A implantação da IoT levanta uma série de problemas de segurança da IoT relacionados aos recursos dos dispositivos IoT, como a necessidade de algoritmos de criptografia leves em termos de capacidades de processamento e armazenamento, e o uso de protocolos padrão.dispositivos IoT são mais vulneráveis a ameaças de segurança do que os computadores tradicionais baseados na Internet devido ao seu menor poder de processamento e recursos de memória limitados, exacerbando a aplicação da proteção. A atual transição do protocolo de rede da Internet de IPv4 para IPv6 significa que cada vez mais dispositivos IoT têm endereços IP globais, o que pode ajudar a identificar esses dispositivos como alvos de ataques de segurança. A operação autônoma e a comunicação de dispositivos IoT também facilitam ataques de segurança. Portanto, soluções de segurança novas e mais poderosas para sistemas IoT são urgentemente necessárias. Este artigo irá guiá-lo pela Internet das Coisas, da rede ao hardware, Programas, e outras questões de segurança em todos os níveis da discussão.
1. Quais são os problemas de segurança da IoT?
As preocupações de segurança da IoT têm muito em comum com a segurança de TI. No entanto, Os sistemas IoT exigem mais sensibilidade e confidencialidade à medida que entram e digitalizam a vida privada de um indivíduo. A sensibilidade da tecnologia IoT decorre dos altos requisitos de segurança, com confidencialidade extremamente alta, autenticidade, privacidade, e integridade. Existem problemas físicos e lógicos com a segurança da IoT. Por um lado, o problema físico é a energia do dispositivo. A maioria dos dispositivos IoT são alimentados por baterias, então a energia é relativamente insuficiente. Por outro lado, Dispositivos IoT têm poder de processamento relativamente baixo e recursos de memória limitados. Existem problemas lógicos na autenticação, proteção contra malware, proteção de privacidade, e vigilância.
A Internet e sua pilha de tecnologia existem há décadas. Durante este tempo, uma arquitetura centralizada de cliente e servidor foi a base sobre a qual as plataformas e serviços atuais foram construídos. Essas arquiteturas também podem ser complicadas do ponto de vista da IoT. Por exemplo, quando uma infinidade de sensores sem fio precisa enviar seus dados de volta para um serviço centralizado, um serviço monolítico deve ser capaz de distribuir atualizações de segurança para uma rede de sensores descentralizada ou distribuída. Estas redes de sensores normalmente se beneficiam de uma arquitetura de comunicação descentralizada, que tem um grande Até certo ponto, é autogerenciado. Tradicionalmente, uma barreira para a criação de uma arquitetura descentralizada tem sido a confiança de outros participantes. A introdução da criptomoeda Bitcoin pressupõe que não há necessidade de confiança entre duas partes. Isto é conseguido através da incorporação de um mecanismo de consenso distribuído como prova de validação de novas transações, ao mesmo tempo em que se aproveita o histórico de transações anteriores.. Portanto, isso se estende ao desenho de transações generalizadas fora do escopo das criptomoedas. Hoje, esse mecanismo generalizado geralmente leva o nome de blockchain.
Atenção recente dos reguladores, especialmente na União Europeia, gerou maior foco na segurança e privacidade no espaço IoT. A adoção da tecnologia blockchain tem grande potencial como solução viável para futuros sistemas IoT atenderem aos requisitos regulatórios. Em relação aos requisitos regulamentares para o design de dispositivos IoT, o Parlamento Europeu aprovou recentemente novas directivas e regulamentos. Esses requisitos, que pode ser considerado o mais rigoroso do mundo, aplicam-se a fabricantes de dispositivos, bem como a fornecedores de serviços e plataformas, se fornecerem à UE ou processarem dados pessoais de residentes na UE.
Além disso, Os estados membros da UE fornecem alguns regulamentos setoriais específicos para áreas que lidam com informações confidenciais, como cuidados de saúde e serviços financeiros. Os Estados Unidos carecem de legislação geral de protecção de dados ou de privacidade e dependem principalmente de um pequeno número de legislação relacionada com a privacidade relacionada com a indústria. A abordagem americana para projetar sistemas de informação torna mais difícil chegar a conclusões comuns sobre a manutenção de um certo nível de privacidade. Por exemplo, enquanto o mesmo sistema IoT pode ser usado em diferentes regiões, a falta de requisitos ou definições comuns de privacidade sugere que. O fabricante deve, portanto, antecipar pelo menos um pouco o uso pretendido do sistema de design, e o uso pretendido do sistema de design se ele fosse impedido de entrar nos EUA. mercado.
Por outro lado, as pessoas poderiam encarar os requisitos regulamentares da UE como uma referência das obrigações a cumprir ao lidar com dados pessoais ou ao lidar com operadores de determinadas infra-estruturas importantes. Existem duas leis e regulamentos da UE responsáveis pelo desenvolvimento e gestão de sistemas de informação. Eles são o Regulamento Geral de Proteção de Dados (GDPR) e a Diretiva Segurança das Redes e dos Sistemas de Informação (Diretiva SRI).
O GDPR pode ter algumas nuances entre os estados membros, mas estabelece as bases para um mercado único digital unificado na UE. Como uma diretriz, os Estados-Membros podem adotar uma abordagem diferente em relação aos SRI, embora defina o que pode ser considerado um nível mínimo de responsabilidade de segurança para sistemas de informação.
O que é Internet das Coisas(IoT) Privacidade?
Com o desenvolvimento de Tecnologia IoT, a tecnologia digital penetrou ainda mais em nossa vida e meio ambiente. De acordo com a Strategy Analytics, o número de dispositivos conectados em todo o mundo atingiu 22 bilhões até o final de 2018 e espera-se que alcance 50 bilhão por 2030. Com base em dados otimistas, a combinação de IoT e inteligência artificial criará uma forma de comunicação mais inteligente. Geral, o impacto social e económico da Internet das Coisas será significativo, com dispositivos conectados integrados em todos os aspectos de nossas vidas, de wearables à Internet de veículos, de casas inteligentes à Internet de tudo. A conveniência e onipresença da Internet das Coisas trará enormes benefícios, mas também significa que a recolha de informação passa do mundo online para o mundo offline, com nossos corpos e espaços privados se tornando a fonte de coleta de informações. Nesse contexto, a Internet das Coisas, especialmente as questões de privacidade relacionadas à Internet das Coisas do consumidor, tornou-se o foco das atenções. Em setembro 19, a Internet Society divulgou um relatório sobre privacidade da IoT chamado “Policy Brief: Privacidade de IoT para formuladores de políticas “, que analisa os riscos e desafios trazidos pela Internet das Coisas para a proteção da privacidade pessoal, e apresenta recomendações de ação específicas para os formuladores de políticas, Provedores de serviços IoT e outras partes interessadas, e apela ao fortalecimento do modelo de governação de participação colaborativa de múltiplas partes interessadas.
O desenvolvimento da Internet das Coisas permite que objetos e sensores do cotidiano, além dos computadores, gerem, troque e consuma dados com menos intervenção humana. Hoje, a Internet das Coisas mostra a tendência de desenvolvimento em escala (o número de dispositivos conectados continua a aumentar), intimidade (dispositivos vestíveis e dispositivos implantados no corpo humano, etc.), onipresente, sempre conectado, e inteligente. Mas esta escala de desenvolvimento pode impactar as proteções de privacidade, permitindo que os indivíduos sejam mais facilmente identificados, monitorados, perfilado, e influenciado.
Os desafios da Internet das Coisas para a proteção da privacidade pessoal incluem: Primeiro, a proteção da Internet das Coisas abrange uma ampla gama, incluindo os limites regulatórios de diferentes departamentos e jurisdições. Por um lado, a legislação de privacidade tende a ser segmentada por domínio, como privacidade médica, privacidade financeira, privacidade do aluno, etc., e os dispositivos e serviços IoT são difíceis de categorizar. Por outro lado, diferentes países e regiões podem ter legislações de privacidade diferentes para dispositivos e serviços IoT e enfrentarão regulamentações diferentes quando a coleta e o processamento de dados ocorrerem em jurisdições diferentes. Segundo, é difícil para a IoT obter consentimento informado dos usuários. Quando a IoT é implantada, além de obter o consentimento informado do proprietário do dispositivo, é difícil obter o consentimento de outras pessoas ao mesmo tempo. Os dispositivos IoT não são diferentes de coisas comuns como relógios, caixas de som, e televisões, então é difícil saber se um dispositivo está coletando e processando dados. Finalmente, Desafios da IoT o princípio da transparência da proteção da privacidade. Por exemplo, ao contrário dos sites, aplicativos, etc., Dispositivos e serviços IoT podem não conseguir apresentar suas políticas de privacidade aos usuários, e podem não fazer um bom trabalho ao informar aos usuários que estão coletando dados.
Para melhor responder a estes desafios e reforçar a proteção da privacidade pessoal relacionada com a Internet das Coisas, a Internet Society apresentou quatro recomendações: Primeiro, fortalecer o controle significativo dos usuários sobre dispositivos e serviços IoT, e fortalecer o gerenciamento de dados IoT. Especificamente, inclui: esclarecer as responsabilidades dos prestadores de serviços, incluindo a obtenção do consentimento informado dos usuários ao coletar dados pessoais, aumentando a transparência, e armazenar dados com segurança, etc.; promoção de padrões abertos e interoperabilidade em dispositivos e serviços IoT; e encorajando práticas de minimização de dados. Segundo, melhorar a transparência da coleta e uso de dados do usuário. Por exemplo, notificar os usuários sobre os recursos do dispositivo IoT e a coleta de dados de uma maneira que seja fácil de entender pelos usuários, configurar funções efetivas de consentimento e cancelamento para usuários, melhorar a clareza da política de privacidade, melhorar a transparência ao longo do ciclo de vida dos dados, e garantir privacidade e segurança. Está protegido durante todo o ciclo de vida do produto, etc. Terceiro, a legislação e as políticas de privacidade acompanham os desenvolvimentos tecnológicos. Especificamente, inclui: melhorar as leis existentes de privacidade e proteção ao consumidor; rever a adaptabilidade e o âmbito das leis de proteção da privacidade; fortalecer as proteções legais para pesquisadores de privacidade para garantir que eles não incorram em riscos legais ao investigar questões de privacidade; O uso generalizado de redes não agrava a discriminação e as práticas injustas; introduzir avaliação de impacto de privacidade no desenvolvimento de IoT, etc. Quarto, fortalecer a participação de múltiplas partes interessadas. Resolver riscos e desafios relacionados à IoT requer a participação conjunta do governo, o público, indústria, academia, organizações sociais, e pessoal técnico. Um amplo diálogo deve ser realizado a nível social, e deve ser dada atenção ao direito de expressão dos consumidores.
Geral, a combinação da IoT com tecnologias emergentes, como computação em nuvem e inteligência artificial transformará nossa economia e sociedade de muitas maneiras. A tecnologia traz grandes oportunidades, mas também traz riscos. É preciso tomar medidas apropriadas para garantir que os benefícios da IoT superem em muito os riscos de privacidade, segurança, etc. Isto requer a cooperação de todas as partes interessadas, incluindo governos, fabricantes, consumidores, etc., garantir que as tecnologias IoT sejam desenvolvidas de maneira responsável e sustentável. Países estrangeiros já estão promovendo legislação de privacidade e segurança da IoT. A legislação precisa levar em conta as características dos dispositivos e serviços IoT e adotar mecanismos regulatórios flexíveis e razoáveis. Por exemplo, mesmo no GDPR da UE, o consentimento informado dos usuários não é a única base legal para os provedores de serviços coletarem e processarem informações pessoais dos usuários. Portanto, a política de privacidade da Internet das Coisas não deve limitar-se ao consentimento informado, mas deve considerar as características técnicas, e sob certas circunstâncias, será transformado de permissão prévia em obrigações de proteção de dados em processo e pós-evento. Além disso, a consciência da privacidade do consumidor despertou. Por exemplo, em uma pesquisa, 77% dos consumidores indicaram que a capacidade de proteção da privacidade e a segurança da IoT são fatores importantes a serem considerados na tomada de decisões de compra. Os fabricantes de IoT devem considerar questões de privacidade do usuário e segurança de dados ao desenvolver e construir IoT. Pratique o conceito de “privacidade desde a concepção” e fortaleça o controle dos usuários sobre os dados.
Por que é EUóT segurança crítico?
01. Por que a segurança da IoT é tão crítica hoje
Hoje, Dispositivos e aplicativos da Internet das Coisas são amplamente utilizados no trabalho e na vida das pessoas, e quase todos os objetos se tornarão inteligentes para aproveitar os benefícios de estarem conectados à Internet global.
Enquanto nos primeiros dias, as ameaças de rede estavam focadas nas instalações de TI corporativas, no mundo moderno eles se tornaram mais difundidos e frequentes. Antes de discutir medidas de segurança para a Internet das Coisas, é importante compreender alguns dos vetores de ameaças de rede que cercam a Internet das Coisas.
02. Vetores de ameaças comuns para a Internet das Coisas
Os vetores de ameaça referem-se aos caminhos ou meios pelos quais os cibercriminosos podem obter acesso aos principais sistemas de uma empresa que operam na rede.. Alguns dos vetores de ameaças mais comuns na IoT são:
(1) Sem limites físicos
A fronteira da rede IoT é mais aberta do que a fronteira tradicional da Internet. Os métodos tradicionais de segurança para restringir o acesso aos dispositivos não estão mais disponíveis. Esses dispositivos IoT se movem para qualquer novo local quando necessário e têm acesso à rede.
(2) Vazamento de dados de Wi-Fi e Bluetooth
As configurações de Wi-Fi e Bluetooth na IoT são as principais fontes de vazamento de dados. Bluetooth e WI-FI com senhas fracas podem ser facilmente roubados por invasores de rede durante a transmissão de dados. Também, na maioria dos casos, a senha usada para configuração não é definida exclusivamente para cada dispositivo. Se apenas um dispositivo for atacado e comprometido pela rede, uma lacuna é deixada para acesso não autorizado.
(3) Acesso físico a dispositivos IoT
Os invasores cibernéticos obtêm acesso físico a dispositivos e cargas de trabalho de IoT, o pior de todos os vetores de ameaça. Com este acesso, os ciberataques podem facilmente obter acesso às informações internas dos dispositivos IoT e ao seu conteúdo. E usando ferramentas como BusPirate, Shikra, ou LogicAnalyzers, eles também podem ler todo o tráfego na rede. Com acesso físico, invasores cibernéticos podem extrair senhas, modificar seus programas, ou substituí-los por outros dispositivos que eles controlam.
03. EuT contra a TI
Embora muitos dispositivos IoT estejam no limite, a infraestrutura de TI está na nuvem. Ameaças à segurança da IoT podem fazer com que invasores cibernéticos obtenham acesso às principais redes de TI por meio de vetores de ameaças da IoT. Aqui estão alguns ataques cibernéticos da vida real.
- O acesso à rede através do sistema HVAC leva a uma violação de dados
De acordo com relatos da mídia, Alvo Inc., um dos melhores 10 varejistas nos EUA, foi hackeado para roubar 40 milhões de números de cartão de crédito da empresa. É uma das maiores violações de dados do mundo. Hackers invadiram sistemas HVAC roubando credenciais de terceiros e obtendo acesso a redes corporativas.
- SubwayPoS sofre ataque hacker
Atualmente existem alguns relatos de bugs de segurança relacionados ao PoS. A violação no SubwayPoS resultou na perda de $10 milhão, com pelo menos 150 das franquias do Subway direcionadas. Um hack semelhante ocorreu na livraria americana Barnes & Nobre, em que leitores de cartão de crédito em 63 lojas foram atacadas e comprometidas.
Ransomware SamSam
Outro caso bem conhecido de violação de sistema é o ataque cibernético do ransomware SamSam, que atingiu administrações como o Departamento de Transportes do Colorado e o Porto de San Diego em 2018 e interromperam abruptamente seus serviços.
04. Regulamentos da IoT
Embora alguns regulamentos de IoT tenham sido emitidos por alguns países e regiões, eles não são suficientes para mitigar os riscos envolvidos em ataques cibernéticos. A Califórnia tem regulamentações razoáveis de nível de segurança quando se trata de conter ataques cibernéticos. Da mesma maneira, o Reino Unido implementou uma política de senha exclusiva, e as empresas devem fornecer detalhes de contato claros para dispositivos IoT conectados à infraestrutura de TI local para divulgar vulnerabilidades e realizar atualizações de segurança regulares. Embora estas diretrizes regulatórias sejam bem recebidas por muitos comentaristas de segurança, não está claro quem aplicará essas políticas. O comentarista acrescentou que eles estavam trabalhando para entender como os regulamentos seriam aplicados através dos reguladores existentes.
As estratégias e medidas dos ciberataques são atualizadas com muito mais rapidez, e estes regulamentos podem ser emitidos ou implementados anualmente ou semestralmente. Portanto, é difícil acompanhar os ataques realizados por ciberataques apenas confiando em políticas regulatórias.
05. Quais medidas de segurança as empresas devem tomar
Ao cumprir os regulamentos acima, as empresas devem desenvolver suas medidas de segurança para a adoção de dispositivos IoT.
Primeiro, eles devem determinar a segurança dos dispositivos IoT. É crucial garantir que os dispositivos IoT tenham identidades únicas, que são a base para outras medidas de segurança.
Então, com base na camada de identidade, o software é protegido por medidas como código assinado, firmware, etc.
Finalmente, a empresa deve ter conformidade no nível mais alto para decidir quais versões do software serão executadas.
EuT segurança de hardware
No design de produtos eletrônicos, segurança é fundamental. Isto é especialmente verdadeiro para o complexo, com recursos limitados, e Internet das Coisas altamente conectada (IoT). Alcançar a segurança da IoT exige confiar em princípios de segurança comprovados e vigilância contra ameaças em evolução. Mas os engenheiros de design enfrentam alguns desafios de segurança da IoT ao lançar produtos no mercado.
01. IoT enfrenta ameaças à segurança
Atualmente, a IoT está sendo incorporada na maioria das operações industriais e comerciais, incluindo serviços públicos, infraestrutura crítica, transporte, finança, varejo, e saúde. Os dispositivos IoT podem detectar e medir o mundo físico e coletar dados sobre diversas atividades humanas, facilitando a implantação generalizada de tecnologias inteligentes, automatizado, e tecnologias autônomas de comando e controle. Através da onipresente IoT interconectando dispositivos inteligentes, as empresas são capazes de criar tecnologias verdadeiramente revolucionárias que irão melhorar todos os aspectos da sociedade humana e da vida económica no futuro. No entanto, quase todas as semanas a grande mídia noticia violações de segurança digital. As perdas relatadas são frequentemente roubo ou uso indevido de informações de cartão de crédito do consumidor, que são gotas no oceano em comparação com os milhares de ataques cibernéticos que ocorrem todos os dias. Os ataques à segurança incluem o roubo de dados valiosos e a causa de danos generalizados, e ainda mais, assumindo o controle de sistemas críticos. Do ponto de vista do consumidor, Negação de serviço distribuída (DDoS) ataques são provavelmente a ameaça mais comum. A botnet Mirai, que interrompeu toda a Internet em 2016, soaram os primeiros alarmes, conscientizando as agências sobre a ameaça. Depois de Mirai, Aidra, Wifatch, e Gafgyt, bem como novas botnets como BCMUPnP, Caçador52, e Torii53, penetraram cumulativamente em milhões de dispositivos IoT para espalhar seu malware DDoS, mineradores de criptomoedas, e spam.
À medida que mais dispositivos IoT aparecem em nosso trabalho e em nossas vidas, potenciais ataques à segurança estão por toda parte e em uma escala cada vez maior. Tomemos como exemplo o controle de tráfego inteligente. Imagine uma grande cidade onde a infraestrutura de sensores, luzes de trânsito, redes de malha de carro, e dispositivos de controle que controlam o fluxo de tráfego são expostos a adversários. Controlar os semáforos ou a comunicação entre veículos através de redes sem fio em cruzamentos importantes não é mais coisa dos sucessos de bilheteria de Hollywood, mas um problema real e sério.
Pense também em dispositivos médicos habilitados para Internet, etiquetas inteligentes nas lojas para ajudar a melhorar a experiência de compra no varejo, e como nossos aparelhos estão conectados. Se você puder usar seu smartphone para ligar o fogão, desbloquear a fechadura e desligar o sistema de alarme, e todos os outros?
Os exemplos acima são relevantes para todos nós, mas há muitas situações que são invisíveis para o consumidor médio. Imagine o Internet Industrial das Coisas (IIoT) implantado para ambientes de fabricação automatizados. Qual seria o caos se ocorresse uma violação de segurança, e qual seria o custo financeiro do tempo de inatividade da produção e danos ao equipamento?
Com o potencial de ataques crescendo exponencialmente, A segurança da IoT deve ser abrangente e robusta, com a capacidade de se recuperar rapidamente.
02. Você não deveria confiar apenas em uma abordagem de software
Tentativas de escuta telefônica ou obtenção ilegal de informações não são novidade. O pesquisador de computação holandês Wim Van Eck tem trabalhado nisso desde 1985. Ele extraiu com sucesso informações do display, interceptando seu campo eletromagnético e decodificando-o. O seu trabalho pioneiro destacou o facto de que era possível contornar medidas de segurança dispendiosas através da utilização de componentes baratos..
Esses ataques eletromagnéticos de canal lateral passivos e não intrusivos estão agora se tornando mais sofisticados e uma das muitas armas de ataque. Outros métodos de ataque de canal de borda incluem análise diferencial de potência (APD) e outros, que são comumente usados em conjunto com ataques eletromagnéticos de canal de borda. Através deste ataque, informações confidenciais, como chaves de criptografia, senhas, e as identidades pessoais no microcontrolador do dispositivo IoT serão “comprometidas” na forma de sinais eletromagnéticos quando as instruções de processamento de criptografia forem executadas. Receptores de banda larga como aplicações de rádio definidas por software são atualmente muito baratos e podem ser usados para detectar e armazenar sinais eletromagnéticos em operação.
DPA é um método de roubo mais complexo, que pode compreender o consumo de energia do processador durante a operação do dispositivo por meio de análise simples de energia. Como a energia consumida pelo dispositivo de processamento irá variar dependendo da função executada, funções discretas podem ser identificadas conhecendo o consumo de energia. As funções dos algoritmos de criptografia baseados em AES, ECC, e RSA exigem muita computação e podem ser identificados pela análise de medição de potência. O exame do consumo de energia em intervalos de microssegundos revela várias operações numéricas frequentemente usadas em criptografia, como multiplicação por soma quadrada. DPA adiciona estatísticas e técnicas de correção de erros à simples análise de potência, que pode realizar decodificação de alta precisão de informações confidenciais.
O vazamento de dados através de comunicações com ou sem fio também pode expor informações confidenciais. Canais secretos e “ataques man-in-the-middle” são formas eficazes de coletar dados ouvindo a comunicação entre dispositivos IoT e sistemas host. A análise desses dados pode revelar protocolos de controle de dispositivos e as chaves privadas necessárias para assumir a operação de dispositivos conectados remotamente.
Outra técnica de ataque usada por hackers são ataques de implantes em microcontroladores desprotegidos e sistemas em um chip sem fio. (SoC) dispositivos. No caso mais simples, a técnica pode reduzir ou interferir na tensão de alimentação do microcontrolador, cometendo erros estranhos. Esses erros podem então acionar outros dispositivos protegidos para abrir registros que contêm informações confidenciais, expondo-os assim à intrusão. Adulterar o sinal do relógio do sistema alterando a frequência, plantando o sinal de gatilho errado, ou alterar o nível do sinal também pode levar a anormalidades em dispositivos IoT que podem expor informações confidenciais ou levar à manipulação de funções de controle. Ambos os casos requerem física, mas não invasivo, acesso às placas de circuito impresso dentro do dispositivo.
Como muitas das tecnologias de segurança usadas para proteger dispositivos IoT são baseadas em software, informações de segurança provavelmente serão lidas ilegalmente. Algoritmos de criptografia criptográfica padrão, como AES, ECC, e RSA são executados como pilhas de software em microcontroladores e processadores embarcados. Dispositivos e software que custam menos do que $100 pode ser usado não apenas para ver o consumo de energia, mas também para obter chaves e outras informações confidenciais usando a tecnologia DPA. Agora é fácil obter ferramentas de software DPA prontas para uso para automatizar todo o processo, mesmo sem precisar ser proficiente nesses métodos analíticos.
Tais ataques não estão mais confinados ao domínio da teoria, e eles têm sido amplamente utilizados por hackers em todo o mundo.
Com o aumento da intensidade do ataque, os desenvolvedores de dispositivos e sistemas IoT precisam reconsiderar seus métodos de proteção de segurança e melhorar suas funções de proteção de segurança para torná-los mais robustos e resilientes.
03. Abordagem de hardware para protegendo euóT segurança
Antes de projetar um novo dispositivo IoT, é melhor ter uma compreensão abrangente de quais ataques o dispositivo provavelmente estará exposto, e que tipos de ameaças precisam ser protegidas contra. É prudente revisar os requisitos de segurança desde o início e incorporá-los nas especificações do produto. A maioria dos dispositivos IoT tende a durar muitos anos, e isso por si só poderia levar a mais ataques, então isso precisa ser considerado. Portanto, atualizações de firmware devem ser realizadas pelo ar (OTA), e para proteger contra todos os ataques, é necessária uma abordagem chip-to-cloud para implementar um design de segurança baseado em hardware.
O chip de segurança OPTIGA® Trust M2 ID2 lançado recentemente pela Infineon é uma solução de segurança totalmente baseada em hardware, e sua maior vantagem é que pode resistir a ataques no nível do hardware. Ele usa alguma lógica simplificada especialmente projetada para proteger melhor o armazenamento de dados. Embora a engenharia reversa seja muito profissional, os dados originais não podem ser facilmente hackeados e quebrados. Alguns designs profissionais e implementações de código fora do padrão são realmente difíceis de analisar e compreender. O ponto mais importante é que a solução de chip de segurança baseada em hardware pode fornecer uma “raiz” confiável para todo o sistema e uma fonte de confiança para o sistema.
EuT segurança de firmware
Com o número de terminais IoT aumentando aos trancos e barrancos, os regulamentos e padrões relevantes de segurança da IoT estão gradualmente chegando, e a segurança do firmware de dispositivos embarcados de poucos recursos receberá gradualmente atenção. Como uma plataforma de detecção de segurança IoT ponta a ponta, O TinyScan realmente verifica e extrai informações confidenciais ocultas e riscos de segurança desde a fonte. Tanto os desenvolvedores quanto os usuários de firmware podem usar esta ferramenta para controlar o status de segurança do firmware especificado e realizar proteção ou evasão direcionada, reduzindo assim o número de problemas de segurança de IoT causados por vulnerabilidades de firmware.
Na era da Internet das Coisas, um modelo de estrutura de percepção de três camadas, transmissão, e o aplicativo é frequentemente usado, e dispositivos incorporados, como sensores, entradas, e os controladores distribuídos nas três camadas introduziram um grande número de novos problemas de segurança: arquitetura.
01. Ssegurança do sistema
Atualmente, os principais sistemas operacionais embarcados ainda são dominados pelo Linux ou derivados do Linux, e diferentes empresas personalizam e desenvolvem sistemas Linux de acordo com os requisitos e características de seus produtos. No entanto, devido ao fato de que os recursos dos dispositivos embarcados são limitados, é difícil transplantar completamente as soluções de defesa de segurança existentes para dispositivos IoT.
02. Segurança de componentes
Porque os dispositivos embarcados usam Linux como sistema operacional, muitos componentes de código aberto serão usados. Os problemas ocultos de alguns componentes de código aberto no modo C/S podem ser redescobertos e utilizados na era da Internet das Coisas. Porque há um grande número de dispositivos IoT idênticos no espaço ao mesmo tempo, se o firmware do dispositivo não for atualizado a tempo após a ocorrência de uma vulnerabilidade, pode causar grandes perdas.
03. R&D Segurança
Na era da Internet, o cliente não pode acessar e controlar diretamente o servidor, mas esse fenômeno mudou na era da Internet das Coisas. Através da ferramenta reversa de código aberto, os usuários podem obter facilmente os arquivos de configuração e informações em texto simples deixados no firmware do dispositivo, e então obter diretamente os direitos de acesso do dispositivo, representando uma ameaça a um grande número de dispositivos da mesma especificação.
Devemos realizar análises de segurança no firmware nas seguintes dimensões, e gerar os resultados da análise na forma de relatórios.
(1) Análise de segurança do serviço do sistema de arquivos
● Verifica e obtém automaticamente as informações básicas do sistema de arquivos do firmware, incluindo a arquitetura da CPU, tempo de preparação, modo de compressão, tipo, tamanho, e modo de armazenamento do sistema de arquivos.
● Depois de obter as informações básicas sobre o sistema de arquivos, você pode determinar o tipo de alvo de verificação e alternar para diferentes mecanismos de verificação.
(2) Sistema & codificação de análise de serviço
● Obtenha informações de serviço do sistema, incluindo caminho de serviço do sistema e valor MD5.
● Obtendo as informações de serviço do sistema, o status de inicialização automática do serviço do sistema pode ser conhecido, e informações como a existência de scripts maliciosos desconhecidos no serviço de inicialização automática podem ser aprendidas rapidamente.
(3) Componente & análise de segurança de software SPA
● Digitalização direcional, obtenção de componente do sistema & informações de software, incluindo componente & caminho do software, descrição, e endereço do site;
● Ao obter o componente & informações de software, você pode obter rapidamente as informações da versão do componente & software instalado no firmware, e, em seguida, execute a verificação de segurança de acordo.
(4) Recuperação de senha do usuário
● Varredura direcional, obter informações de senha do usuário, incluindo o caminho do arquivo relacionado à senha, e informações de senha;
● Após a recuperação da senha do usuário, o vazamento de informações de senha causado pelo desenvolvimento não padrão no firmware pode ser exposto.
(5) Análise de segurança de autenticação de criptografia
● Verifica e obtém automaticamente as informações do arquivo de autenticação de criptografia, incluindo o caminho e as informações de criptografia do arquivo de autenticação de criptografia;
● Após a detecção de autenticação de criptografia, o vazamento de informações de autenticação de criptografia causado pelo desenvolvimento não padrão no firmware pode ser exposto.
(6) Análise de sensibilidade segurança da informação
A verificação automática e a obtenção de informações confidenciais suspeitas no firmware incluem, mas não estão limitadas a token/chave codificados, senha codificada de configuração, IP codificado, endereço HTTP codificado, vazamento de arquivo de cache, etc., que pode expor o vazamento de informações confidenciais causado pelo desenvolvimento não padrão no firmware.
(7) Detecção de vulnerabilidade CVE
Detecte rapidamente informações de vulnerabilidade CVE no sistema de arquivos, incluindo CVE-ID, hora de lançamento, descrição, e nível. Após a detecção da vulnerabilidade CVE, você pode obter as informações de vulnerabilidade CVE mais recentes do software instalado no firmware verificado atualmente.
Internet das Coisas(IoT) segurança de software
72% dos líderes de segurança da informação afirmam que a computação em nuvem é uma prioridade máxima para a transformação digital. O software IoT baseado em nuvem está integrando elementos de segurança digitais e físicos para que os dados possam ser acessados e explorados por telefones mais seguros.
O que pode ser baseado em nuvem Software IoT trazer para proteção de segurança? Este artigo explicará como o software IoT pode efetivamente ajudar a melhorar a segurança no campo da segurança. Também apresentará como combinar elementos de segurança digitais e físicos para lidar com incidentes de segurança.
01. O impacto do software IoT baseado em nuvem
O software IoT baseado em nuvem está sendo usado nos negócios de várias maneiras. E as soluções baseadas na nuvem estão trazendo benefícios para o espaço de segurança. Em seu núcleo, A tecnologia IoT está transformando o setor corporativo, renovando a forma como as empresas operam.
02. Integre soluções baseadas em nuvem para aproveitar dados
Os dados são muito importantes em todos os setores, e o campo da segurança não é exceção. Com soluções baseadas em nuvem, armazenar dados e informações em uma única interface pode ajudar as empresas a se manterem atualizadas sobre o que está acontecendo nos negócios.
Além disso, combinando software aprimorado por IA e soluções baseadas em nuvem, o pessoal de segurança pode identificar melhor ameaças potenciais à segurança. Aproveitar tecnologias IoT baseadas em nuvem pode aumentar a produtividade. Devido às extensas responsabilidades do pessoal de segurança, o monitoramento em tempo real das câmeras não é possível. A tecnologia IoT pode ajudar o pessoal de segurança a receber informações da câmera e registrar feedback a qualquer momento, em qualquer lugar, ajudando a estabelecer melhores políticas de segurança. Algumas soluções de IoT fornecem alertas em tempo real para o pessoal de segurança que combina vídeo em tempo real e ferramentas de análise de IA para aprimorar a funcionalidade do sistema de segurança e acelerar a resposta a incidentes de segurança.
03. combinare o poder do físico e do cibernético segurança
Combinar segurança digital e física é benéfico para otimizar sistemas de segurança IoT, ajudando a proteger sistemas contra violações e violações online. Mais, medidas de segurança física ajudam a proteger informações confidenciais de hackers. Quanto mais forte for a fusão de elementos de segurança digital e equipes de segurança física, mais protegida será uma organização.
04. Atualizações automáticas de software
Manter todos os softwares atualizados é extremamente importante para garantir que sua organização não fique exposta a ameaças de segurança cibernética, mesmo que os sistemas IoT sejam violados.. Tradicionalmente, os sistemas de segurança locais foram atualizados manualmente por profissionais certificados a cada nova atualização. Usando software baseado em nuvem, as atualizações não podem ser realizadas apenas no local ou remotamente, mas também pode ser automatizado, reduzindo bastante os custos.
05. Função remota
Com o desenvolvimento flexível da tecnologia de nuvem IoT, o pessoal de segurança pode operar ferramentas de segurança remotamente usando dispositivos móveis. Por exemplo, o sistema de videoporteiro utilizado no sistema de controle de acesso atual permite que o pessoal de segurança verifique a identidade do visitante fazendo uma videochamada com o smartphone do visitante. Além disso, o programa de intercomunicação também suporta desbloqueio remoto. Quando a identidade do visitante for confirmada, a porta pode ser destrancada remotamente para permitir a entrada do visitante. Através do uso de tecnologia IoT baseada em nuvem, o procedimento de autenticação para visitantes é simplificado e o tempo de verificação é bastante reduzido para que os visitantes possam entrar no edifício mais rapidamente.
06. Resumir
Adotando uma solução baseada em nuvem Solução IoT na estratégia de proteção de segurança de uma empresa conduz à criação de um sistema de segurança que acompanha os tempos. A segurança cibernética é a ameaça e o desafio que as empresas enfrentam ao usar a tecnologia IoT. Mas ao combinar elementos de segurança física e digital, Os sistemas IoT baseados em nuvem podem ser amplamente protegidos contra vulnerabilidades e melhor protegidos para ajudar as empresas a lidar com o cenário de segurança em constante mudança.
Internet das Coisas(IoT) segurança de rede
Ao mesmo tempo que o rápido desenvolvimento da Internet das Coisas, problemas de segurança da Internet das Coisas também aparecem frequentemente. Alguns incidentes de mineração e sequestro de equipamentos ocorreram repetidamente. Produtos domésticos inteligentes continuam a revelar brechas de segurança, que causará perdas económicas irreversíveis quando as lacunas forem exploradas. Ao mesmo tempo, também reflete a importância da segurança como infraestrutura da aplicação da Internet das Coisas na fase inicial da construção da indústria da Internet das Coisas.
Nos últimos anos, com o avanço de tecnologias-chave, como 5G, o desenvolvimento da Internet das Coisas avançou aos trancos e barrancos. Ao mesmo tempo, devido ao impacto da Covid-19, as formas de trabalho remoto no escritório aumentaram, que não apenas traz conveniência para as empresas, mas também proporciona conveniência para hackers atacarem informações confidenciais da empresa.
A Internet das Coisas penetrou em todos os aspectos de nossas vidas. Ataques frequentes a dispositivos inteligentes ameaçam a privacidade e a segurança pessoais. A infraestrutura crítica também enfrenta enormes riscos na concretização da transformação das redes digitais. A segurança da IoT exige o estabelecimento de planos e regulamentos de gestão razoáveis para garantir a detecção oportuna e a recuperação eficiente dos riscos.
Os problemas de segurança da IoT envolvem principalmente segurança de dados, privacidade, replicação, e ameaças ao sistema RFID.
- Ataques a RFID: tecnologia RFID é uma tecnologia popular da Internet das Coisas, atualmente usado principalmente em “supermercados não tripulados” e outras áreas.
- Ataque a RSSF: WSN é a rede de sensores sem fio. A camada inferior da Internet das Coisas é a camada de percepção. Esta camada inclui um grande número de sensores. Quando os sensores funcionam, eles gerarão uma grande quantidade de dados. Uma vez interceptados por criminosos durante o processo de transmissão, as consequências serão inimagináveis. WSN atualmente tem aplicações relacionadas nas forças armadas.
- Ataques a roteadores: Roteadores são dispositivos de rede muito importantes. Uma vez atacado, a rede pode ficar paralisada. Além disso, há ataques nas linhas de comunicação, ataques a usuários, e ataques a servidores.
Especificamente, as principais ameaças à segurança enfrentadas atualmente pela Internet das Coisas podem ser resumidas como três aspectos da “nuvem, cano, e acabar” com a segurança:
(1) Segurança do terminal da Internet das Coisas
O primeiro aspecto é a segurança do terminal IoT. Como produto representativo da profunda integração do espaço de informação e do espaço físico, Os terminais IoT expandiram-se rapidamente de produtos pioneiros para consumo pessoal para vários campos da economia e da sociedade. Dota a educação, cuidados médicos, varejo, energia, construção, automóvel, e muitas outras indústrias com novos meios de serviço, e apoia a melhoria de funções urbanas básicas, como escritórios governamentais, segurança Pública, transporte, e logística. Os equipamentos terminais IoT existentes concentram-se na realização de funções, enquanto os fabricantes de equipamentos tradicionais têm capacidades de segurança insuficientes, considere fatores como tempo e custo, e geralmente ignoram questões de segurança no design do terminal.
Os terminais IoT podem ser divididos em terminais inteligentes e terminais não inteligentes. A maioria dos dispositivos terminais inteligentes possui sistemas operacionais e aplicativos de terminal incorporados, enquanto a maioria dos dispositivos terminais não inteligentes tem uma estrutura e função únicas, e executa apenas funções como coleta e transmissão de dados. Portanto, dispositivos terminais inteligentes representam uma ameaça maior à segurança da informação.
(2) Segurança de pipeline de IoT
O segundo aspecto é a segurança do pipeline IoT. O “tubo” da Internet das coisas é o pipeline que conecta a “nuvem” e o “fim”. A segurança do “tubo” da Internet das coisas é a segurança do pipeline de informações com grande capacidade e inteligência. De acordo com a investigação do pipeline de informações da Internet das coisas, verifica-se que existem quatro ameaças principais à segurança do pipeline da Internet das Coisas.
(3) Segurança do serviço em nuvem da Internet das Coisas
Terceiro, Segurança do serviço de nuvens da Internet das Coisas. De um modo geral, Os serviços em nuvem da Internet das Coisas são usados quando as informações são compartilhadas com outras partes. Portanto, proteger a segurança dos serviços em nuvem também é um elo fundamental para proteger a segurança da Internet das Coisas.
Maneiras de melhorar a segurança da Internet das Coisas
As empresas devem melhorar a segurança dos dispositivos IoT ou causarão enormes perdas financeiras e de reputação. Criptografia de dados e monitoramento interno são algumas das maneiras pelas quais as empresas podem se concentrar em melhorar a segurança dos dispositivos IoT.
01. Use infraestrutura em nuvem e proteção de software
O dispositivo de rede Cumulonimbus mantém o dispositivo seguro, pois ajuda a manter a confidencialidade e integridade das informações registradas pelo dispositivo. Ao mesmo tempo, as informações na troca podem ser criptografadas e protegidas contra hackers.
02. Projeto a segurança dispositivo e crie uma rede separada
Projetar um dispositivo melhor focado em melhorar a segurança dos dispositivos IoT é importante. Uma revisão interna oportuna do comportamento do dispositivo sob certas condições é importante para alterar o sistema do dispositivo.
03. Aplicar EUóT API para proteger contra falsificação de identidade
A função da proteção de segurança da API é permitir que apenas dispositivos autorizados se comuniquem entre si. Empresas e usuários podem ser notificados sobre qualquer acesso e operação não autorizada do sistema.
No mundo de hoje, o número de dispositivos IoT em uso está aumentando. Ao mesmo tempo, O desenvolvimento da IoT está enfrentando desafios. As empresas devem reconhecer gradualmente a importância da segurança da IoT e aprimorar ainda mais a tecnologia para proteger a segurança dos dispositivos.
Quais indústrias são mais vulneráveis a EUóT ameaças à segurança?
Os problemas de segurança da IoT permeiam todos os setores e campos. Isso quer dizer, contanto que a indústria esteja relacionada à vida humana e à propriedade, é vulnerável à ameaça à segurança da Internet das Coisas.
Por exemplo, um ataque a um sistema de refrigeração que abriga uma droga, monitorado por um sistema IoT, pode perturbar a viabilidade de um medicamento se a temperatura flutuar. Da mesma maneira, o impacto dos ataques a poços de petróleo, sistemas de água, e redes de energia, infraestrutura crítica que afeta enormemente a vida humana, pode ser devastador.
No entanto, outros ataques não devem ser subestimados. Por exemplo, um ataque a uma fechadura inteligente pode permitir que ladrões entrem em uma casa inteligente. Ou, Em outros casos, tais como o 2013 Visar hackers ou outras violações de segurança, os invasores podem entregar malware por meio de sistemas conectados (o sistema HVAC no caso alvo) para roubar informações de identificação pessoal e causar estragos nas pessoas afetadas.
01. Como pode EUóT sistemas e dispositivos sejam protegidos
A abordagem de segurança da IoT depende da aplicação da IoT e da localização da empresa no ecossistema da IoT. O desenvolvimento e integração de software seguro precisam ser o foco principal no início do software IoT. A implantação de sistemas IoT requer atenção à autenticação e segurança de hardware. Da mesma maneira, para operadores, manter os sistemas atualizados, reduzindo malware, infra-estrutura de auditoria, e proteger credenciais são essenciais.
Padrões de segurança e legislação para a Internet das Coisas (os EUA e a Europa)
01. Diretrizes de segurança da Internet das Coisas da UE
A Agência de Segurança Cibernética da UE emitiu diretrizes de segurança para a Internet das Coisas. Sobre 9 novembro 2020, a Agência de Segurança Cibernética da União Europeia (ENISA) publicou as Diretrizes de Segurança para a Internet das Coisas (IoT) (doravante denominadas Diretrizes), que visa ajudar os fabricantes de IoT, desenvolvedores, integradores, e as partes interessadas que possuem cadeias de fornecimento de IoT tomam as melhores decisões ao construir, implantando, ou avaliando tecnologias IoT. O objetivo das Diretrizes é definir e identificar desafios e ameaças à segurança da IoT para garantir a segurança da cadeia de fornecimento da IoT.. As Diretrizes fornecem cinco recomendações: Primeiro, As entidades IoT devem construir melhores relacionamentos entre si, incluindo a priorização da cooperação com fornecedores que fornecem garantias de segurança cibernética, trabalhando para melhorar a transparência, desenvolvimento de modelos de confiança inovadores, e fornecendo compromissos de segurança aos clientes. A segunda é popularizar ainda mais o conhecimento profissional em segurança de rede, fortalecer a manutenção e capacitação de profissionais, e aumentar a conscientização sobre segurança dos usuários da Internet das coisas. Terceiro, a segurança é alcançada melhorando os padrões de design de IoT, incluindo a adoção de princípios de design de segurança, o uso de tecnologias emergentes para controle e auditoria de segurança, e a implementação de mecanismos de atualização remota. Quarto, adotar uma abordagem mais abrangente e explícita para melhorar a segurança, incluindo o estabelecimento de planos de teste abrangentes, integrando mecanismos de autenticação em circuitos, e usando as configurações de fábrica por padrão. Quinto, fazer pleno uso dos padrões existentes e das práticas bem-sucedidas para melhorar a segurança dos produtos e a qualidade do serviço na cadeia de abastecimento.
02. Os EUA. Internet das coisas cibernéticas Lei de Melhoria de Segurança de 2020
O projeto foi aprovado em setembro 14, 2020. Dado que a segurança dos dispositivos IoT é um desafio cibernético emergente com uma prioridade de segurança nacional, o projeto de lei visa melhorar a segurança dos dispositivos federais conectados à Internet, abordando questões de segurança cibernética antes que os dispositivos IoT sejam introduzidos no uso federal. A lei exige que todos os dispositivos IoT usados pelo governo federal atendam aos padrões mínimos de segurança publicados pelo NIST.
03. Código de Prática Australiano: EUóT Proteção aos Consumidores
A lei foi publicada pelo governo australiano em setembro 3, 2020, e tem sido visto como um primeiro passo para melhorar a segurança dos dispositivos IoT no país. Tendo em conta a natureza global da segurança dos dispositivos IoT, os padrões da indústria propostos pelo Código de Conduta são consistentes com outros padrões internacionais e são baseados em 13 princípios, principalmente incluindo nenhuma repetição de senhas fracas ou padrão, implementação de políticas de divulgação de vulnerabilidades, atualizações contínuas de segurança de software, As credenciais são armazenadas com segurança, a proteção dos dados pessoais é garantida, a exposição a superfícies de ataque é minimizada, as comunicações são seguras, a integridade do software é garantida, os sistemas são resistentes a interrupções, sistemas de monitoramento de dados de medição, etc. Entre eles, criptografia, divulgação de vulnerabilidade, e ações de atualização de segurança são recomendadas como os três principais princípios que a indústria prioriza porque permitem os maiores benefícios de segurança em um curto período de tempo.
04. Semelhanças e diferenças entre europeus, NÓS, e leis e diretrizes de segurança de IoT australianas
As Leis melhoram os padrões de proteção de segurança para dispositivos IoT de várias maneiras. Este artigo apresenta uma série de padrões de segurança para dispositivos IoT na União Europeia, os Estados Unidos, e Austrália, como garantir que a complexidade da senha do dispositivo seja alta o suficiente, métodos de autenticação multifator, garantindo a segurança das credenciais de identidade, como armazenamento seguro, divulgação oportuna, e reparação de vulnerabilidades de segurança, fornecendo atualizações de segurança regulares para minimizar a exposição à superfície de ataques cibernéticos e muito mais.
Todas as três Leis se concentram no fortalecimento da proteção da privacidade pessoal na Internet das Coisas. Leis e diretrizes na UE, NÓS, e a Austrália tornam a proteção da privacidade uma parte importante da segurança da IoT. Por exemplo, A Austrália propôs em seu código de prática que os dispositivos IoT deveriam ter proteção de privacidade por padrão, e que os dados pessoais devem ser tratados com o consentimento prévio do utilizador. E o dispositivo deve permitir que os usuários excluam dados pessoais a qualquer momento e tenham o direito e o momento de revogar a privacidade, de modo a maximizar a proteção da privacidade pessoal e dos dados sensíveis dos utilizadores.
A cobertura e o alvo das Leis são diferentes. O Código de Conduta Australiano é orientado para o consumidor, ajudando a aumentar a conscientização sobre as proteções de segurança associadas aos dispositivos IoT, aumentando a confiança do consumidor na tecnologia IoT, e permitindo que a Austrália se beneficie de sua implementação. As diretrizes da UE visam entidades da cadeia de fornecimento de IoT, como dispositivos IoT e desenvolvedores de software, fabricantes, especialistas em segurança, equipes de compras, e outras entidades da cadeia de abastecimento. Ao estudar e responder às diferentes ameaças à segurança enfrentadas pela cadeia de abastecimento em diferentes fases, o objetivo de construir um ecossistema IoT seguro é alcançado. A Lei dos EUA abrange principalmente o governo federal dos EUA e visa regular a avaliação de segurança dos dispositivos IoT feita pelo governo e garantir que os dispositivos IoT adquiridos e usados por agências governamentais atendam aos padrões de segurança..
A regulamentação governamental da segurança da IoT tem efeitos variados. As Diretrizes da UE e o Código de Prática da Austrália não são obrigatórios como medidas recomendadas pelas agências governamentais relevantes. Os EUA. projeto de lei é governamental e contém vários mandatos, como um requisito explícito para o Instituto Nacional de Padrões e Tecnologia (NIST) publicar padrões e diretrizes para o uso de segurança de dispositivos habilitados para Internet dentro 90 dias da promulgação pela agência federal do projeto de lei para orientar agências executivas e orçamentos Conduzir censura na internet; o governo federal e as agências não comprarão ou usarão dispositivos IoT que não atendam aos requisitos de segurança.
