IoT τροφοδοτούνται από μπαταρίες, οπότε η ενέργεια είναι σχετικά ανεπαρκής. Αφ 'ετέρου, Οι συσκευές IoT έχουν σχετικά χαμηλή επεξεργαστική ισχύ και περιορισμένους πόρους μνήμης. Υπάρχουν λογικά προβλήματα στον έλεγχο ταυτότητας, προστασία από κακόβουλο λογισμικό, προστασία προσωπικών δεδομένων, και επιτήρηση.
Το Διαδίκτυο και η τεχνολογική του στοίβα υπάρχουν εδώ και δεκαετίες. Αυτό το διάστημα, μια κεντρική αρχιτεκτονική πελάτη και διακομιστή ήταν το θεμέλιο πάνω στο οποίο χτίστηκαν οι τρέχουσες πλατφόρμες και υπηρεσίες. Αυτές οι αρχιτεκτονικές μπορεί επίσης να είναι δυσκίνητες από την άποψη του IoT. Για παράδειγμα, όταν πολλοί ασύρματοι αισθητήρες πρέπει να υποβάλουν τα δεδομένα τους πίσω σε μια κεντρική υπηρεσία, μια μονολιθική υπηρεσία θα πρέπει να μπορεί να διανέμει ενημερώσεις ασφαλείας σε ένα αποκεντρωμένο ή κατανεμημένο δίκτυο αισθητήρων. Αυτά τα δίκτυα αισθητήρων συνήθως επωφελούνται από μια αποκεντρωμένη αρχιτεκτονική επικοινωνίας, που έχει μεγάλη Σε ένα βαθμό είναι αυτοδιαχειριζόμενη. Παραδοσιακά, εμπόδιο για τη δημιουργία μιας αποκεντρωμένης αρχιτεκτονικής ήταν η εμπιστοσύνη των άλλων συμμετεχόντων. Η εισαγωγή του κρυπτονομίσματος Bitcoin προϋποθέτει ότι δεν υπάρχει ανάγκη για εμπιστοσύνη μεταξύ δύο μερών. Αυτό επιτυγχάνεται με την ενσωμάτωση ενός μηχανισμού κατανεμημένης συναίνεσης ως απόδειξη της επικύρωσης νέας συναλλαγής με ταυτόχρονη εξαργύρωση του προηγούμενου ιστορικού συναλλαγών. Αυτό επεκτείνεται λοιπόν στον σχεδιασμό γενικευμένων συναλλαγών εκτός του πεδίου εφαρμογής των κρυπτονομισμάτων. Σήμερα, αυτός ο γενικευμένος μηχανισμός παίρνει συχνά το όνομα blockchain.
Πρόσφατη προσοχή από τις ρυθμιστικές αρχές, ιδιαίτερα στην Ευρωπαϊκή Ένωση, έχει προκαλέσει αυξημένη εστίαση στην ασφάλεια και το απόρρητο στον χώρο του IoT. Η υιοθέτηση της τεχνολογίας blockchain έχει μεγάλες δυνατότητες ως βιώσιμη λύση για μελλοντικά συστήματα IoT για την κάλυψη των κανονιστικών απαιτήσεων. Σχετικά με τις κανονιστικές απαιτήσεις για το σχεδιασμό συσκευών IoT, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε πρόσφατα νέες οδηγίες και κανονισμούς. Αυτές οι απαιτήσεις, που μπορεί να θεωρηθεί η πιο αυστηρή στον κόσμο, ισχύει για κατασκευαστές συσκευών καθώς και για παρόχους υπηρεσιών και πλατφορμών, εάν παρέχουν στην ΕΕ ή επεξεργάζονται προσωπικά δεδομένα κατοίκων της ΕΕ.
Επιπλέον, Τα κράτη μέλη της ΕΕ παρέχουν ορισμένους τομεακούς κανονισμούς για τομείς που ασχολούνται με ευαίσθητες πληροφορίες, όπως η υγειονομική περίθαλψη και οι χρηματοοικονομικές υπηρεσίες. Οι Ηνωμένες Πολιτείες στερούνται γενικής νομοθεσίας περί προστασίας δεδομένων ή απορρήτου και βασίζονται κυρίως σε έναν μικρό αριθμό νομοθεσίας που σχετίζεται με το απόρρητο που σχετίζεται με τον κλάδο. Η αμερικανική προσέγγιση για το σχεδιασμό συστημάτων πληροφοριών καθιστά δυσκολότερη την εξαγωγή κοινών συμπερασμάτων σχετικά με τη διατήρηση ενός συγκεκριμένου επιπέδου απορρήτου. Για παράδειγμα, ενώ το ίδιο σύστημα IoT μπορεί να χρησιμοποιηθεί σε διαφορετικές περιοχές, το υποδηλώνει η έλλειψη κοινών απαιτήσεων ή ορισμών περί απορρήτου. Συνεπώς, ο κατασκευαστής πρέπει να προβλέψει τουλάχιστον κάπως την προβλεπόμενη χρήση του συστήματος σχεδιασμού, και την προβλεπόμενη χρήση του συστήματος σχεδιασμού, εάν είχε περιοριστεί η είσοδος στις Η.Π.Α. αγορά.
Αφ 'ετέρου, οι άνθρωποι θα μπορούσαν να θεωρήσουν τις ρυθμιστικές απαιτήσεις της ΕΕ ως σημείο αναφοράς των υποχρεώσεων που πρέπει να τηρούνται όταν ασχολούνται με προσωπικά δεδομένα ή όταν συναλλάσσονται με φορείς εκμετάλλευσης ορισμένων σημαντικών υποδομών. Υπάρχουν δύο νόμοι και κανονισμοί της ΕΕ που είναι υπεύθυνοι για την ανάπτυξη και τη διαχείριση συστημάτων πληροφοριών. Είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) και την Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριακών Συστημάτων (Οδηγία NIS).
Ο GDPR μπορεί να έχει κάποιες αποχρώσεις μεταξύ των κρατών μελών, αλλά θέτει τις βάσεις για μια ενιαία ψηφιακή ενιαία αγορά εντός της ΕΕ. Ως οδηγία, Τα κράτη μέλη ενδέχεται να υιοθετήσουν διαφορετική προσέγγιση για τα ΝΑΚ, αν και ορίζει τι μπορεί να θεωρηθεί ως ελάχιστο επίπεδο ευθύνης ασφάλειας για τα πληροφοριακά συστήματα.
Τι είναι το Διαδίκτυο των Πραγμάτων(IoT) Μυστικότητα?
Με την ανάπτυξη του Τεχνολογία IoT, Η ψηφιακή τεχνολογία έχει διεισδύσει περαιτέρω στη ζωή και το περιβάλλον μας. Σύμφωνα με το Strategy Analytics, τον αριθμό των συνδεδεμένων συσκευών παγκοσμίως 22 δισεκατομμύρια μέχρι το τέλος του 2018 και αναμένεται να φτάσει 50 δισεκατομμύρια κατά 2030. Με βάση αισιόδοξα δεδομένα, ο συνδυασμός IoT και τεχνητής νοημοσύνης θα δημιουργήσει έναν πιο έξυπνο τρόπο επικοινωνίας. Συνολικά, ο κοινωνικός και οικονομικός αντίκτυπος του Διαδικτύου των Πραγμάτων θα είναι σημαντικός, με συνδεδεμένες συσκευές ενσωματωμένες σε κάθε πτυχή της ζωής μας, από φορητές συσκευές έως το Διαδίκτυο των οχημάτων έως τα έξυπνα σπίτια έως το Διαδίκτυο των πάντων. Η ευκολία και η πανταχού παρουσία του Διαδικτύου των Πραγμάτων θα φέρει τεράστια οφέλη, αλλά σημαίνει επίσης ότι η συλλογή πληροφοριών μετακινείται από τον διαδικτυακό κόσμο στον κόσμο εκτός σύνδεσης, με τα σώματα και τους ιδιωτικούς μας χώρους να γίνονται η πηγή συλλογής πληροφοριών. Στο πλαίσιο αυτό, το Διαδίκτυο των Πραγμάτων, ιδιαίτερα τα ζητήματα απορρήτου που σχετίζονται με το καταναλωτικό Διαδίκτυο των πραγμάτων, έχει γίνει το επίκεντρο της προσοχής. Τον Σεπτέμβριο 19, η Κοινωνία του Διαδικτύου δημοσίευσε μια έκθεση σχετικά με το απόρρητο του IoT με την ονομασία «Σύντομη Πολιτικής: Ιδιωτικό απόρρητο IoT για υπεύθυνους χάραξης πολιτικής», το οποίο αναλύει τους κινδύνους και τις προκλήσεις που φέρνει το Διαδίκτυο των Πραγμάτων για την προστασία του προσωπικού απορρήτου, και διατυπώνει συγκεκριμένες συστάσεις δράσης για τους υπεύθυνους χάραξης πολιτικής, Παρόχους υπηρεσιών IoT και άλλα ενδιαφερόμενα μέρη, και ζητά την ενίσχυση του μοντέλου διακυβέρνησης της πολυμερούς συλλογικής συμμετοχής.
Η ανάπτυξη του Διαδικτύου των Πραγμάτων δίνει τη δυνατότητα να παράγουν καθημερινά αντικείμενα και αισθητήρες εκτός από υπολογιστές, ανταλλάσσουν και καταναλώνουν δεδομένα με λιγότερη ανθρώπινη παρέμβαση. Σήμερα, Το Διαδίκτυο των Πραγμάτων δείχνει την αναπτυξιακή τάση της κλίμακας (ο αριθμός των συνδεδεμένων συσκευών συνεχίζει να αυξάνεται), οικειότητα (φορητές συσκευές και συσκευές που εμφυτεύονται στο ανθρώπινο σώμα, και τα λοιπά.), πανταχού παρών, πάντα συνδεδεμένο, και ευφυής. Αλλά αυτή η κλίμακα ανάπτυξης θα μπορούσε να επηρεάσει την προστασία της ιδιωτικής ζωής, επιτρέποντας στα άτομα να αναγνωρίζονται πιο εύκολα, παρακολουθούνται, προφίλ, και επηρεάστηκε.
Οι προκλήσεις του Διαδικτύου των Πραγμάτων για την προστασία του προσωπικού απορρήτου περιλαμβάνουν: Πρώτα, η προστασία του Διαδικτύου των Πραγμάτων καλύπτει ένα ευρύ φάσμα, συμπεριλαμβανομένων των ρυθμιστικών ορίων διαφορετικών τμημάτων και δικαιοδοσιών. Από την μία, Η νομοθεσία περί απορρήτου τείνει να τμηματοποιείται ανά τομέα, όπως το ιατρικό απόρρητο, οικονομικό απόρρητο, μαθητική ιδιωτικότητα, και τα λοιπά., και οι συσκευές και οι υπηρεσίες IoT είναι δύσκολο να κατηγοριοποιηθούν. Αφ 'ετέρου, διαφορετικές χώρες και περιοχές ενδέχεται να έχουν διαφορετική νομοθεσία περί απορρήτου για συσκευές και υπηρεσίες IoT και θα αντιμετωπίζουν διαφορετικούς κανονισμούς όταν η συλλογή και η επεξεργασία δεδομένων πραγματοποιείται σε διαφορετικές δικαιοδοσίες. Δεύτερος, είναι δύσκολο για το IoT να λάβει ενημερωμένη συγκατάθεση από τους χρήστες. Όταν το IoT αναπτύσσεται, εκτός από τη λήψη ενημερωμένης συγκατάθεσης από τον ιδιοκτήτη της συσκευής, είναι δύσκολο να λάβετε τη συγκατάθεση των άλλων γύρω σας ταυτόχρονα. Οι συσκευές IoT δεν διαφέρουν από τα συνηθισμένα πράγματα όπως τα ρολόγια, Ηχεία, και τηλεοράσεις, Επομένως, είναι δύσκολο να γνωρίζουμε εάν μια συσκευή συλλέγει και επεξεργάζεται δεδομένα. Τελικά, Προκλήσεις IoT την αρχή της διαφάνειας για την προστασία της ιδιωτικής ζωής. Για παράδειγμα, σε αντίθεση με τους ιστότοπους, εφαρμογές, και τα λοιπά., Οι συσκευές και οι υπηρεσίες IoT ενδέχεται να μην μπορούν να παρουσιάσουν τις πολιτικές απορρήτου τους στους χρήστες, και μπορεί να μην κάνει καλή δουλειά στην ενημέρωση των χρηστών ότι συλλέγουν δεδομένα.
Προκειμένου να αντιμετωπιστούν καλύτερα αυτές οι προκλήσεις και να ενισχυθεί η προστασία του προσωπικού απορρήτου που σχετίζεται με το Διαδίκτυο των πραγμάτων, η Κοινωνία του Διαδικτύου έχει διατυπώσει τέσσερις συστάσεις: Πρώτα, ενίσχυση του ουσιαστικού ελέγχου των χρηστών στις συσκευές και τις υπηρεσίες IoT, και ενίσχυση της διαχείρισης δεδομένων IoT. ΕΙΔΙΚΑ, περιλαμβάνει: αποσαφήνιση των ευθυνών των παρόχων υπηρεσιών, συμπεριλαμβανομένης της λήψης ενημερωμένης συγκατάθεσης από τους χρήστες κατά τη συλλογή προσωπικών δεδομένων, ενίσχυση της διαφάνειας, και την ασφαλή αποθήκευση δεδομένων, και τα λοιπά.; προώθηση ανοιχτών προτύπων και διαλειτουργικότητας σε συσκευές και υπηρεσίες IoT; και ενθάρρυνση πρακτικών ελαχιστοποίησης δεδομένων. Δεύτερος, βελτίωση της διαφάνειας της συλλογής και χρήσης δεδομένων χρήστη. Για παράδειγμα, ειδοποιεί τους χρήστες για τις δυνατότητες των συσκευών IoT και τη συλλογή δεδομένων με τρόπο που είναι εύκολο να κατανοήσουν οι χρήστες, ρυθμίστε αποτελεσματικές λειτουργίες συναίνεσης και εξαίρεσης για τους χρήστες, βελτίωση της σαφήνειας της πολιτικής απορρήτου, βελτίωση της διαφάνειας σε όλο τον κύκλο ζωής των δεδομένων, και διασφαλίζουν την ιδιωτικότητα και την ασφάλεια. Προστατεύεται καθ' όλη τη διάρκεια του κύκλου ζωής του προϊόντος, και τα λοιπά. Τρίτος, Η νομοθεσία και οι πολιτικές περί απορρήτου συμβαδίζουν με τις τεχνολογικές εξελίξεις. ΕΙΔΙΚΑ, περιλαμβάνει: βελτίωση της υφιστάμενης νομοθεσίας περί απορρήτου και προστασίας των καταναλωτών; επανεξέταση της προσαρμοστικότητας και του πεδίου εφαρμογής των νόμων για την προστασία της ιδιωτικής ζωής; ενίσχυση της νομικής προστασίας για τους ερευνητές απορρήτου για να διασφαλιστεί ότι δεν διατρέχουν νομικούς κινδύνους διερευνώντας ζητήματα απορρήτου; Η ευρεία χρήση της δικτύωσης δεν επιδεινώνει τις διακρίσεις και τις αθέμιτες πρακτικές; εισαγάγετε την αξιολόγηση των επιπτώσεων της ιδιωτικής ζωής στην ανάπτυξη IoT, και τα λοιπά. Τέταρτος, ενίσχυση της πολυμετοχικής συμμετοχής. Η επίλυση κινδύνων και προκλήσεων που σχετίζονται με το IoT απαιτεί την κοινή συμμετοχή της κυβέρνησης, το κοινό, βιομηχανία, ακαδημαϊκή κοινότητα, κοινωνικές οργανώσεις, και τεχνικό προσωπικό. Πρέπει να διεξαχθεί εκτενής διάλογος σε κοινωνικό επίπεδο, και πρέπει να δοθεί προσοχή στο δικαίωμα των καταναλωτών να μιλούν.
Συνολικά, ο συνδυασμός του IoT με τις αναδυόμενες τεχνολογίες όπως το cloud computing και τεχνητή νοημοσύνη θα μεταμορφώσει την οικονομία και την κοινωνία μας με πολλούς τρόπους. Η τεχνολογία φέρνει μεγάλες ευκαιρίες, αλλά συνοδεύεται από κινδύνους. Πρέπει να λάβει κανείς τα κατάλληλα μέτρα για να διασφαλίσει ότι τα οφέλη του IoT υπερτερούν κατά πολύ των κινδύνων της ιδιωτικής ζωής, ασφάλεια, και τα λοιπά. Αυτό απαιτεί τη συνεργασία όλων των ενδιαφερομένων, συμπεριλαμβανομένων των κυβερνήσεων, κατασκευαστές, Καταναλωτές, και τα λοιπά., να διασφαλίσει ότι οι τεχνολογίες IoT αναπτύσσονται με υπεύθυνο και βιώσιμο τρόπο. Οι ξένες χώρες προωθούν ήδη τη νομοθεσία περί απορρήτου και ασφάλειας IoT. Η νομοθεσία πρέπει να λαμβάνει υπόψη τα χαρακτηριστικά των συσκευών και υπηρεσιών IoT και να υιοθετεί ευέλικτους και λογικούς ρυθμιστικούς μηχανισμούς. Για παράδειγμα, ακόμη και στον GDPR της ΕΕ, Η ενημερωμένη συγκατάθεση των χρηστών δεν είναι η μόνη νομική βάση για τους παρόχους υπηρεσιών να συλλέγουν και να επεξεργάζονται τα προσωπικά στοιχεία των χρηστών. Επομένως, η πολιτική απορρήτου του Διαδικτύου των πραγμάτων δεν θα πρέπει να περιορίζεται στη συγκατάθεση μετά από ενημέρωση αλλά θα πρέπει να λαμβάνει υπόψη τα τεχνικά χαρακτηριστικά, και υπό ορισμένες συνθήκες, θα μετατραπεί από προηγούμενη άδεια σε υποχρεώσεις προστασίας δεδομένων κατά τη διαδικασία και μετά το συμβάν. Επιπλέον, Η ευαισθητοποίηση για το απόρρητο των καταναλωτών έχει αφυπνιστεί. Για παράδειγμα, σε μια έρευνα, 77% των καταναλωτών ανέφεραν ότι η ικανότητα προστασίας της ιδιωτικής ζωής και η ασφάλεια του IoT είναι σημαντικοί παράγοντες που πρέπει να λαμβάνονται υπόψη κατά τη λήψη αποφάσεων αγοράς. Οι κατασκευαστές IoT πρέπει να λαμβάνουν υπόψη τα ζητήματα απορρήτου των χρηστών και ασφάλειας δεδομένων κατά την ανάπτυξη και τη δημιουργία IoT. Εξασκηθείτε στην έννοια του «απόρρητο κατά σχεδιασμό» και ενισχύστε τον έλεγχο των χρηστών στα δεδομένα.
Γιατί είναι ΕγώοΤ ασφάλεια κρίσιμος?
01. Γιατί η ασφάλεια του IoT είναι τόσο κρίσιμη σήμερα
Σήμερα, Οι συσκευές και οι εφαρμογές Internet of Things χρησιμοποιούνται ευρέως στην εργασία και τη ζωή των ανθρώπων, και σχεδόν όλα τα αντικείμενα θα γίνουν έξυπνα για να επωφεληθούν από τα οφέλη της σύνδεσης στο παγκόσμιο Διαδίκτυο.
Ενώ τις πρώτες μέρες, Οι απειλές δικτύου επικεντρώνονταν στις εγκαταστάσεις πληροφορικής των επιχειρήσεων, στον σύγχρονο κόσμο έχουν γίνει πιο διαδεδομένες και συχνές. Πριν συζητήσουμε τα μέτρα ασφαλείας για το Internet of Things, Είναι σημαντικό να κατανοήσουμε ορισμένα από τα διανύσματα απειλής δικτύου που περιβάλλουν το Διαδίκτυο των Πραγμάτων.
02. Κοινοί φορείς απειλών για το Διαδίκτυο των πραγμάτων
Τα διανύσματα απειλών αναφέρονται στα μονοπάτια ή τα μέσα με τα οποία οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στα βασικά συστήματα μιας εταιρείας που λειτουργούν στο δίκτυο. Μερικοί από τους πιο συνηθισμένους φορείς απειλής στο IoT είναι:
(1) Χωρίς φυσικά όρια
Το όριο του δικτύου IoT είναι πιο ανοιχτό από το παραδοσιακό όριο του Διαδικτύου. Οι παραδοσιακές μέθοδοι ασφαλείας για τον περιορισμό της πρόσβασης σε συσκευές δεν είναι πλέον διαθέσιμες. Αυτές οι συσκευές IoT μετακινούνται σε οποιαδήποτε νέα τοποθεσία όταν χρειάζεται και έχουν πρόσβαση στο δίκτυο.
(2) Διαρροή δεδομένων Wi-Fi και Bluetooth
Οι διαμορφώσεις Wi-Fi και Bluetooth στο IoT είναι κύριες πηγές διαρροής δεδομένων. Bluetooth και το WI-FI με αδύναμους κωδικούς πρόσβασης μπορούν εύκολα να κλαπούν από εισβολείς δικτύου κατά τη μετάδοση δεδομένων. Επίσης, στις περισσότερες περιπτώσεις, ο κωδικός πρόσβασης που χρησιμοποιείται για τη διαμόρφωση δεν έχει οριστεί μοναδικά για κάθε συσκευή. Εάν μόνο μία συσκευή δέχεται επίθεση και παραβιάζεται από το δίκτυο, υπάρχει ένα κενό για μη εξουσιοδοτημένη πρόσβαση.
(3) Φυσική πρόσβαση σε συσκευές IoT
Οι εισβολείς στον κυβερνοχώρο αποκτούν φυσική πρόσβαση σε συσκευές IoT και φόρτους εργασίας, ο χειρότερος από όλους τους φορείς απειλής. Με αυτή την πρόσβαση, Οι εισβολείς στον κυβερνοχώρο μπορούν εύκολα να αποκτήσουν πρόσβαση στις εσωτερικές πληροφορίες των συσκευών IoT και στο περιεχόμενό τους. Και χρησιμοποιώντας εργαλεία όπως το BusPirate, Shikra, ή LogicAnalyzer, μπορούν επίσης να διαβάσουν όλη την κίνηση στο δίκτυο. Με φυσική πρόσβαση, Οι εισβολείς στον κυβερνοχώρο μπορούν να εξαγάγουν κωδικούς πρόσβασης, τροποποιήσουν τα προγράμματά τους, ή να τα αντικαταστήσουν με άλλες συσκευές που ελέγχουν.
03. ΙωΤ εναντίον της πληροφορικής
Ενώ πολλές συσκευές IoT βρίσκονται στην άκρη, η υποδομή πληροφορικής βρίσκεται στο cloud. Οι απειλές για την ασφάλεια του IoT μπορεί να έχουν ως αποτέλεσμα εισβολείς στον κυβερνοχώρο να αποκτήσουν πρόσβαση σε βασικά δίκτυα πληροφορικής μέσω φορέων απειλών IoT. Ακολουθούν ορισμένες πραγματικές επιθέσεις στον κυβερνοχώρο.
- Η πρόσβαση στο δίκτυο μέσω του συστήματος HVAC οδηγεί σε παραβίαση δεδομένων
Σύμφωνα με δημοσιεύματα των ΜΜΕ, Target Inc., ένα από τα κορυφαία 10 λιανοπωλητές στις Η.Π.Α., έχει χακαριστεί για να κλέψει 40 εκατομμύρια αριθμούς πιστωτικών καρτών από την εταιρεία. Πρόκειται για μια από τις μεγαλύτερες παραβιάσεις δεδομένων στον κόσμο. Χάκερ παραβίασαν συστήματα HVAC κλέβοντας διαπιστευτήρια τρίτων και στη συνέχεια απέκτησαν πρόσβαση σε εταιρικά δίκτυα.
- Το SubwayPoS υφίσταται επίθεση χάκερ
Αυτήν τη στιγμή υπάρχουν ορισμένες αναφορές για σφάλματα ασφαλείας που σχετίζονται με το PoS. Η παραβίαση στο SubwayPoS είχε ως αποτέλεσμα την απώλεια $10 εκατομμύριο, με τουλάχιστον 150 των στοχευμένων franchises της Subway. Ένα παρόμοιο χακάρισμα συνέβη στον αμερικανικό βιβλιοπώλη Barnes & ευγενής, στο οποίο οι αναγνώστες πιστωτικών καρτών στο 63 καταστήματα δέχθηκαν επίθεση και παραβιάστηκαν.
SamSam ransomware
Μια άλλη γνωστή περίπτωση παραβίασης συστήματος είναι η κυβερνοεπίθεση από το SamSam ransomware, που έπληξαν διοικήσεις όπως το Υπουργείο Μεταφορών του Κολοράντο και το λιμάνι του Σαν Ντιέγκο 2018 και σταμάτησαν απότομα τις υπηρεσίες τους.
04. Κανονισμοί IoT
Αν και ορισμένοι κανονισμοί IoT έχουν εκδοθεί από ορισμένες χώρες και περιοχές, δεν επαρκούν για τον μετριασμό των κινδύνων που ενέχουν οι κυβερνοεπιθέσεις. Η Καλιφόρνια έχει λογικούς κανονισμούς σε επίπεδο ασφάλειας όσον αφορά τον περιορισμό των επιθέσεων στον κυβερνοχώρο. Επίσης, το ΗΒ έχει εφαρμόσει μια πολιτική μοναδικού κωδικού πρόσβασης, και οι επιχειρήσεις πρέπει να παρέχουν σαφή στοιχεία επικοινωνίας για συσκευές IoT που είναι συνδεδεμένες σε τοπική υποδομή πληροφορικής για να αποκαλύπτουν τρωτά σημεία και να εκτελούν τακτικές ενημερώσεις ασφαλείας. Ενώ αυτές οι κανονιστικές οδηγίες είναι ευπρόσδεκτες από πολλούς σχολιαστές ασφάλειας, Δεν είναι σαφές ποιος θα επιβάλει αυτές τις πολιτικές. Ο σχολιαστής πρόσθεσε ότι εργάζονται για να κατανοήσουν πώς θα επιβάλλονται οι κανονισμοί μέσω των υφιστάμενων ρυθμιστικών αρχών.
Οι στρατηγικές και τα μέτρα των εισβολέων στον κυβερνοχώρο ενημερώνονται πολύ πιο γρήγορα, και οι κανονισμοί αυτοί μπορεί να εκδίδονται ή να εφαρμόζονται ετησίως ή εξαμηνιαία. Επομένως, είναι δύσκολο να συμβαδίσει κανείς με τις επιθέσεις που πραγματοποιούνται από εισβολείς στον κυβερνοχώρο μόνο βασιζόμενος σε ρυθμιστικές πολιτικές.
05. Ποια μέτρα ασφαλείας πρέπει να λάβουν οι εταιρείες
Ενώ συμμορφώνεται με τους παραπάνω κανονισμούς, οι επιχειρήσεις πρέπει να αναπτύξουν τα μέτρα ασφαλείας τους για την υιοθέτηση συσκευών IoT.
Πρώτα, πρέπει να καθορίσουν την ασφάλεια των συσκευών IoT. Είναι σημαντικό να διασφαλιστεί ότι οι συσκευές IoT έχουν μοναδικές ταυτότητες, που αποτελούν τη βάση για άλλα μέτρα ασφαλείας.
Επειτα, με βάση το επίπεδο ταυτότητας, το λογισμικό προστατεύεται από μέτρα όπως ο υπογεγραμμένος κώδικας, υλικολογισμικό, και τα λοιπά.
Τελικά, η επιχείρηση πρέπει να έχει συμμόρφωση σε πολύ υψηλό επίπεδο για να αποφασίσει ποιες εκδόσεις του λογισμικού θα εκτελεστούν.
ΙωΤ ασφάλεια υλικού
Στο σχεδιασμό ηλεκτρονικών προϊόντων, η ασφάλεια είναι πρωταρχικής σημασίας. Αυτό ισχύει ιδιαίτερα για το συγκρότημα, περιορισμένη σε πόρους, και εξαιρετικά συνδεδεμένο Internet of Things (IoT). Η επίτευξη της ασφάλειας του IoT απαιτεί τη βάση αποδεδειγμένων αρχών ασφάλειας και επαγρύπνησης έναντι των εξελισσόμενων απειλών. Ωστόσο, οι μηχανικοί σχεδιασμού αντιμετωπίζουν ορισμένες προκλήσεις ασφάλειας του IoT όταν φέρνουν προϊόντα στην αγορά.
01. Το IoT αντιμετωπίζει απειλές για την ασφάλεια
Το IoT αυτή τη στιγμή ενσωματώνεται στις περισσότερες βιομηχανικές και εμπορικές λειτουργίες, συμπεριλαμβανομένων των υπηρεσιών κοινής ωφέλειας, ζωτικής σημασίας υποδομές, Μεταφορά, χρηματοδότηση, λιανεμποριο, και την υγειονομική περίθαλψη. Οι συσκευές IoT μπορούν να ανιχνεύσουν και να μετρήσουν τον φυσικό κόσμο και να συλλέξουν δεδομένα για διάφορες ανθρώπινες δραστηριότητες, διευκολύνοντας την ευρεία ανάπτυξη ευφυών, αυτοματοποιημένη, και αυτόνομες τεχνολογίες διοίκησης και ελέγχου. Μέσω των πανταχού παρών έξυπνων συσκευών διασύνδεσης IoT, Οι επιχειρήσεις είναι σε θέση να δημιουργήσουν πραγματικά επαναστατικές τεχνολογίες που θα βελτιώσουν κάθε πτυχή της ανθρώπινης κοινωνίας και της οικονομικής ζωής στο μέλλον. Ωστόσο, σχεδόν κάθε εβδομάδα τα κύρια μέσα ενημέρωσης αναφέρουν παραβιάσεις ψηφιακής ασφάλειας. Οι αναφερόμενες απώλειες είναι συχνά κλοπή ή κακή χρήση των στοιχείων της καταναλωτικής πιστωτικής κάρτας, που είναι σταγόνες στον κάδο σε σύγκριση με τις χιλιάδες κυβερνοεπιθέσεις που συμβαίνουν καθημερινά. Οι επιθέσεις ασφαλείας περιλαμβάνουν την κλοπή πολύτιμων δεδομένων και την πρόκληση εκτεταμένης ζημιάς, και ακόμη περισσότερο, αναλαμβάνοντας τον έλεγχο των κρίσιμων συστημάτων. Από τη σκοπιά του καταναλωτή, κατανεμημένη άρνηση παροχής υπηρεσιών (DDoS) οι επιθέσεις είναι ίσως η πιο κοινή απειλή. Το botnet Mirai, που διέκοψε ολόκληρο το διαδίκτυο 2016, χτύπησε ο πρώτος κώδωνας κινδύνου, ευαισθητοποίηση των υπηρεσιών για την απειλή. Μετά το Μιράι, Άιδρα, Wifatch, και Gafgyt, καθώς και νέα botnets όπως το BCMUPnP, Κυνηγός52, και Torii53, έχουν διεισδύσει σωρευτικά σε εκατομμύρια συσκευές IoT για να διαδώσουν το κακόβουλο λογισμικό DDoS τους, εξορύκτες κρυπτονομισμάτων, και ανεπιθύμητη αλληλογραφία.
Καθώς εμφανίζονται περισσότερες συσκευές IoT στη δουλειά και στη ζωή μας, πιθανές επιθέσεις ασφαλείας είναι παντού και σε όλο και μεγαλύτερη κλίμακα. Πάρτε ως παράδειγμα τον έξυπνο έλεγχο κυκλοφορίας. Φανταστείτε μια μεγάλη πόλη όπου η υποδομή των αισθητήρων, φανάρια, δίκτυα πλέγματος αυτοκινήτου, και οι συσκευές ελέγχου που ελέγχουν τη ροή της κυκλοφορίας είναι εκτεθειμένες σε αντιπάλους. Ο έλεγχος των φωτεινών σηματοδοτών ή η επικοινωνία μεταξύ των οχημάτων μέσω ασύρματων δικτύων σε σημαντικές διασταυρώσεις δεν είναι πλέον θέμα των υπερπαραγωγών του Χόλιγουντ, αλλά ένα πραγματικό και σοβαρό ζήτημα.
Σκεφτείτε επίσης τις ιατρικές συσκευές με δυνατότητα Διαδικτύου, έξυπνες ετικέτες στα καταστήματα που βοηθούν στη βελτίωση της εμπειρίας αγορών λιανικής, και πώς συνδέονται οι συσκευές μας. Εάν μπορείτε να χρησιμοποιήσετε το smartphone σας για να ξεκινήσετε τη σόμπα, ξεκλειδώστε την κλειδαριά και απενεργοποιήστε το σύστημα συναγερμού, τι γίνεται με όλους τους άλλους?
Τα παραπάνω παραδείγματα είναι σχετικά με όλους μας, αλλά υπάρχουν πολλές καταστάσεις που είναι αόρατες στον μέσο καταναλωτή. Φανταστείτε το Βιομηχανικό Διαδίκτυο των Πραγμάτων (IIoT) αναπτυχθεί για αυτοματοποιημένα περιβάλλοντα παραγωγής. Ποιο θα ήταν το χάος αν συνέβαινε παραβίαση της ασφάλειας, και ποιο θα ήταν το οικονομικό κόστος της διακοπής της παραγωγής και της ζημιάς στον εξοπλισμό?
Με τις δυνατότητες επιθέσεων να αυξάνονται εκθετικά, Η ασφάλεια του IoT πρέπει να είναι ολοκληρωμένη και ισχυρή, με δυνατότητα γρήγορης ανάκαμψης.
02. Εσείς δεν θα έπρεπε βασιστείτε μόνο σε μια προσέγγιση λογισμικού
Οι προσπάθειες υποκλοπής ή παράνομης απόκτησης πληροφοριών δεν είναι κάτι καινούργιο. Ο Ολλανδός ερευνητής υπολογιστών Wim Van Eck εργάζεται σε αυτό από τότε 1985. Εξήγαγε με επιτυχία πληροφορίες από την οθόνη αναχαιτίζοντας το ηλεκτρομαγνητικό της πεδίο και αποκωδικοποιώντας το. Το πρωτοποριακό του έργο υπογράμμισε το γεγονός ότι ήταν δυνατό να παρακαμφθούν ακριβά μέτρα ασφαλείας χρησιμοποιώντας φθηνά εξαρτήματα.
Τέτοιες μη παρεμβατικές και παθητικές ηλεκτρομαγνητικές επιθέσεις πλευρικού καναλιού γίνονται τώρα πιο εξελιγμένες και ένα από τα πολλά όπλα επίθεσης. Άλλες μέθοδοι επίθεσης με ακραία κανάλια περιλαμβάνουν ανάλυση διαφορικής ισχύος (DPA) και άλλοι, που χρησιμοποιούνται συνήθως μαζί με επιθέσεις ηλεκτρομαγνητικών καναλιών ακμών. Μέσα από αυτή την επίθεση, ευαίσθητες πληροφορίες, όπως κλειδιά κρυπτογράφησης, κωδικούς πρόσβασης, και οι προσωπικές ταυτότητες στον μικροελεγκτή της συσκευής IoT θα «παραβιαστούν» με τη μορφή ηλεκτρομαγνητικών σημάτων όταν εκτελούνται οι οδηγίες επεξεργασίας κρυπτογράφησης. Οι ευρυζωνικοί δέκτες ως ραδιοφωνικές εφαρμογές που καθορίζονται από λογισμικό είναι επί του παρόντος πολύ φθηνοί και μπορούν να χρησιμοποιηθούν για την ανίχνευση και αποθήκευση ηλεκτρομαγνητικών σημάτων κατά τη λειτουργία.
Το DPA είναι μια πιο περίπλοκη μέθοδος κλοπής, που μπορεί να κατανοήσει την κατανάλωση ενέργειας του επεξεργαστή κατά τη λειτουργία της συσκευής μέσω απλής ανάλυσης ισχύος. Επειδή η ισχύς που καταναλώνεται από τη συσκευή επεξεργασίας θα ποικίλλει ανάλογα με τη λειτουργία που εκτελείται, Οι διακριτές λειτουργίες μπορούν να αναγνωριστούν γνωρίζοντας την κατανάλωση ενέργειας. Οι λειτουργίες των αλγορίθμων κρυπτογράφησης που βασίζονται σε AES, ECC, και το RSA απαιτούν πολλούς υπολογισμούς και μπορούν να εντοπιστούν με ανάλυση μέτρησης ισχύος. Η εξέταση της κατανάλωσης ενέργειας σε διαστήματα μικροδευτερόλεπτων αποκαλύπτει διάφορες αριθμητικές πράξεις που χρησιμοποιούνται συχνά στην κρυπτογραφία, όπως ο πολλαπλασιασμός με άθροισμα στο τετράγωνο. Το DPA προσθέτει στατιστικές και τεχνικές διόρθωσης σφαλμάτων σε απλή ανάλυση ισχύος, που μπορεί να πραγματοποιήσει αποκωδικοποίηση εμπιστευτικών πληροφοριών υψηλής ακρίβειας.
Η διαρροή δεδομένων μέσω ενσύρματων ή ασύρματων επικοινωνιών μπορεί επίσης να αποκαλύψει εμπιστευτικές πληροφορίες. Τα κρυφά κανάλια και οι «επιθέσεις από άνθρωπο στη μέση» είναι αποτελεσματικοί τρόποι συλλογής δεδομένων ακούγοντας την επικοινωνία μεταξύ συσκευών IoT και κεντρικών συστημάτων. Η ανάλυση αυτών των δεδομένων μπορεί να αποκαλύψει τα πρωτόκολλα ελέγχου της συσκευής και τα ιδιωτικά κλειδιά που απαιτούνται για την ανάληψη της λειτουργίας συσκευών που συνδέονται απομακρυσμένα.
Μια άλλη τεχνική επίθεσης που χρησιμοποιείται από χάκερ είναι οι επιθέσεις εμφυτευμάτων σε μη προστατευμένους μικροελεγκτές και ασύρματο σύστημα σε τσιπ (SoC) συσκευές. Στην πιο απλή περίπτωση, η τεχνική μπορεί να μειώσει ή να επηρεάσει την τάση τροφοδοσίας του μικροελεγκτή, κάνοντας περίεργα λάθη. Αυτά τα σφάλματα μπορούν στη συνέχεια να ενεργοποιήσουν άλλες προστατευμένες συσκευές να ανοίξουν μητρώα που περιέχουν εμπιστευτικές πληροφορίες, εκθέτοντάς τους έτσι σε εισβολή. Παραβίαση του σήματος ρολογιού του συστήματος αλλάζοντας τη συχνότητα, βάζοντας το λάθος σήμα σκανδάλης, ή η αλλαγή του επιπέδου σήματος μπορεί επίσης να οδηγήσει σε ανωμαλίες στις συσκευές IoT που μπορεί να εκθέσουν εμπιστευτικές πληροφορίες ή να οδηγήσουν σε χειραγώγηση λειτουργιών ελέγχου. Και οι δύο περιπτώσεις απαιτούν σωματική, αλλά όχι επεμβατική, πρόσβαση στις πλακέτες τυπωμένων κυκλωμάτων μέσα στη συσκευή.
Δεδομένου ότι πολλές από τις τεχνολογίες ασφαλείας που χρησιμοποιούνται για την ασφάλεια των συσκευών IoT βασίζονται σε λογισμικό, πληροφορίες ασφαλείας είναι πιθανό να διαβαστούν παράνομα. Τυπικοί αλγόριθμοι κρυπτογράφησης όπως AES, ECC, και RSA τρέχουν ως στοίβες λογισμικού σε μικροελεγκτές και ενσωματωμένους επεξεργαστές. Συσκευές και λογισμικό που κοστίζουν λιγότερο από $100 μπορεί να χρησιμοποιηθεί όχι μόνο για να δείτε την κατανάλωση ενέργειας αλλά και για να αποκτήσετε κλειδιά και άλλες ευαίσθητες πληροφορίες χρησιμοποιώντας την τεχνολογία DPA. Τώρα είναι εύκολο να αποκτήσετε εργαλεία λογισμικού DPA εκτός ραφιού για να αυτοματοποιήσετε ολόκληρη τη διαδικασία χωρίς καν να χρειάζεται να είστε ικανοί σε αυτές τις αναλυτικές μεθόδους.
Τέτοιες επιθέσεις δεν περιορίζονται πλέον στη σφαίρα της θεωρίας, και έχουν χρησιμοποιηθεί ευρέως από χάκερ σε όλο τον κόσμο.
Με την αυξανόμενη ένταση της επίθεσης, οι προγραμματιστές συσκευών και συστημάτων IoT πρέπει να επανεξετάσουν τις μεθόδους προστασίας της ασφάλειας και να βελτιώσουν τις λειτουργίες προστασίας της ασφάλειας για να τις κάνουν πιο ισχυρές και ανθεκτικές.
03. Προσέγγιση υλικού σε προστατεύοντας ΙοΤ ασφάλεια
Πριν από το σχεδιασμό μιας νέας συσκευής IoT, Είναι καλύτερο να έχετε πλήρη κατανόηση των επιθέσεων στις οποίες είναι πιθανό να εκτεθεί η συσκευή, και από ποια είδη απειλών πρέπει να προστατευθούν. Είναι συνετό να επανεξετάζετε τις απαιτήσεις ασφαλείας από την αρχή και να τις ενσωματώνετε στις προδιαγραφές του προϊόντος. Οι περισσότερες συσκευές IoT τείνουν να διαρκούν για πολλά χρόνια, και αυτό από μόνο του θα μπορούσε να οδηγήσει σε περισσότερες επιθέσεις, άρα πρέπει να εξεταστεί. Επομένως, Οι ενημερώσεις υλικολογισμικού πρέπει να εκτελούνται μέσω του αέρα (ΟΤΑ), και για προστασία από όλες τις επιθέσεις, απαιτείται μια προσέγγιση από chip-to-cloud για την εφαρμογή ενός σχεδιασμού ασφαλείας που βασίζεται σε υλικό.
Το τσιπ ασφαλείας OPTIGA® Trust M2 ID2 που κυκλοφόρησε πρόσφατα από την Infineon είναι μια λύση ασφαλείας πλήρως βασισμένη στο υλικό, και το μεγαλύτερο πλεονέκτημά του είναι ότι μπορεί να αντισταθεί σε επιθέσεις σε επίπεδο υλικού. Χρησιμοποιεί κάποια ειδικά σχεδιασμένη βελτιστοποιημένη λογική για την καλύτερη προστασία της αποθήκευσης δεδομένων. Αν και πολύ επαγγελματική αντίστροφη μηχανική, τα αρχικά δεδομένα δεν μπορούν εύκολα να παραβιαστούν και να σπάσουν. Ορισμένα επαγγελματικά σχέδια και μη τυπικές εφαρμογές κώδικα είναι στην πραγματικότητα δύσκολο να αναλυθούν και να κατανοηθούν. Το πιο σημαντικό σημείο είναι ότι η λύση τσιπ ασφαλείας που βασίζεται σε υλικό μπορεί να παρέχει μια αξιόπιστη «ρίζα» για ολόκληρο το σύστημα και μια πηγή εμπιστοσύνης για το σύστημα.
ΙωΤ ασφάλεια υλικολογισμικού
Με τον αριθμό των τερματικών IoT να αυξάνεται αλματωδώς, οι σχετικοί κανονισμοί και πρότυπα ασφάλειας IoT προσγειώνονται σταδιακά, και η ασφάλεια υλικολογισμικού των ενσωματωμένων συσκευών χαμηλών πόρων θα δοθεί σταδιακά προσοχή. Ως πλατφόρμα ανίχνευσης ασφάλειας IoT από άκρο σε άκρο, Το TinyScan πραγματικά σαρώνει και εξορύσσει κρυμμένες ευαίσθητες πληροφορίες και κινδύνους ασφάλειας από την πηγή. Τόσο οι προγραμματιστές υλικολογισμικού όσο και οι χρήστες υλικολογισμικού μπορούν να χρησιμοποιήσουν αυτό το εργαλείο για να ελέγξουν την κατάσταση ασφαλείας του καθορισμένου υλικολογισμικού και να πραγματοποιήσουν στοχευμένη προστασία ή αποφυγή, μειώνοντας έτσι τον αριθμό των προβλημάτων ασφάλειας του IoT που προκαλούνται από ευπάθειες υλικολογισμικού.
Στην εποχή του Διαδικτύου των Πραγμάτων, ένα μοντέλο δομής τριών επιπέδων αντίληψης, μετάδοση, και η εφαρμογή χρησιμοποιείται συχνά, και ενσωματωμένες συσκευές όπως αισθητήρες, πύλες, και οι ελεγκτές που διανέμονται στα τρία επίπεδα έχουν εισαγάγει μεγάλο αριθμό νέων θεμάτων ασφαλείας: αρχιτεκτονική.
01. μικρόΑσφάλεια συστήματος
Στο παρόν, τα κύρια ενσωματωμένα λειτουργικά συστήματα εξακολουθούν να κυριαρχούνται από παράγωγα Linux ή Linux, και διάφορες εταιρείες προσαρμόζουν και αναπτύσσουν συστήματα Linux σύμφωνα με τις απαιτήσεις και τα χαρακτηριστικά των προϊόντων τους. Ωστόσο, λόγω του γεγονότος ότι οι πόροι των ενσωματωμένων συσκευών είναι περιορισμένοι, είναι δύσκολο να μεταμοσχευθούν πλήρως οι υπάρχουσες λύσεις άμυνας ασφαλείας σε συσκευές IoT.
02. Ασφάλεια εξαρτημάτων
Επειδή οι ενσωματωμένες συσκευές χρησιμοποιούν το Linux ως λειτουργικό σύστημα, πολλά στοιχεία ανοιχτού κώδικα είναι βέβαιο ότι θα χρησιμοποιηθούν. Τα κρυφά προβλήματα ορισμένων στοιχείων ανοιχτού κώδικα στη λειτουργία C/S ενδέχεται να ανακαλυφθούν εκ νέου και να χρησιμοποιηθούν στην εποχή του Διαδικτύου των Πραγμάτων. Επειδή στον χώρο υπάρχει ταυτόχρονα μεγάλος αριθμός πανομοιότυπων συσκευών IoT, εάν το υλικολογισμικό της συσκευής δεν αναβαθμιστεί εγκαίρως μετά την εμφάνιση ευπάθειας, μπορεί να προκαλέσει μεγάλες απώλειες.
03. R&D Ασφάλεια
Στην εποχή του Διαδικτύου, ο πελάτης δεν μπορεί να έχει απευθείας πρόσβαση και να ελέγξει τον διακομιστή, αλλά αυτό το φαινόμενο έχει αλλάξει στην εποχή του Διαδικτύου των Πραγμάτων. Μέσω του εργαλείου αντιστροφής ανοιχτού κώδικα, Οι χρήστες μπορούν εύκολα να αποκτήσουν τα αρχεία διαμόρφωσης και τις πληροφορίες απλού κειμένου που έχουν απομείνει στο υλικολογισμικό της συσκευής, και στη συνέχεια αποκτήστε απευθείας τα δικαιώματα πρόσβασης της συσκευής, που αποτελεί απειλή για μεγάλο αριθμό συσκευών ίδιας προδιαγραφής.
Θα πρέπει να διεξάγουμε ανάλυση ασφαλείας στο υλικολογισμικό από τις ακόλουθες διαστάσεις, και εξάγει τα αποτελέσματα της ανάλυσης με τη μορφή αναφορών.
(1) Ανάλυση ασφάλειας υπηρεσίας συστήματος αρχείων
● Σαρώνει αυτόματα και λαμβάνει τις βασικές πληροφορίες του συστήματος αρχείων υλικολογισμικού, συμπεριλαμβανομένης της αρχιτεκτονικής της CPU, χρόνος εγκατάστασης, λειτουργία συμπίεσης, τύπος, Μέγεθος, και τη λειτουργία αποθήκευσης του συστήματος αρχείων.
● Αφού λάβετε τις βασικές πληροφορίες για το σύστημα αρχείων, μπορείτε να προσδιορίσετε τον τύπο στόχου σάρωσης και να μεταβείτε σε διαφορετικούς μηχανισμούς σάρωσης.
(2) Σύστημα & κωδικοποίηση ανάλυσης υπηρεσιών
● Λάβετε πληροφορίες υπηρεσίας συστήματος, συμπεριλαμβανομένης της διαδρομής υπηρεσίας συστήματος και της τιμής MD5.
● Με τη λήψη των πληροφοριών υπηρεσίας συστήματος, μπορεί να είναι γνωστή η κατάσταση αυτόματης εκκίνησης της υπηρεσίας συστήματος, και οι πληροφορίες όπως εάν υπάρχουν άγνωστα κακόβουλα σενάρια στην υπηρεσία αυτόματης εκκίνησης μπορούν να μάθουν γρήγορα.
(3) Στοιχείο & ανάλυση ασφάλειας λογισμικού SPA
● Κατευθυντική σάρωση, απόκτηση στοιχείου συστήματος & πληροφορίες λογισμικού, συμπεριλαμβανομένου του στοιχείου & διαδρομή λογισμικού, περιγραφή, και διεύθυνση ιστότοπου;
● Με την απόκτηση του εξαρτήματος & πληροφορίες λογισμικού, μπορείτε να αποκτήσετε γρήγορα τις πληροφορίες έκδοσης του στοιχείου & λογισμικό εγκατεστημένο στο υλικολογισμικό, και στη συνέχεια εκτελέστε σάρωση ασφαλείας ανάλογα.
(4) Ανάκτηση κωδικού πρόσβασης χρήστη
● Σάρωση κατεύθυνσης, λάβετε πληροφορίες κωδικού πρόσβασης χρήστη, συμπεριλαμβανομένης της διαδρομής αρχείου που σχετίζεται με τον κωδικό πρόσβασης, και πληροφορίες κωδικού πρόσβασης;
● Μετά την ανάκτηση κωδικού πρόσβασης χρήστη, μπορεί να αποκαλυφθεί η διαρροή πληροφοριών κωδικού πρόσβασης που προκαλείται από μη τυπική ανάπτυξη υλικολογισμικού.
(5) Ανάλυση ασφάλειας ελέγχου ταυτότητας κρυπτογράφησης
● Σαρώνει αυτόματα και λαμβάνει τις πληροφορίες του αρχείου ελέγχου ταυτότητας κρυπτογράφησης, συμπεριλαμβανομένης της διαδρομής και των πληροφοριών κρυπτογράφησης του αρχείου ελέγχου ταυτότητας κρυπτογράφησης;
● Μετά τον εντοπισμό ελέγχου ταυτότητας κρυπτογράφησης, η διαρροή πληροφοριών ελέγχου ταυτότητας κρυπτογράφησης που προκαλείται από τη μη τυπική ανάπτυξη στο υλικολογισμικό μπορεί να εκτεθεί.
(6) Ανάλυση ευαίσθητων ασφάλεια πληροφοριών
Η αυτόματη σάρωση και η λήψη ύποπτων ευαίσθητων πληροφοριών στο υλικολογισμικό περιλαμβάνει, αλλά δεν περιορίζεται σε σκληρά κωδικοποιημένα Token/key, ρύθμιση παραμέτρων κωδικοποιημένου κωδικού πρόσβασης, ενσωματωμένη IP, σκληρά κωδικοποιημένη διεύθυνση HTTP, διαρροή αρχείου προσωρινής μνήμης, και τα λοιπά., που μπορεί να εκθέσει τη διαρροή ευαίσθητων πληροφοριών που προκαλείται από μη τυπική ανάπτυξη υλικολογισμικού.
(7) Ανίχνευση ευπάθειας CVE
Εντοπίστε γρήγορα πληροφορίες ευπάθειας CVE στο σύστημα αρχείων, συμπεριλαμβανομένου του CVE-ID, χρόνος απελευθέρωσης, περιγραφή, και επίπεδο. Μετά τον εντοπισμό ευπάθειας CVE, μπορείτε να αποκτήσετε τις πιο πρόσφατες πληροφορίες ευπάθειας CVE του λογισμικού που είναι εγκατεστημένο στο τρέχον σαρωμένο υλικολογισμικό.
το διαδίκτυο των πραγμάτων(IoT) ασφάλεια λογισμικού
72% των ηγετών της ασφάλειας πληροφοριών λένε ότι το cloud computing είναι κορυφαία προτεραιότητα για τον ψηφιακό μετασχηματισμό. Το λογισμικό IoT που βασίζεται στο νέφος ενσωματώνει τόσο ψηφιακά όσο και φυσικά στοιχεία ασφάλειας, έτσι ώστε τα δεδομένα να είναι προσβάσιμα και να αξιοποιηθούν από πιο ασφαλή τηλέφωνα.
Τι μπορεί να βασίζεται σε σύννεφο Λογισμικό IoT φέρνουν στην προστασία της ασφάλειας? Αυτό το άρθρο θα σας εξηγήσει πώς το λογισμικό IoT μπορεί να βοηθήσει αποτελεσματικά στη βελτίωση της ασφάλειας στον τομέα της ασφάλειας. Θα εισαγάγει επίσης τον τρόπο συνδυασμού στοιχείων ψηφιακής και φυσικής ασφάλειας για την αντιμετώπιση περιστατικών ασφαλείας.
01. Ο αντίκτυπος του λογισμικού IoT που βασίζεται σε σύννεφο
Το λογισμικό IoT που βασίζεται στο cloud χρησιμοποιείται στις επιχειρήσεις με διάφορους τρόπους. Και οι λύσεις που βασίζονται σε cloud αποφέρουν οφέλη στον χώρο ασφάλειας. Στον πυρήνα του, Η τεχνολογία IoT μεταμορφώνει τον εταιρικό τομέα, ανανέωση του τρόπου λειτουργίας των επιχειρήσεων.
02. Ενσωματώστε λύσεις που βασίζονται σε σύννεφο για να αξιοποιήσετε δεδομένα
Τα δεδομένα είναι πολύ σημαντικά σε κάθε κλάδο, και το πεδίο ασφαλείας δεν αποτελεί εξαίρεση. Με λύσεις που βασίζονται σε σύννεφο, Η αποθήκευση δεδομένων και πληροφοριών σε μια ενιαία διεπαφή μπορεί να βοηθήσει τις εταιρείες να παραμένουν ενήμερες για το τι συμβαίνει στην επιχείρηση.
Επιπλέον, συνδυάζοντας λογισμικό ενισχυμένο με AI και λύσεις που βασίζονται στο cloud, Το προσωπικό ασφαλείας μπορεί να εντοπίσει καλύτερα πιθανές απειλές για την ασφάλεια. Η αξιοποίηση τεχνολογιών IoT που βασίζονται σε σύννεφο μπορεί να αυξήσει την παραγωγικότητα. Λόγω των εκτεταμένων αρμοδιοτήτων του προσωπικού ασφαλείας, Η παρακολούθηση των καμερών σε πραγματικό χρόνο δεν είναι δυνατή. Η τεχνολογία IoT μπορεί να βοηθήσει το προσωπικό ασφαλείας να λαμβάνει πληροφορίες κάμερας και να καταγράφει σχόλια ανά πάσα στιγμή, οπουδήποτε, συμβάλλοντας στη δημιουργία καλύτερων πολιτικών ασφάλειας. Ορισμένες λύσεις IoT παρέχουν ειδοποιήσεις σε πραγματικό χρόνο στο προσωπικό ασφαλείας που συνδυάζει βίντεο σε πραγματικό χρόνο και εργαλεία ανάλυσης τεχνητής νοημοσύνης για τη βελτίωση της λειτουργικότητας του συστήματος ασφαλείας και την επιτάχυνση της απόκρισης σε συμβάντα ασφαλείας.
03. συνδυασμόςμι τη δύναμη της φυσικής και του κυβερνοχώρου ασφάλεια
Ο συνδυασμός ψηφιακής και φυσικής ασφάλειας είναι επωφελής για τη βελτιστοποίηση των συστημάτων ασφαλείας IoT, συμβάλλοντας στην προστασία των συστημάτων από διαδικτυακές παραβιάσεις και παραβιάσεις. Συν, Τα μέτρα φυσικής ασφάλειας συμβάλλουν στην προστασία των εμπιστευτικών πληροφοριών από τους χάκερ. Όσο ισχυρότερη είναι η συγχώνευση στοιχείων ψηφιακής ασφάλειας και ομάδων φυσικής ασφάλειας, τόσο πιο προστατευμένος θα είναι ένας οργανισμός.
04. Αυτόματες ενημερώσεις λογισμικού
Το να διατηρείτε ενημερωμένο όλο το λογισμικό είναι εξαιρετικά σημαντικό για να διασφαλίσετε ότι ο οργανισμός σας δεν εκτίθεται σε απειλές για την ασφάλεια στον κυβερνοχώρο ακόμα και αν παραβιαστούν τα συστήματα IoT. Παραδοσιακά, Τα τοπικά συστήματα ασφαλείας ενημερώνονται χειροκίνητα από πιστοποιημένους επαγγελματίες με κάθε νέα αναβάθμιση. Χρήση λογισμικού που βασίζεται σε σύννεφο, Οι ενημερώσεις δεν μπορούν να πραγματοποιηθούν μόνο επιτόπου ή εξ αποστάσεως, αλλά μπορεί επίσης να αυτοματοποιηθεί, μειώνοντας σημαντικά το κόστος.
05. Απομακρυσμένη λειτουργία
Με την ευέλικτη ανάπτυξη της τεχνολογίας IoT cloud, Το προσωπικό ασφαλείας μπορεί να χειρίζεται εργαλεία ασφαλείας εξ αποστάσεως χρησιμοποιώντας κινητές συσκευές. Για παράδειγμα, το σύστημα ενδοεπικοινωνίας βίντεο που χρησιμοποιείται στο σημερινό σύστημα ελέγχου πρόσβασης επιτρέπει στο προσωπικό ασφαλείας να επαληθεύει την ταυτότητα του επισκέπτη πραγματοποιώντας μια βιντεοκλήση με το smartphone του επισκέπτη. Επιπλέον, Το πρόγραμμα ενδοεπικοινωνίας υποστηρίζει επίσης απομακρυσμένο ξεκλείδωμα. Όταν επιβεβαιωθεί η ταυτότητα του επισκέπτη, η πόρτα μπορεί να ξεκλειδωθεί από απόσταση για να επιτρέψει στον επισκέπτη να εισέλθει. Μέσω της χρήσης τεχνολογίας IoT που βασίζεται σε σύννεφο, η διαδικασία ελέγχου ταυτότητας για τους επισκέπτες απλοποιείται και ο χρόνος επαλήθευσης μειώνεται σημαντικά, ώστε οι επισκέπτες να μπορούν να εισέλθουν στο κτίριο πιο γρήγορα.
06. Συνοψίζω
Υιοθέτηση ενός cloud-based Λύση IoT στη στρατηγική προστασίας της ασφάλειας μιας επιχείρησης ευνοεί τη δημιουργία ενός συστήματος ασφαλείας που συμβαδίζει με την εποχή. Η κυβερνοασφάλεια είναι η απειλή και η πρόκληση που αντιμετωπίζουν οι επιχειρήσεις όταν χρησιμοποιούν τεχνολογία IoT. Αλλά συνδυάζοντας φυσικά και ψηφιακά στοιχεία ασφάλειας, Τα συστήματα IoT που βασίζονται σε σύννεφο μπορούν να προστατεύονται σε μεγάλο βαθμό από τρωτά σημεία και να προστατεύονται καλύτερα για να βοηθήσουν τις επιχειρήσεις να αντιμετωπίσουν το μεταβαλλόμενο τοπίο ασφαλείας.
το διαδίκτυο των πραγμάτων(IoT) ασφάλεια δικτύου
Ταυτόχρονα με τη ραγδαία ανάπτυξη του Διαδικτύου των Πραγμάτων, Συχνά εμφανίζονται επίσης προβλήματα ασφάλειας του Διαδικτύου των Πραγμάτων. Ορισμένα περιστατικά αεροπειρατείας ορυχείων και εξοπλισμού συνέβησαν επανειλημμένα. Τα έξυπνα οικιακά προϊόντα συνεχίζουν να ξεσπούν κενά ασφαλείας, που θα προκαλέσει μη αναστρέψιμες οικονομικές απώλειες όταν αξιοποιηθούν τα κενά. Την ίδια στιγμή, αντικατοπτρίζει επίσης τη σημασία της ασφάλειας ως υποδομής της εφαρμογής Διαδικτύου των Πραγμάτων στο αρχικό στάδιο της κατασκευής της βιομηχανίας του Διαδικτύου των Πραγμάτων.
Τα τελευταία χρόνια, με την ανακάλυψη βασικών τεχνολογιών όπως 5σολ, η ανάπτυξη του Διαδικτύου των Πραγμάτων έχει προχωρήσει με άλματα και όρια. Την ίδια στιγμή, λόγω των επιπτώσεων του Covid-19, οι μορφές γραφείου εξ αποστάσεως εργασίας έχουν αυξηθεί, που όχι μόνο φέρνει ευκολία στις επιχειρήσεις, αλλά παρέχει επίσης ευκολία στους χάκερ να επιτεθούν σε εμπιστευτικές πληροφορίες εταιρείας.
Το Διαδίκτυο των Πραγμάτων έχει διεισδύσει σε όλες τις πτυχές της ζωής μας. Οι συχνές επιθέσεις σε έξυπνες συσκευές απειλούν το προσωπικό απόρρητο και την ασφάλεια. Η υποδομή ζωτικής σημασίας αντιμετωπίζει επίσης τεράστιους κινδύνους για την υλοποίηση του μετασχηματισμού της ψηφιακής δικτύωσης. Η ασφάλεια του IoT απαιτεί τη θέσπιση εύλογων σχεδίων διαχείρισης και κανονισμών για την εξασφάλιση έγκαιρου εντοπισμού και αποτελεσματικής ανάκτησης κινδύνων.
Τα θέματα ασφάλειας του IoT αφορούν κυρίως την ασφάλεια των δεδομένων, μυστικότητα, αντιγραφή, και απειλές συστήματος RFID.
- Επιθέσεις σε RFID: Τεχνολογία RFID είναι μια δημοφιλής τεχνολογία Internet of Things, επί του παρόντος χρησιμοποιείται κυρίως σε «μη επανδρωμένα σούπερ μάρκετ» και σε άλλους τομείς.
- Επίθεση στο WSN: Το WSN είναι το ασύρματο δίκτυο αισθητήρων. Το κατώτερο στρώμα του Διαδικτύου των Πραγμάτων είναι το επίπεδο αντίληψης. Αυτό το στρώμα περιλαμβάνει μεγάλο αριθμό αισθητήρων. Όταν λειτουργούν οι αισθητήρες, θα δημιουργήσουν μεγάλο όγκο δεδομένων. Μόλις αναχαιτιστούν από εγκληματίες κατά τη διαδικασία μετάδοσης, οι συνέπειες θα είναι αδιανόητες. Το WSN έχει επί του παρόντος σχετικές εφαρμογές στον στρατό.
- Επιθέσεις σε δρομολογητές: Οι δρομολογητές είναι πολύ σημαντικές συσκευές δικτύου. Κάποτε επιτέθηκε, το δίκτυο μπορεί να παραλύσει. Επιπλέον, υπάρχουν επιθέσεις στις γραμμές επικοινωνίας, επιθέσεις σε χρήστες, και επιθέσεις σε διακομιστές.
ΕΙΔΙΚΑ, Οι κύριες απειλές ασφαλείας που αντιμετωπίζει αυτή τη στιγμή το Διαδίκτυο των Πραγμάτων μπορούν να συνοψιστούν ως τρεις πτυχές του «νέφους, σωλήνας, και τέλος» ασφάλεια:
(1) Ασφάλεια τερματικού Internet of Things
Η πρώτη πτυχή είναι η ασφάλεια τερματικού IoT. Ως αντιπροσωπευτικό προϊόν της βαθιάς ολοκλήρωσης του χώρου πληροφοριών και του φυσικού χώρου, Τα τερματικά IoT έχουν επεκταθεί γρήγορα από πρωτοποριακά προϊόντα για προσωπική κατανάλωση σε διάφορους τομείς της οικονομίας και της κοινωνίας. Προικίζει την εκπαίδευση, ιατρική φροντίδα, λιανεμποριο, ενέργεια, κατασκευή, αυτοκίνητο, και πολλές άλλες βιομηχανίες με νέα μέσα εξυπηρέτησης, και υποστηρίζει τη βελτίωση των βασικών αστικών λειτουργιών όπως το κυβερνητικό γραφείο, δημόσια ασφάλεια, Μεταφορά, και logistics. Ο υπάρχων τερματικός εξοπλισμός IoT εστιάζει στην υλοποίηση λειτουργιών, ενώ οι κατασκευαστές παραδοσιακού εξοπλισμού έχουν ανεπαρκείς δυνατότητες ασφάλειας, εξετάστε παράγοντες όπως ο χρόνος και το κόστος, και γενικά αγνοούν ζητήματα ασφάλειας στο σχεδιασμό τερματικού.
Τα τερματικά IoT μπορούν να χωριστούν σε έξυπνα τερματικά και μη έξυπνα τερματικά. Οι περισσότερες ευφυείς τερματικές συσκευές έχουν ενσωματωμένα λειτουργικά συστήματα και τερματικές εφαρμογές, ενώ οι περισσότερες μη έξυπνες τερματικές συσκευές έχουν μια ενιαία δομή και λειτουργία, και εκτελούν μόνο λειτουργίες όπως συλλογή και μετάδοση δεδομένων. Επομένως, Οι ευφυείς τερματικές συσκευές αποτελούν μεγαλύτερη απειλή για την ασφάλεια των πληροφοριών.
(2) Ασφάλεια αγωγών IoT
Η δεύτερη πτυχή είναι η ασφάλεια του αγωγού IoT. Ο «σωλήνας» του Διαδικτύου των πραγμάτων είναι ο αγωγός που συνδέει το «σύννεφο» και το «τέλος». Η ασφάλεια του «σωλήνα» του Διαδικτύου των πραγμάτων είναι η ασφάλεια του αγωγού πληροφοριών με μεγάλη χωρητικότητα και ευφυΐα. Σύμφωνα με την έρευνα του αγωγού πληροφοριών του Διαδικτύου των πραγμάτων, Διαπιστώθηκε ότι υπάρχουν τέσσερις κύριες απειλές ασφαλείας για την ασφάλεια του αγωγού του Διαδικτύου των Πραγμάτων.
(3) Ασφάλεια υπηρεσιών cloud στο Internet of Things
Τρίτος, Ασφάλεια υπηρεσιών σύννεφων Internet of Things. Γενικά μιλώντας, Οι υπηρεσίες cloud Internet of Things χρησιμοποιούνται όταν οι πληροφορίες κοινοποιούνται με άλλα μέρη. Επομένως, Η προστασία της ασφάλειας των υπηρεσιών cloud είναι επίσης ένας βασικός σύνδεσμος για την προστασία της ασφάλειας του Διαδικτύου των πραγμάτων.
Τρόποι βελτίωσης της ασφάλειας του Διαδικτύου των πραγμάτων
Οι επιχειρήσεις πρέπει να βελτιώσουν την ασφάλεια των συσκευών IoT διαφορετικά θα προκαλέσουν τεράστιες οικονομικές απώλειες και απώλειες φήμης. Η κρυπτογράφηση δεδομένων και η εσωτερική παρακολούθηση είναι μερικοί από τους τρόπους με τους οποίους οι εταιρείες μπορούν να επικεντρωθούν στη βελτίωση της ασφάλειας των συσκευών IoT.
01. Χρησιμοποιήστε υποδομή cloud και προστασία λογισμικού
Η συσκευή δικτύου Cumulonimbus διατηρεί τη συσκευή ασφαλή, καθώς βοηθά στη διατήρηση της εμπιστευτικότητας και της ακεραιότητας των πληροφοριών που καταγράφονται από τη συσκευή. Την ίδια στιγμή, οι πληροφορίες στην ανταλλαγή μπορούν να κρυπτογραφηθούν και να προστατεύονται από τους χάκερ.
02. Σχέδιο ένα ασφάλεια συσκευή και δημιουργήστε ένα ξεχωριστό δίκτυο
Ο σχεδιασμός μιας καλύτερης συσκευής που θα επικεντρώνεται στη βελτίωση της ασφάλειας των συσκευών IoT είναι σημαντικός. Μια έγκαιρη εσωτερική αναθεώρηση της συμπεριφοράς της συσκευής υπό ορισμένες συνθήκες είναι σημαντική για την αλλαγή του συστήματος της συσκευής.
03. Ισχύουν ΕγώοΤ API προς την προφυλαχτείτε από πλαστογράφηση ταυτότητας
Ο ρόλος της προστασίας ασφάλειας API είναι να επιτρέπει μόνο σε εξουσιοδοτημένες συσκευές να επικοινωνούν μεταξύ τους. Οι εταιρείες και οι χρήστες μπορούν να ειδοποιούνται για οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση και λειτουργία του συστήματος.
στον σημερινό κόσμο, ο αριθμός των συσκευών IoT που χρησιμοποιούνται αυξάνεται. Την ίδια στιγμή, Η ανάπτυξη του IoT αντιμετωπίζει προκλήσεις. Οι επιχειρήσεις θα πρέπει σταδιακά να αναγνωρίσουν τη σημασία της ασφάλειας του IoT και να ενισχύσουν περαιτέρω την τεχνολογία για την προστασία της ασφάλειας των συσκευών.
Σε ποιες βιομηχανίες είναι πιο ευάλωτες ΕγώοΤ απειλές για την ασφάλεια?
Τα ζητήματα ασφάλειας του IoT διαπερνούν όλους τους κλάδους και τους τομείς. Δηλαδή, εφόσον ο κλάδος σχετίζεται με την ανθρώπινη ζωή και περιουσία, είναι ευάλωτο στην απειλή ασφαλείας του Διαδικτύου των Πραγμάτων.
Για παράδειγμα, μια επίθεση σε ένα σύστημα ψύξης που φιλοξενεί ένα φάρμακο, παρακολουθείται από σύστημα IoT, θα μπορούσε να διαταράξει τη βιωσιμότητα ενός φαρμάκου εάν η θερμοκρασία παρουσιάζει διακυμάνσεις. Επίσης, τις επιπτώσεις των επιθέσεων σε πετρελαιοπηγές, συστήματα νερού, και ενεργειακά δίκτυα, κρίσιμες υποδομές που επηρεάζουν σε μεγάλο βαθμό την ανθρώπινη ζωή, μπορεί να είναι καταστροφική.
Ωστόσο, άλλες επιθέσεις δεν πρέπει να υποτιμώνται. Για παράδειγμα, μια επίθεση σε μια έξυπνη κλειδαριά πόρτας θα μπορούσε να επιτρέψει στους κλέφτες να εισέλθουν σε ένα έξυπνο σπίτι. Ή, σε άλλες περιπτώσεις, Όπως 2013 Στοχεύστε το hack ή άλλες παραβιάσεις ασφάλειας, οι εισβολείς μπορούν να παραδώσουν κακόβουλο λογισμικό μέσω συνδεδεμένων συστημάτων (το σύστημα HVAC στη θήκη-στόχο) να κλέψει προσωπικά αναγνωρίσιμες πληροφορίες και να προκαλέσει τον όλεθρο στους πληγέντες.
01. Πώς μπορώ ΕγώοΤ συστήματα και συσκευές να προστατεύονται
Η προσέγγιση ασφάλειας του IoT εξαρτάται από την εφαρμογή IoT και από το πού βρίσκεται η επιχείρηση στο οικοσύστημα IoT. Η ανάπτυξη και η ενσωμάτωση ασφαλούς λογισμικού πρέπει να είναι ένα σημαντικό επίκεντρο στην αρχή του λογισμικού IoT. Η ανάπτυξη συστημάτων IoT απαιτεί προσοχή στον έλεγχο ταυτότητας και στην ασφάλεια υλικού. Επίσης, για χειριστές, διατηρώντας τα συστήματα ενημερωμένα, μείωση του κακόβουλου λογισμικού, ελεγκτική υποδομή, και η διασφάλιση των διαπιστευτηρίων είναι κρίσιμης σημασίας.
Πρότυπα ασφαλείας και νομοθεσία για το Διαδίκτυο των πραγμάτων (ΗΠΑ και Ευρώπη)
01. Οδηγίες ασφάλειας της ΕΕ για το Διαδίκτυο των πραγμάτων
Ο Οργανισμός Κυβερνοασφάλειας της ΕΕ έχει εκδώσει κατευθυντήριες γραμμές για την ασφάλεια για το Διαδίκτυο των πραγμάτων. Επί 9 Νοέμβριος 2020, του Οργανισμού Κυβερνοασφάλειας της Ευρωπαϊκής Ένωσης (ENISA) δημοσίευσε τις Οδηγίες ασφαλείας για το Διαδίκτυο των πραγμάτων (IoT) (εφεξής οι κατευθυντήριες γραμμές), που στοχεύει να βοηθήσει τους κατασκευαστές IoT, προγραμματιστές, ολοκληρωτές, και τα ενδιαφερόμενα μέρη που κατέχουν αλυσίδες εφοδιασμού IoT λαμβάνουν τις καλύτερες αποφάσεις κατά την κατασκευή, την ανάπτυξη, ή αξιολόγηση τεχνολογιών IoT. Ο στόχος των κατευθυντήριων γραμμών είναι ο καθορισμός και ο εντοπισμός προκλήσεων και απειλών για την ασφάλεια του IoT για τη διασφάλιση της ασφάλειας της εφοδιαστικής αλυσίδας IoT. Οι κατευθυντήριες γραμμές δίνουν πέντε συστάσεις: Πρώτα, Οι οντότητες IoT θα πρέπει να χτίζουν καλύτερες σχέσεις μεταξύ τους, συμπεριλαμβανομένης της προτεραιότητας της συνεργασίας με προμηθευτές που παρέχουν εγγυήσεις κυβερνοασφάλειας, εργάζονται για τη βελτίωση της διαφάνειας, ανάπτυξη καινοτόμων μοντέλων εμπιστοσύνης, και παροχή δεσμεύσεων ασφάλειας στους πελάτες. Το δεύτερο είναι η περαιτέρω διάδοση της επαγγελματικής γνώσης της ασφάλειας δικτύου, ενίσχυση της συντήρησης και της εκπαίδευσης των επαγγελματιών, και να ενισχύσουν την ευαισθητοποίηση για την ασφάλεια των χρηστών του Διαδικτύου των πραγμάτων. Τρίτος, Η ασφάλεια επιτυγχάνεται με τη βελτίωση των προτύπων σχεδίασης IoT, συμπεριλαμβανομένης της υιοθέτησης αρχών σχεδιασμού ασφάλειας, τη χρήση αναδυόμενων τεχνολογιών για τον έλεγχο και τον έλεγχο ασφάλειας, και την εφαρμογή μηχανισμών απομακρυσμένης ενημέρωσης. Τέταρτος, υιοθετήσει μια πιο ολοκληρωμένη και σαφή προσέγγιση για τη βελτίωση της ασφάλειας, συμπεριλαμβανομένης της κατάρτισης ολοκληρωμένων σχεδίων δοκιμών, ενσωμάτωση μηχανισμών ελέγχου ταυτότητας σε κυκλώματα, και χρήση εργοστασιακών ρυθμίσεων από προεπιλογή. Πέμπτος, κάνουν πλήρη χρήση των υφιστάμενων προτύπων και επιτυχημένων πρακτικών για τη βελτίωση της ασφάλειας των προϊόντων και της ποιότητας των υπηρεσιών στην αλυσίδα εφοδιασμού.
02. Οι ΗΠΑ. Internet of Things Cyber Νόμος για τη Βελτίωση της Ασφάλειας 2020
Το νομοσχέδιο ψηφίστηκε τον Σεπτέμβριο 14, 2020. Δεδομένου ότι η ασφάλεια συσκευών IoT είναι μια αναδυόμενη πρόκληση στον κυβερνοχώρο με προτεραιότητα εθνικής ασφάλειας, το νομοσχέδιο αποσκοπεί στη βελτίωση της ασφάλειας των ομοσπονδιακών συσκευών που είναι συνδεδεμένες στο Διαδίκτυο αντιμετωπίζοντας ανησυχίες για την ασφάλεια στον κυβερνοχώρο πριν από την εισαγωγή των συσκευών IoT σε ομοσπονδιακή χρήση. Ο νόμος απαιτεί από όλες τις συσκευές IoT που χρησιμοποιούνται από την ομοσπονδιακή κυβέρνηση να πληρούν τα ελάχιστα πρότυπα ασφαλείας που δημοσιεύονται από το NIST.
03. Αυστραλιανός Κώδικας Πρακτικής: ΕγώοΤ Προστασία των Καταναλωτών
Ο νόμος δημοσιεύτηκε από την αυστραλιανή κυβέρνηση τον Σεπτέμβριο 3, 2020, και έχει θεωρηθεί ως ένα πρώτο βήμα προς τη βελτίωση της ασφάλειας των συσκευών IoT στη χώρα. Λαμβάνοντας υπόψη τον παγκόσμιο χαρακτήρα της ασφάλειας συσκευών IoT, τα βιομηχανικά πρότυπα που προτείνονται από τον Κώδικα Δεοντολογίας είναι συνεπή με άλλα διεθνή πρότυπα και βασίζονται σε 13 αρχές, κυρίως χωρίς επανάληψη αδύναμων ή προεπιλεγμένων κωδικών πρόσβασης, εφαρμογή πολιτικών αποκάλυψης ευπάθειας, συνεχείς ενημερώσεις ασφαλείας λογισμικού, Τα διαπιστευτήρια αποθηκεύονται με ασφάλεια, διασφαλίζεται η προστασία των προσωπικών δεδομένων, ελαχιστοποιείται η έκθεση σε επιφάνειες επίθεσης, οι επικοινωνίες είναι ασφαλείς, διασφαλίζεται η ακεραιότητα του λογισμικού, τα συστήματα είναι ανθεκτικά σε διακοπές, συστήματα παρακολούθησης δεδομένων μετρήσεων, και τα λοιπά. Ανάμεσα τους, κρυπτογράφηση, αποκάλυψη ευπάθειας, και η ενέργεια ενημέρωσης ασφαλείας συνιστώνται ως οι τρεις βασικές αρχές που δίνει προτεραιότητα ο κλάδος, επειδή επιτρέπουν τα μεγαλύτερα οφέλη ασφαλείας σε σύντομο χρονικό διάστημα.
04. Ομοιότητες και διαφορές μεταξύ των ευρωπαϊκών, ΜΑΣ, και αυστραλιανούς νόμους και οδηγίες για την ασφάλεια του IoT
Οι Πράξεις βελτιώνουν τα πρότυπα προστασίας ασφάλειας για συσκευές IoT με πολλούς τρόπους. Αυτό το άρθρο εισάγει μια σειρά προτύπων ασφαλείας για συσκευές IoT στην Ευρωπαϊκή Ένωση, οι Ηνωμένες Πολιτείες, και την Αυστραλία, όπως η διασφάλιση ότι η πολυπλοκότητα του κωδικού πρόσβασης της συσκευής είναι αρκετά υψηλή, μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων, διασφαλίζοντας την ασφάλεια των διαπιστευτηρίων ταυτότητας, όπως η ασφαλής αποθήκευση, έγκαιρη αποκάλυψη, και επιδιόρθωση τρωτών σημείων ασφαλείας, Παρέχοντας τακτικές ενημερώσεις ασφαλείας για την ελαχιστοποίηση της έκθεσης στην επιφάνεια επιθέσεων στον κυβερνοχώρο και πολλά άλλα.
Και οι τρεις Πράξεις επικεντρώνονται στην ενίσχυση της προστασίας του προσωπικού απορρήτου στο Internet of Things. Νόμοι και κατευθυντήριες γραμμές στην ΕΕ, ΜΑΣ, και η Αυστραλία καθιστούν την προστασία της ιδιωτικής ζωής σημαντικό μέρος της ασφάλειας του IoT. Για παράδειγμα, Η Αυστραλία έχει προτείνει στον κώδικα πρακτικής της ότι οι συσκευές IoT θα πρέπει να έχουν προστασία απορρήτου από προεπιλογή, και ότι τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία με την προηγούμενη συγκατάθεση του χρήστη. Και η συσκευή θα πρέπει να υποστηρίζει τους χρήστες να διαγράφουν προσωπικά δεδομένα ανά πάσα στιγμή και να έχουν το δικαίωμα και το χρόνο να ανακαλέσουν το απόρρητο, ώστε να μεγιστοποιηθεί η προστασία του προσωπικού απορρήτου και των ευαίσθητων δεδομένων των χρηστών.
Η κάλυψη και ο στόχος των Πράξεων είναι διαφορετικοί. Ο Αυστραλιανός Κώδικας Δεοντολογίας είναι προσανατολισμένος στον καταναλωτή, συμβάλλοντας στην ευαισθητοποίηση σχετικά με τις προστασίες ασφαλείας που σχετίζονται με τις συσκευές IoT, αύξηση της εμπιστοσύνης των καταναλωτών στην τεχνολογία IoT, και δίνοντας τη δυνατότητα στην Αυστραλία να επωφεληθεί από την εξάπλωσή της. Οι κατευθυντήριες γραμμές της ΕΕ στοχεύουν οντότητες της εφοδιαστικής αλυσίδας IoT, όπως προγραμματιστές συσκευών και λογισμικού IoT, κατασκευαστές, ειδικοί σε θέματα ασφάλειας, ομάδες προμηθειών, και άλλες οντότητες εφοδιαστικής αλυσίδας. Μελετώντας και ανταποκρινόμενοι σε διαφορετικές απειλές για την ασφάλεια που αντιμετωπίζει η αλυσίδα εφοδιασμού σε διαφορετικά στάδια, ο σκοπός της οικοδόμησης ενός ασφαλούς οικοσυστήματος IoT επιτυγχάνεται. Ο νόμος των ΗΠΑ καλύπτει κυρίως την ομοσπονδιακή κυβέρνηση των ΗΠΑ και στοχεύει να ρυθμίσει την αξιολόγηση ασφάλειας των συσκευών IoT από την κυβέρνηση και να διασφαλίσει ότι οι συσκευές IoT που αγοράζονται και χρησιμοποιούνται από κυβερνητικές υπηρεσίες πληρούν τα πρότυπα ασφαλείας.
Η κυβερνητική ρύθμιση για την ασφάλεια του IoT έχει ποικίλα αποτελέσματα. Οι Οδηγίες της ΕΕ και ο Κώδικας Πρακτικής της Αυστραλίας δεν είναι υποχρεωτικά ως συνιστώμενα μέτρα από αρμόδιους κρατικούς φορείς. Οι ΗΠΑ. Το νομοσχέδιο είναι κυβερνητικό και περιέχει πολλές εντολές, όπως μια ρητή απαίτηση για το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) για τη δημοσίευση προτύπων και κατευθυντήριων γραμμών για τη χρήση της ασφάλειας συσκευών με δυνατότητα Internet 90 ημέρες μετά την ψήφιση από την ομοσπονδιακή υπηρεσία του νομοσχεδίου για την καθοδήγηση των εκτελεστικών υπηρεσιών και των προϋπολογισμών Διεξαγωγή λογοκρισίας στο διαδίκτυο; η ομοσπονδιακή κυβέρνηση και οι υπηρεσίες δεν θα αγοράσουν ή θα χρησιμοποιήσουν συσκευές IoT που δεν πληρούν τις απαιτήσεις ασφαλείας.
