Развертывание Интернета вещей вызывает ряд проблем безопасности Интернета вещей, связанных с функциями устройств Интернета вещей., например, необходимость облегченных алгоритмов шифрования с точки зрения возможностей обработки и хранения., и использование стандартных протоколов.IoT-устройства более уязвимы для угроз безопасности, чем традиционные компьютеры с доступом в Интернет, из-за меньшей вычислительной мощности и ограниченных ресурсов памяти., усугубление мер по обеспечению защиты. Текущий переход протокола сети Интернет с IPv4 на IPv6 означает, что все больше и больше устройств IoT имеют глобальные IP-адреса., которые могут помочь идентифицировать эти устройства как цели для атак на систему безопасности.. Автономная работа и связь устройств Интернета вещей также способствуют атакам на системы безопасности.. Поэтому, срочно необходимы новые и более мощные решения безопасности для систем Интернета вещей.. Эта статья познакомит вас с Интернетом вещей от сети до оборудования., программное обеспечение, и другие вопросы безопасности на всех уровнях обсуждения.
1. Каковы проблемы безопасности Интернета вещей?
Проблемы безопасности Интернета вещей имеют много общего с ИТ-безопасностью.. Однако, Системы Интернета вещей требуют большей чувствительности и конфиденциальности, поскольку эти системы приходят и оцифровывают частную жизнь человека.. Чувствительность технологии IoT обусловлена высокими требованиями к безопасности., с исключительно высокой конфиденциальностью, подлинность, конфиденциальность, и целостность. Существуют физические и логические проблемы с безопасностью Интернета вещей.. С одной стороны, физическая проблема заключается в энергии устройства. Большинство устройств Интернета вещей питаются от аккумуляторов., поэтому энергии относительно недостаточно. С другой стороны, Устройства Интернета вещей имеют относительно низкую вычислительную мощность и ограниченные ресурсы памяти.. При аутентификации существуют логические проблемы, защита от вредоносных программ, защита конфиденциальности, и наблюдение.
Интернет и его технологический стек существуют уже десятилетия.. В течение этого времени, централизованная клиентская и серверная архитектура была основой, на которой были построены текущие платформы и сервисы.. Эти архитектуры также могут быть громоздкими с точки зрения Интернета вещей.. Например, когда множеству беспроводных датчиков необходимо отправить свои данные обратно в централизованную службу, монолитная служба должна иметь возможность распространять обновления безопасности в децентрализованную или распределенную сенсорную сеть.. Эти сенсорные сети обычно выигрывают от децентрализованной коммуникационной архитектуры., которая имеет большую В определенной степени самоуправляющуюся. Традиционно, Препятствием для создания децентрализованной архитектуры стало доверие других участников. Внедрение криптовалюты Биткойн предполагает отсутствие необходимости в доверии между двумя сторонами.. Это достигается за счет включения механизма распределенного консенсуса в качестве доказательства проверки новой транзакции при одновременном использовании более ранней истории транзакций.. Таким образом, это распространяется и на разработку обобщенных транзакций, выходящих за рамки криптовалют.. Сегодня, этот обобщенный механизм часто носит название блокчейна..
Недавнее внимание со стороны регулирующих органов, особенно в Евросоюзе, вызвало повышенное внимание к безопасности и конфиденциальности в пространстве Интернета вещей.. Внедрение технологии блокчейна имеет большой потенциал в качестве жизнеспособного решения для будущих систем Интернета вещей, отвечающего нормативным требованиям.. О нормативных требованиях к проектированию IoT-устройств, Европейский парламент недавно принял новые директивы и правила. Эти требования, который можно считать самым строгим в мире, применяются к производителям устройств, а также поставщикам услуг и платформ, если они предоставляют ЕС или обрабатывают персональные данные жителей ЕС.
Кроме того, Государства-члены ЕС устанавливают некоторые отраслевые правила для областей, связанных с конфиденциальной информацией., такие как здравоохранение и финансовые услуги. В Соединенных Штатах отсутствует общий закон о защите данных или конфиденциальности, и они полагаются в основном на небольшое количество законов, касающихся конфиденциальности, связанных с отраслью.. Американский подход к проектированию информационных систем затрудняет достижение общих выводов о поддержании определенного уровня конфиденциальности.. Например, при этом одну и ту же систему Интернета вещей можно использовать в разных регионах, об этом свидетельствует отсутствие общих требований или определений конфиденциальности.. Поэтому производитель должен, по крайней мере, в некоторой степени предвидеть предполагаемое использование системы проектирования., и предполагаемое использование системы проектирования, если ее ввоз в США будет ограничен.. рынок.
С другой стороны, люди могут рассматривать нормативные требования ЕС как эталон обязательств, которые необходимо соблюдать при работе с личными данными или при работе с операторами определенной важной инфраструктуры.. Существуют два закона и правила ЕС, отвечающие за разработку и управление информационными системами.. Это Общий регламент по защите данных. (GDPR) и Директива по безопасности сетей и информационных систем. (Директива НИС).
GDPR может иметь некоторые нюансы между государствами-членами., но это закладывает основу для единого цифрового рынка внутри ЕС.. В качестве директивы, государства-члены могут применить другой подход к ННГ, хотя он определяет, что можно считать минимальным уровнем ответственности за безопасность информационных систем..
Что такое Интернет вещей(Интернет вещей) Конфиденциальность?
С развитием Технология Интернета вещей, цифровые технологии все глубже проникают в нашу жизнь и окружающую среду. По данным Стратегии Аналитики, количество подключенных устройств по всему миру достигло 22 миллиардов к концу 2018 и, как ожидается, достигнет 50 миллиард на 2030. По оптимистичным данным, Сочетание Интернета вещей и искусственного интеллекта создаст более интеллектуальный способ общения. Общий, социальное и экономическое влияние Интернета вещей будет значительным, с подключенными устройствами, интегрированными во все аспекты нашей жизни, от носимых устройств до автомобильного Интернета, умных домов и всего Интернета. Удобство и повсеместное распространение Интернета вещей принесут огромные выгоды., но это также означает, что сбор информации перемещается из онлайн-мира в офлайн-мир., когда наши тела и личное пространство становятся источником сбора информации. В данном контексте, Интернет вещей, особенно вопросы конфиденциальности, связанные с потребительским Интернетом вещей., оказался в центре внимания. В сентябре 19, Интернет-сообщество опубликовало отчет о конфиденциальности IoT под названием «Policy Brief».: Конфиденциальность Интернета вещей для политиков», который анализирует риски и проблемы, связанные с Интернетом вещей для защиты личной информации., и выдвигает конкретные рекомендации по действиям для политиков, Поставщики услуг Интернета вещей и другие заинтересованные стороны, и призывает к укреплению модели управления совместным участием многих заинтересованных сторон..
Развитие Интернета вещей позволяет повседневным объектам и датчикам, отличным от компьютеров, генерировать, обмениваться и потреблять данные с меньшим вмешательством человека. Сегодня, Интернет вещей показывает тенденцию масштабного развития (количество подключенных устройств продолжает увеличиваться), близость (носимые устройства и устройства, имплантированные в тело человека, и т. д.), вездесущий, всегда на связи, и умный. Но такой масштаб развития может повлиять на защиту конфиденциальности., что позволяет легче идентифицировать людей, отслеживаются, профилированный, и повлиял.
Проблемы Интернета вещей с защитой личной конфиденциальности включают в себя: Первый, Защита Интернета вещей охватывает широкий спектр, включая нормативные границы различных ведомств и юрисдикций. С одной стороны, Законодательство о конфиденциальности, как правило, сегментировано по областям, например, медицинская конфиденциальность, финансовая конфиденциальность, конфиденциальность студентов, и т. д., устройства и услуги Интернета вещей сложно классифицировать. С другой стороны, в разных странах и регионах могут действовать разные законы о конфиденциальности для устройств и услуг IoT, и они будут сталкиваться с разными правилами, когда сбор и обработка данных происходят в разных юрисдикциях.. Второй, IoT сложно получить информированное согласие от пользователей. Когда развертывается Интернет вещей, помимо получения информированного согласия владельца устройства, трудно получить согласие окружающих одновременно. IoT-устройства ничем не отличаются от таких привычных вещей, как часы, динамики, и телевизоры, поэтому сложно узнать, собирает ли устройство и обрабатывает данные. Окончательно, Проблемы Интернета вещей принцип прозрачности защиты конфиденциальности. Например, в отличие от веб-сайтов, Программы, и т. д., Устройства и службы Интернета вещей могут не иметь возможности предоставлять пользователям свою политику конфиденциальности., и может неэффективно информировать пользователей о том, что они собирают данные..
Чтобы лучше решать эти проблемы и усилить защиту личной конфиденциальности, связанной с Интернетом вещей., Интернет-сообщество выдвинуло четыре рекомендации: Первый, усилить значимый контроль пользователей над устройствами и услугами IoT, и улучшить управление данными Интернета вещей. Конкретно, Оно включает: разъяснение ответственности поставщиков услуг, в том числе получение информированного согласия пользователей при сборе персональных данных, повышение прозрачности, и безопасное хранение данных, и т. д.; продвижение открытых стандартов и совместимости в устройствах и услугах Интернета вещей; и поощрение практики минимизации данных. Второй, повысить прозрачность сбора и использования пользовательских данных. Например, уведомлять пользователей о возможностях устройств IoT и сборе данных таким образом, чтобы пользователи могли их легко понять., настроить эффективные функции согласия и отказа для пользователей, улучшить ясность политики конфиденциальности, повысить прозрачность на протяжении всего жизненного цикла данных, и обеспечить конфиденциальность и безопасность. Он защищен на протяжении всего жизненного цикла продукта., так далее. Третий, Законодательство и политика конфиденциальности идут в ногу с технологическими разработками. Конкретно, Оно включает: улучшение существующих законов о конфиденциальности и защите прав потребителей; анализ адаптируемости и сферы действия законов о защите конфиденциальности; усиление правовой защиты исследователей конфиденциальности, чтобы гарантировать, что они не подвергаются юридическим рискам при исследовании вопросов конфиденциальности; Широкое использование сетевых технологий не усугубляет дискриминацию и несправедливую практику.; внедрить оценку влияния на конфиденциальность при разработке Интернета вещей, так далее. Четвертый, усилить участие многих заинтересованных сторон. Решение рисков и проблем, связанных с Интернетом вещей, требует совместного участия правительства., публика, промышленность, академические круги, общественные организации, и технический персонал. Широкий диалог должен осуществляться на социальном уровне., и внимание следует уделять праву потребителей высказываться.
Общий, сочетание Интернета вещей с новыми технологиями, такими как облачные вычисления и искусственный интеллект изменит нашу экономику и общество во многих отношениях. Технологии открывают большие возможности, но это также сопряжено с риском. Необходимо предпринять соответствующие шаги, чтобы гарантировать, что преимущества Интернета вещей намного перевешивают риски конфиденциальности., безопасность, так далее. Это требует сотрудничества всех заинтересованных сторон, включая правительства, производители, потребители, и т. д., обеспечить ответственное и устойчивое развитие технологий Интернета вещей.. Зарубежные страны уже продвигают законодательство о конфиденциальности и безопасности Интернета вещей.. Законодательство должно учитывать характеристики устройств и услуг Интернета вещей и принять гибкие и разумные механизмы регулирования.. Например, даже в ЕС GDPR, информированное согласие пользователей не является единственным правовым основанием для поставщиков услуг по сбору и обработке личной информации пользователей.. Поэтому, политика конфиденциальности Интернета вещей не должна ограничиваться информированным согласием, а должна учитывать технические характеристики, и при определенных обстоятельствах, будет преобразовано из предварительного разрешения в обязательства по защите данных в процессе и после мероприятия. Кроме того, Осведомленность потребителей о конфиденциальности проснулась. Например, в опросе, 77% потребителей указали, что возможности защиты конфиденциальности и безопасность Интернета вещей являются важными факторами, которые следует учитывать при принятии решения о покупке.. Производители Интернета вещей должны учитывать вопросы конфиденциальности пользователей и безопасности данных при разработке и создании Интернета вещей.. Практикуйте концепцию «конфиденциальности по замыслу» и усиливайте контроль пользователей над данными..
Почему яоТ безопасность критический?
01. Почему безопасность Интернета вещей так важна сегодня
Сегодня, Устройства и приложения Интернета вещей широко используются в работе и жизни людей., и почти все объекты станут интеллектуальными, чтобы воспользоваться преимуществами подключения к глобальному Интернету..
Хотя в первые дни, сетевые угрозы были сосредоточены на ИТ-объектах предприятия, в современном мире они стали более распространенными и частыми. Прежде чем обсуждать меры безопасности для Интернета вещей, важно понимать некоторые векторы сетевых угроз, окружающих Интернет вещей..
02. Общие векторы угроз для Интернета вещей
Векторы угроз относятся к путям или средствам, с помощью которых киберпреступники могут получить доступ к основным системам компании, работающим в сети.. Некоторые из наиболее распространенных векторов угроз в IoT::
(1) Никаких физических границ
Граница сети Интернета вещей более открыта, чем традиционная граница Интернета.. Традиционные методы безопасности по ограничению доступа к устройствам больше недоступны.. Эти устройства IoT при необходимости перемещаются в любое новое место и имеют доступ к сети..
(2) Утечка данных Wi-Fi и Bluetooth
Конфигурации Wi-Fi и Bluetooth в IoT являются основными источниками утечки данных.. Bluetooth и WI-FI со слабыми паролями могут быть легко украдены сетевыми злоумышленниками во время передачи данных. Также, в большинстве случаев, пароль, используемый для конфигурации, не устанавливается уникально для каждого устройства. Если только одно устройство атаковано и скомпрометировано сетью, оставлен зазор для несанкционированного доступа.
(3) Физический доступ к устройствам Интернета вещей
Киберзлоумышленники получают физический доступ к устройствам и рабочим нагрузкам IoT, худший из всех векторов угроз. Благодаря этому доступу, Киберзлоумышленники могут легко получить доступ к внутренней информации IoT-устройств и их содержимому.. И используя такие инструменты, как BusPirate, Шикра, или логические анализаторы, они также могут читать весь трафик в сети. С физическим доступом, Киберзлоумышленники могут извлечь пароли, модифицировать свои программы, или заменить их другими устройствами, которые они контролируют.
03. ИоТ против ИТ
Хотя многие устройства Интернета вещей находятся на грани, ИТ-инфраструктура находится в облаке. Угрозы безопасности Интернета вещей могут привести к тому, что киберзлоумышленники получат доступ к основным ИТ-сетям через векторы угроз Интернета вещей.. Вот несколько реальных кибератак.
- Доступ к сети через систему HVAC приводит к утечке данных
По сообщениям СМИ, Таргет Инк., один из лучших 10 розничные торговцы в США, был взломан с целью украсть 40 миллионов номеров кредитных карт компании. Это одна из крупнейших утечек данных в мире.. Хакеры взломали системы отопления, вентиляции и кондиционирования, украв сторонние учетные данные, а затем получили доступ к корпоративным сетям.
- SubwayPoS подвергся хакерской атаке
В настоящее время есть сообщения об ошибках безопасности, связанных с PoS.. Взлом в SubwayPoS привел к потере $10 миллион, по крайней мере с 150 франшиз Subway нацелены. Аналогичный взлом произошел у американского книготорговца Barnes & Благородный, в котором считыватели кредитных карт в 63 магазины были атакованы и скомпрометированы.
Программа-вымогатель SamSam
Еще один известный случай взлома системы — кибератака программы-вымогателя SamSam., которые ударили по таким администрациям, как Министерство транспорта Колорадо и порт Сан-Диего в 2018 и внезапно прекратили свои услуги.
04. Правила Интернета вещей
Хотя некоторые правила Интернета вещей были изданы в некоторых странах и регионах., их недостаточно для снижения рисков, связанных с кибератаками.. В Калифорнии действуют разумные правила уровня безопасности, когда дело доходит до сдерживания кибератак.. Так же, Великобритания внедрила уникальную политику паролей, и предприятия должны предоставить четкие контактные данные для устройств Интернета вещей, подключенных к местной ИТ-инфраструктуре, чтобы выявлять уязвимости и выполнять регулярные обновления безопасности.. Хотя эти нормативные рекомендации приветствуются многими комментаторами по безопасности, неясно, кто будет обеспечивать соблюдение этой политики. Комментатор добавил, что они работают над тем, чтобы понять, как правила будут обеспечиваться существующими регулирующими органами..
Стратегии и меры кибератак обновляются гораздо быстрее, и эти правила могут издаваться или применяться ежегодно или раз в полгода.. Поэтому, трудно справиться с атаками, осуществляемыми киберзлоумышленниками, только полагаясь на политику регулирования..
05. Какие меры безопасности должны принимать компании
При соблюдении вышеуказанных правил, предприятия должны разработать свои меры безопасности для внедрения устройств Интернета вещей..
Первый, они должны определять безопасность устройств Интернета вещей. Крайне важно обеспечить уникальность устройств Интернета вещей., которые являются основой для других мер безопасности.
Затем, на основе уровня идентификации, программное обеспечение защищено такими мерами, как подписанный код, прошивка, так далее.
Окончательно, предприятие должно обеспечить соблюдение требований на самом верхнем уровне, чтобы решить, какие версии программного обеспечения будут использоваться..
ИоТ аппаратная безопасность
В дизайне электронных изделий, безопасность превыше всего. Особенно это касается комплекса, ограниченный в ресурсах, и тесно связанный Интернет вещей (Интернет вещей). Достижение безопасности Интернета вещей требует использования проверенных принципов безопасности и бдительности в отношении развивающихся угроз.. Но инженеры-проектировщики сталкиваются с некоторыми проблемами безопасности Интернета вещей при выводе продуктов на рынок..
01. Интернет вещей сталкивается с угрозами безопасности
Интернет вещей в настоящее время внедряется в большинство промышленных и коммерческих операций., в том числе коммунальные услуги, критическая инфраструктура, транспорт, финансы, розничная торговля, и здравоохранение. Устройства Интернета вещей могут воспринимать и измерять физический мир, а также собирать данные о различных видах деятельности человека., содействие широкому внедрению интеллектуальных, автоматизированный, и технологии автономного управления и контроля.. Благодаря повсеместному Интернету вещей, соединяющему интеллектуальные устройства, предприятия способны создавать поистине революционные технологии, которые улучшат все аспекты человеческого общества и экономической жизни в будущем.. Тем не менее, почти каждую неделю ведущие СМИ сообщают о нарушениях цифровой безопасности.. Заявленные убытки часто связаны с кражей или неправомерным использованием информации о потребительских кредитных картах., которые являются каплей в море по сравнению с тысячами кибератак, происходящих каждый день.. Атаки на безопасность включают кражу ценных данных и нанесение масштабного ущерба., и даже больше, взять под контроль критические системы. С точки зрения потребителя, Распределенный отказ в обслуживании (DDoS-атаки) нападения, вероятно, являются наиболее распространенной угрозой. Ботнет Mirai, который разрушил весь Интернет в 2016, прозвучал первый сигнал тревоги, информирование ведомств об угрозе. После Мирай, Аидра, Вифатч, и Гафгыт, а также новые ботнеты, такие как BCMUPnP, Хантер52, и Тории53, совокупно проникли в миллионы IoT-устройств и распространили вредоносное ПО для DDoS-атак., майнеры криптовалюты, и спам.
В нашей работе и жизни появляется все больше устройств Интернета вещей., потенциальные атаки безопасности повсюду и во все больших масштабах. Возьмем, к примеру, интеллектуальное управление дорожным движением.. Представьте себе крупный город, где инфраструктура датчиков, светофор, автомобильные сетчатые сети, и устройства управления, которые контролируют поток трафика, подвергаются воздействию злоумышленников.. Управление светофорами или связь между транспортными средствами через беспроводные сети на важных перекрестках уже не являются предметом голливудских блокбастеров., но реальная и серьезная проблема.
Подумайте также о медицинских устройствах с доступом в Интернет., умные этикетки в магазинах, которые помогут улучшить качество розничных покупок, и как подключена наша техника. Если вы можете использовать свой смартфон, чтобы запустить плиту, разблокировать замок и отключить сигнализацию, а как насчет всех остальных?
Приведенные выше примеры актуальны для всех нас., но есть много ситуаций, невидимых для обычного потребителя. Представьте себе Промышленный Интернет вещей (IIoT) развернуто для автоматизированных производственных сред. Каким был бы хаос, если бы произошло нарушение безопасности, и каковы будут финансовые затраты на простой производства и повреждение оборудования?
Поскольку потенциал атак растет в геометрической прогрессии, Безопасность Интернета вещей должна быть комплексной и надежной, с возможностью быстрого восстановления.
02. Ты не должна полагаться только на программный подход
Попытки прослушивания телефонных разговоров или незаконного получения информации не являются чем-то новым.. Голландский компьютерный исследователь Вим Ван Эк работает над этим с тех пор. 1985. Он успешно извлек информацию с дисплея, перехватив его электромагнитное поле и расшифровав его.. Его новаторская работа подчеркнула тот факт, что можно обойти дорогостоящие меры безопасности, используя недорогие компоненты..
Такие неинтрузивные и пассивные электромагнитные атаки по побочным каналам в настоящее время становятся все более изощренными и являются одним из многих видов атак.. Другие методы атаки по граничному каналу включают дифференциальный анализ мощности. (ДПА) и другие, которые обычно используются вместе с электромагнитными атаками по граничному каналу.. Благодаря этой атаке, конфиденциальная информация, такая как ключи шифрования, пароли, и личные данные в микроконтроллере устройства IoT будут «скомпрометированы» в виде электромагнитных сигналов при выполнении инструкций обработки шифрования.. Широкополосные приемники как программно-определяемые радиоприложения в настоящее время очень недороги и могут использоваться для обнаружения и хранения электромагнитных сигналов во время работы..
DPA — более сложный метод воровства, который может понять энергопотребление процессора во время работы устройства посредством простого анализа мощности. Поскольку мощность, потребляемая устройством обработки, будет меняться в зависимости от выполняемой функции, дискретные функции можно определить, зная потребляемую мощность. Функции алгоритмов шифрования на основе AES, ЕСС, и RSA требуют большого количества вычислений и могут быть идентифицированы с помощью анализа измерения мощности.. Изучение энергопотребления с микросекундными интервалами позволяет выявить различные числовые операции, часто используемые в криптографии., например, умножение суммы квадратов. DPA добавляет статистику и методы исправления ошибок к простому анализу мощности., который может реализовать высокоточное декодирование конфиденциальной информации.
Утечка данных через проводную или беспроводную связь также может привести к раскрытию конфиденциальной информации.. Скрытые каналы и атаки «человек посередине» — эффективные способы сбора данных путем прослушивания связи между устройствами Интернета вещей и хост-системами.. Анализ этих данных может выявить протоколы управления устройствами и секретные ключи, необходимые для управления работой удаленно подключенных устройств..
Другой метод атаки, используемый хакерами, — это атаки на незащищенные микроконтроллеры и беспроводные системы на кристалле. (SoC) устройства. В самом простом случае, этот метод может уменьшить или повлиять на напряжение питания микроконтроллера., делаю странные ошибки. Эти ошибки могут затем привести к тому, что другие защищенные устройства откроют реестры, содержащие конфиденциальную информацию., тем самым подвергая их вторжению. Вмешательство в тактовый сигнал системы путем изменения частоты, установка неправильного триггерного сигнала, или изменение уровня сигнала также может привести к сбоям в работе устройств IoT, которые могут раскрыть конфиденциальную информацию или привести к манипулированию функциями управления.. Оба случая требуют физического, но не инвазивный, доступ к печатным платам внутри устройства.
Поскольку многие технологии безопасности, используемые для защиты устройств Интернета вещей, основаны на программном обеспечении., информация безопасности может быть прочитана незаконно. Стандартные алгоритмы криптографического шифрования, такие как AES., ЕСС, и RSA работают как программные стеки на микроконтроллерах и встроенных процессорах.. Устройства и программное обеспечение стоимостью менее $100 может использоваться не только для просмотра энергопотребления, но и для получения ключей и другой конфиденциальной информации с использованием технологии DPA.. Теперь легко получить готовые программные инструменты DPA для автоматизации всего процесса, даже не владея этими аналитическими методами..
Подобные атаки больше не ограничиваются областью теории., и они широко использовались хакерами по всему миру.
По мере увеличения интенсивности атаки, разработчикам устройств и систем Интернета вещей необходимо пересмотреть свои методы защиты и улучшить функции защиты, чтобы сделать их более надежными и отказоустойчивыми..
03. Аппаратный подход к защищая меняоТ безопасность
Прежде чем разрабатывать новое устройство Интернета вещей, лучше всего иметь полное представление о том, каким атакам может быть подвержено устройство., и от каких угроз нужно защищаться. Целесообразно с самого начала рассмотреть требования безопасности и включить их в спецификации продукта.. Большинство устройств Интернета вещей, как правило, служат долгие годы., и одно это может привести к новым атакам, так что это нужно учитывать. Поэтому, Обновление прошивки должно выполняться по воздуху (ОТА), и защитить от всех атак, для реализации аппаратной системы безопасности необходим подход «чип-облако».
Чип безопасности OPTIGA® Trust M2 ID2, недавно выпущенный компанией Infineon, представляет собой полностью аппаратное решение безопасности., и его самым большим преимуществом является то, что он может противостоять атакам на аппаратном уровне.. Он использует специально разработанную оптимизированную логику для лучшей защиты хранения данных.. Несмотря на то, что очень профессиональный реверс-инжиниринг, исходные данные не могут быть легко взломаны и взломаны. Некоторые профессиональные разработки и нестандартные реализации кода на самом деле сложны для анализа и понимания.. Наиболее важным моментом является то, что аппаратное решение на основе чипа безопасности может обеспечить доверенный «корень» для всей системы и источник доверия для всей системы..
ИоТ безопасность прошивки
Количество IoT-терминалов растет как на дрожжах., соответствующие правила и стандарты безопасности Интернета вещей постепенно внедряются., и безопасности встроенного ПО малоресурсных встраиваемых устройств постепенно будет уделяться внимание.. В качестве комплексной платформы обнаружения безопасности Интернета вещей., TinyScan действительно сканирует и извлекает скрытую конфиденциальную информацию и риски безопасности из источника. Как разработчики прошивок, так и пользователи прошивок могут использовать этот инструмент для определения статуса безопасности указанной прошивки и осуществления целевой защиты или уклонения от нее., тем самым уменьшая количество проблем с безопасностью Интернета вещей, вызванных уязвимостями встроенного ПО..
В эпоху Интернета вещей, трехслойная структурная модель восприятия, передача инфекции, и приложение часто используется, и встроенные устройства, такие как датчики, шлюзы, и контроллеры, распределенные по трем уровням, создали большое количество новых проблем безопасности.: архитектура.
01. Сбезопасность системы
В настоящий момент, в основных встраиваемых операционных системах по-прежнему доминируют Linux или его производные., и разные компании настраивают и разрабатывают системы Linux в соответствии с требованиями и характеристиками своего продукта.. Однако, из-за того, что ресурсы встроенных устройств ограничены, сложно полностью перенести существующие решения по обеспечению безопасности на устройства IoT.
02. Безопасность компонентов
Поскольку встроенные устройства используют Linux в качестве операционной системы, обязательно будут использоваться многие компоненты с открытым исходным кодом. Скрытые проблемы некоторых компонентов с открытым исходным кодом в режиме C/S могут быть заново обнаружены и использованы в эпоху Интернета вещей.. Потому что в пространстве одновременно присутствует большое количество одинаковых IoT-устройств., если прошивка устройства не была обновлена вовремя после возникновения уязвимости, это может привести к большим потерям.
03. р&D Безопасность
В эпоху Интернета, клиент не может напрямую получить доступ к серверу и управлять им, но это явление изменилось в эпоху Интернета вещей. Через инструмент обратного хода с открытым исходным кодом, пользователи могут легко получить файлы конфигурации и текстовую информацию, оставшуюся в прошивке устройства., а затем напрямую получить права доступа устройства, создавая угрозу для большого количества устройств одной и той же спецификации.
Нам следует провести анализ безопасности прошивки по следующим параметрам:, и выводить результаты анализа в виде отчетов.
(1) Анализ безопасности службы файловой системы
● Автоматически сканирует и получает основную информацию о файловой системе встроенного ПО., включая архитектуру процессора, время установки, режим сжатия, тип, размер, и режим хранения файловой системы.
● После получения основной информации о файловой системе, вы можете определить тип цели сканирования и переключиться на разные ядра сканирования.
(2) Система & кодирование анализа услуг
● Получить информацию о системном обслуживании., включая путь к системному сервису и значение MD5.
● Путем получения информации о системных службах., статус самозапуска системной службы может быть известен, и такая информация, как наличие неизвестных вредоносных сценариев в службе самозапуска, может быть быстро получена..
(3) Компонент & анализ безопасности программного обеспечения SPA
● Направленное сканирование., получение системного компонента & информация о программном обеспечении, включая компонент & путь к программному обеспечению, описание, и адрес сайта;
● Получив компонент & информация о программном обеспечении, вы можете быстро получить информацию о версии компонента & программное обеспечение, установленное в прошивке, а затем соответствующим образом выполнить сканирование безопасности.
(4)Восстановление пароля пользователя
● Направленное сканирование., получить информацию о пароле пользователя, включая путь к файлу, связанному с паролем, и информация о пароле;
● После восстановления пароля пользователя., может быть выявлена утечка информации о пароле, вызванная нестандартной разработкой прошивки.
(5)Анализ безопасности шифрования аутентификации
● Автоматически сканирует и получает информацию о файле аутентификации шифрования., включая путь и информацию о шифровании файла аутентификации шифрования.;
● После обнаружения аутентификации шифрования., утечка информации аутентификации шифрования, вызванная нестандартной разработкой прошивки, может быть раскрыта.
(6)Анализ чувствительных информационная безопасность
Автоматическое сканирование и получение подозрительной конфиденциальной информации в прошивке включает, помимо прочего, жестко запрограммированный токен/ключ., жестко закодированный пароль конфигурации, жестко заданный IP-адрес, жестко заданный HTTP-адрес, утечка файла кэша, и т. д., которые могут привести к утечке конфиденциальной информации, вызванной нестандартной разработкой прошивки.
(7)Обнаружение уязвимостей CVE
Быстрое обнаружение информации об уязвимостях CVE в файловой системе., включая CVE-ID, время выпуска, описание, и уровень. После обнаружения уязвимости CVE, вы можете получить последнюю информацию об уязвимостях CVE для программного обеспечения, установленного в текущей сканируемой прошивке..
Интернет вещей(Интернет вещей) безопасность программного обеспечения
72% руководителей информационной безопасности считают, что облачные вычисления являются главным приоритетом цифровой трансформации. Облачное программное обеспечение Интернета вещей объединяет как цифровые, так и физические элементы безопасности, благодаря чему данные могут быть доступны и использованы более защищенными телефонами..
Что может облачное Программное обеспечение Интернета вещей довести до охраны? Эта статья объяснит вам, как программное обеспечение Интернета вещей может эффективно помочь улучшить безопасность в сфере безопасности.. Также будет показано, как сочетать цифровые и физические элементы безопасности для борьбы с инцидентами безопасности..
01. Влияние облачного программного обеспечения IoT
Облачное программное обеспечение IoT используется в бизнесе по-разному.. Облачные решения приносят пользу в сфере безопасности.. В его ядре, Технология Интернета вещей трансформирует корпоративный сектор, обновление способа работы предприятий.
02. Интегрируйте облачные решения для использования данных
Данные очень важны в каждой отрасли, и сфера безопасности не является исключением. С облачными решениями, хранение данных и информации в едином интерфейсе может помочь компаниям быть в курсе того, что происходит в бизнесе..
Кроме того, путем объединения программного обеспечения с искусственным интеллектом и облачных решений., сотрудники службы безопасности могут лучше выявлять потенциальные угрозы безопасности. Использование облачных технологий Интернета вещей может повысить производительность.. В связи с обширными обязанностями сотрудников службы безопасности, мониторинг камер в реальном времени невозможен. Технология Интернета вещей может помочь сотрудникам службы безопасности получать информацию о камерах и регистрировать отзывы в любое время., в любом месте, помощь в разработке более эффективных политик безопасности. Некоторые решения Интернета вещей предоставляют оповещения в режиме реального времени персоналу службы безопасности, что сочетает в себе видео в реальном времени и инструменты анализа искусственного интеллекта для улучшения функциональности системы безопасности и ускорения реагирования на инциденты безопасности..
03. объединитье сила физического и кибер безопасность
Сочетание цифровой и физической безопасности полезно для оптимизации систем безопасности Интернета вещей., помогая защитить системы от онлайн-взломов и взломов. Плюс, меры физической безопасности помогают защитить конфиденциальную информацию от хакеров. Чем сильнее слияние элементов цифровой безопасности и групп физической безопасности., тем более защищенной будет организация.
04. Автоматические обновления программного обеспечения
Поддержание актуальности всего программного обеспечения чрезвычайно важно для обеспечения того, чтобы ваша организация не подвергалась угрозам кибербезопасности, даже если системы IoT были взломаны.. Традиционно, локальные системы безопасности обновляются вручную сертифицированными специалистами при каждом новом обновлении. Использование облачного программного обеспечения, обновления можно выполнять не только на месте или удаленно, но также может быть автоматизировано, значительно сокращая затраты.
05. Дистанционная функция
Благодаря гибкому развитию облачных технологий Интернета вещей, сотрудники службы безопасности могут управлять инструментами безопасности удаленно с помощью мобильных устройств. Например, система видеодомофона, используемая в современной системе контроля доступа, позволяет сотрудникам службы безопасности проверять личность посетителя, совершая видеовызов с помощью смартфона посетителя. Кроме того, программа домофона также поддерживает удаленную разблокировку. Когда личность посетителя подтверждена, дверь можно открыть удаленно, чтобы посетитель мог войти. За счет использования облачных технологий IoT, процедура аутентификации посетителей упрощается, а время проверки значительно сокращается, что позволяет посетителям быстрее войти в здание.
06. Подведем итог
Внедрение облачной IoT-решение в стратегии защиты безопасности предприятия способствует созданию системы безопасности, идущей в ногу со временем. Кибербезопасность — это угроза и вызов, с которыми сталкиваются предприятия при использовании технологий Интернета вещей.. Но объединив физические и цифровые элементы безопасности, облачные системы Интернета вещей могут быть в значительной степени защищены от уязвимостей и лучше защищены, чтобы помочь предприятиям справиться с меняющейся средой безопасности..
Интернет вещей(Интернет вещей) сетевая безопасность
Одновременно с бурным развитием Интернета вещей, также часто возникают проблемы безопасности Интернета вещей. Некоторые инциденты, связанные с добычей полезных ископаемых и угоном оборудования, происходили неоднократно.. Продукты для умного дома продолжают находить лазейки в безопасности, что приведет к необратимым экономическим потерям в случае использования лазеек. В то же время, это также отражает важность безопасности как инфраструктуры приложений Интернета вещей на ранней стадии построения индустрии Интернета вещей..
В последние годы, с прорывом таких ключевых технологий, как 5грамм, развитие Интернета вещей продвинулось семимильными шагами. В то же время, из-за воздействия Covid-19, увеличилось количество офисных форм удаленной работы, что не только приносит удобство предприятиям, но и позволяет хакерам атаковать конфиденциальную информацию компании..
Интернет вещей проник во все аспекты нашей жизни. Частые атаки на интеллектуальные устройства ставят под угрозу личную конфиденциальность и безопасность. Критическая инфраструктура также сталкивается с огромными рисками при реализации цифровой сетевой трансформации.. Безопасность Интернета вещей требует создания разумных планов и правил управления, обеспечивающих своевременное обнаружение и эффективное восстановление рисков..
Проблемы безопасности Интернета вещей в основном связаны с безопасностью данных., конфиденциальность, репликация, и угрозы RFID-системы.
- Атаки на RFID: RFID-технология — популярная технология Интернета вещей., в настоящее время в основном используется в «беспилотных супермаркетах» и других областях.
- Атака на WSN: WSN — беспроводная сенсорная сеть.. Нижний уровень Интернета вещей — уровень восприятия.. Этот уровень включает в себя большое количество датчиков.. Когда датчики работают, они будут генерировать большой объем данных. Как только они будут перехвачены преступниками в процессе передачи, последствия будут невообразимыми. WSN в настоящее время имеет соответствующие приложения в вооруженных силах..
- Атаки на маршрутизаторы: Маршрутизаторы являются очень важными сетевыми устройствами.. Однажды атакованный, сеть может быть парализована. Кроме того, происходят атаки на линии связи, атаки на пользователей, и атаки на серверы.
Конкретно, Основные угрозы безопасности, с которыми в настоящее время сталкивается Интернет вещей, можно резюмировать как три аспекта «облачного, трубка, и покончить с безопасностью:
(1)Безопасность терминала Интернета вещей
Первый аспект — безопасность терминала IoT.. Как репрезентативный продукт глубокой интеграции информационного и физического пространства., Терминалы Интернета вещей быстро распространились от новаторских продуктов для личного потребления до различных областей экономики и общества.. Оно дает образование, медицинская помощь, розничная торговля, энергия, строительство, автомобиль, и многие другие отрасли с новыми средствами обслуживания, и поддерживает улучшение основных городских функций, таких как правительственные учреждения., общественная безопасность, транспорт, и логистика. Существующее терминальное оборудование IoT ориентировано на реализацию функций., в то время как традиционные производители оборудования имеют недостаточные возможности обеспечения безопасности, учитывать такие факторы, как время и стоимость, и вообще игнорировать вопросы безопасности при проектировании терминалов.
Терминалы Интернета вещей можно разделить на интеллектуальные и неинтеллектуальные терминалы.. Большинство интеллектуальных терминальных устройств имеют встроенные операционные системы и терминальные приложения., в то время как большинство неинтеллектуальных терминальных устройств имеют единую структуру и функцию, и выполнять только такие функции, как сбор и передача данных. Поэтому, интеллектуальные терминальные устройства представляют большую угрозу информационной безопасности.
(2)Безопасность конвейера IoT
Второй аспект — безопасность конвейера Интернета вещей.. «Трубка» Интернета вещей — это трубопровод, соединяющий «облако» и «конец». Безопасность «трубки» Интернета вещей — это безопасность информационного конвейера с большой пропускной способностью и интеллектом.. По данным расследования информационного конвейера Интернета вещей, Установлено, что существуют четыре основные угрозы безопасности конвейера Интернета вещей..
(3)Безопасность облачных сервисов Интернета вещей
Третий, Безопасность облачных сервисов Интернета вещей. Вообще говоря, Облачные сервисы Интернета вещей используются, когда информация передается другим сторонам.. Поэтому, защита безопасности облачных сервисов также является ключевым звеном в защите безопасности Интернета вещей..
Способы повышения безопасности Интернета вещей
Предприятия должны повысить безопасность устройств Интернета вещей, иначе они нанесут огромные финансовые и репутационные потери.. Шифрование данных и внутренний мониторинг — это лишь некоторые из способов, с помощью которых компании могут сосредоточиться на повышении безопасности устройств Интернета вещей..
01. Используйте облачную инфраструктуру и защиту программного обеспечения
Сетевое устройство Cumulonimbus обеспечивает безопасность устройства, поскольку помогает поддерживать конфиденциальность и целостность информации, записанной устройством.. В то же время, информация на бирже может быть зашифрована и защищена от хакеров.
02. Дизайн а безопасность устройство и создать отдельную сеть
Важно разработать лучшее устройство, ориентированное на повышение безопасности устройств Интернета вещей.. Для изменения системы устройства важна своевременная внутренняя проверка поведения устройства в определенных условиях..
03. Применять яоТ API к защита от подделки личности
Роль защиты API заключается в том, чтобы позволить только авторизованным устройствам взаимодействовать друг с другом.. Компании и пользователи могут быть уведомлены о любом несанкционированном доступе и работе системы..
В современном мире, количество используемых IoT-устройств растет. В то же время, Развитие Интернета вещей сталкивается с проблемами. Предприятия должны постепенно осознавать важность безопасности Интернета вещей и продолжать совершенствовать технологии для защиты безопасности устройств..
Какие отрасли экономики наиболее уязвимы яоТ угрозы безопасности?
Проблемы безопасности IoT пронизывают все отрасли и области. То есть, до тех пор, пока отрасль связана с человеческой жизнью и имуществом, он уязвим для угрозы безопасности Интернета вещей.
Например, нападение на холодильную систему, в которой находится наркотик, контролируется системой IoT, может нарушить жизнеспособность лекарства, если температура колеблется. Так же, последствия атак на нефтяные скважины, водные системы, и энергосети, критическая инфраструктура, которая сильно влияет на жизнь людей, может быть разрушительным.
Однако, другие атаки не следует недооценивать. Например, атака на умный дверной замок может позволить ворам проникнуть в умный дом. Или, в других случаях, такой как 2013 Целевой взлом или другие нарушения безопасности, злоумышленники могут доставлять вредоносное ПО через подключенные системы (система HVAC в целевом случае) украсть личную информацию и нанести ущерб пострадавшим.
01. Как может яоТ системы и устройства будут защищены
Подход к обеспечению безопасности Интернета вещей зависит от приложения Интернета вещей и от того, где находится бизнес в экосистеме Интернета вещей.. Разработка и интеграция безопасного программного обеспечения должны быть в центре внимания на начальном этапе разработки программного обеспечения Интернета вещей.. Развертывание систем Интернета вещей требует внимания к аутентификации и аппаратной безопасности.. Так же, для операторов, поддержание систем в актуальном состоянии, сокращение количества вредоносных программ, аудит инфраструктуры, и защита учетных данных имеет решающее значение.
Стандарты безопасности и законодательство для Интернета вещей (США и Европа)
01. Рекомендации ЕС по безопасности Интернета вещей
Агентство кибербезопасности ЕС выпустило рекомендации по безопасности для Интернета вещей.. На 9 ноябрь 2020, Агентство кибербезопасности Европейского Союза (ЭНИСА) опубликовал Руководство по безопасности для Интернета вещей (Интернет вещей) (именуемые в дальнейшем «Руководящие принципы»), целью которой является помощь производителям IoT, Разработчики, интеграторы, и заинтересованные стороны, владеющие цепочками поставок IoT, принимают оптимальные решения при построении, развертывание, или оценка технологий Интернета вещей. Целью Руководства является определение и выявление проблем и угроз безопасности Интернета вещей для обеспечения безопасности цепочки поставок Интернета вещей.. В Руководстве даны пять рекомендаций: Первый, Субъекты Интернета вещей должны улучшать отношения друг с другом, в том числе придание приоритета сотрудничеству с поставщиками, предоставляющими гарантии кибербезопасности, работаем над повышением прозрачности, разработка инновационных моделей доверия, и предоставление обязательств по безопасности перед клиентами. Во-вторых, дальнейшая популяризация профессиональных знаний в области сетевой безопасности., усилить содержание и подготовку специалистов, и повысить осведомленность пользователей Интернета вещей о безопасности. Третий, безопасность достигается за счет улучшения стандартов проектирования IoT, включая принятие принципов проектирования безопасности, использование новейших технологий контроля и аудита безопасности, и реализация механизмов удаленного обновления. Четвертый, принять более комплексный и явный подход для повышения безопасности, включая разработку комплексных планов испытаний, интеграция механизмов аутентификации в схемы, и использование заводских настроек по умолчанию. Пятый, в полной мере использовать существующие стандарты и успешные практики для повышения безопасности продукции и качества обслуживания в цепочке поставок..
02. Соединенные штаты. Интернет вещей Кибер Закон о повышении безопасности 2020
Законопроект принят в сентябре 14, 2020. Учитывая, что безопасность устройств Интернета вещей является новой киберпроблемой, имеющей приоритет национальной безопасности., Законопроект направлен на повышение безопасности федеральных устройств, подключенных к Интернету, путем решения проблем кибербезопасности до того, как устройства IoT будут введены в федеральное пользование.. Закон требует, чтобы все устройства Интернета вещей, используемые федеральным правительством, соответствовали минимальным стандартам безопасности, опубликованным NIST..
03. Австралийский кодекс практики: яоТ Защита потребителей
Закон был опубликован правительством Австралии в сентябре. 3, 2020, и рассматривается как первый шаг на пути к повышению безопасности IoT-устройств в стране.. Учитывая глобальный характер безопасности устройств IoT, отраслевые стандарты, предложенные Кодексом поведения, соответствуют другим международным стандартам и основаны на 13 принципы, в основном, включая отсутствие повторения слабых паролей или паролей по умолчанию., реализация политики раскрытия уязвимостей, постоянные обновления безопасности программного обеспечения, Учетные данные надежно хранятся, защита персональных данных обеспечена, воздействие на атакуемые поверхности сведено к минимуму, связь защищена, целостность программного обеспечения обеспечивается, системы устойчивы к сбоям, системы мониторинга данных измерений, так далее. Среди них, криптография, раскрытие уязвимости, и действия по обновлению безопасности рекомендуются в качестве трех основных принципов, которые приоритетны в отрасли, поскольку они обеспечивают наибольшие преимущества в области безопасности за короткий период времени..
04. Сходства и различия между европейскими, НАС, и австралийские законы и рекомендации по безопасности Интернета вещей.
Законы улучшают стандарты защиты устройств IoT во многих отношениях.. В этой статье представлен ряд стандартов безопасности для устройств Интернета вещей в Европейском Союзе., Соединенные Штаты, и Австралия, например, обеспечение достаточной сложности пароля устройства., методы многофакторной аутентификации, обеспечение безопасности учетных данных, таких как безопасное хранение, своевременное раскрытие информации, и устранение уязвимостей безопасности, предоставление регулярных обновлений безопасности для минимизации риска кибератак и т. д..
Все три закона направлены на усиление защиты личной жизни в Интернете вещей.. Законы и руководящие принципы в ЕС, НАС, и Австралия делают защиту конфиденциальности важной частью безопасности Интернета вещей.. Например, Австралия предложила в своем кодексе практики, чтобы устройства IoT по умолчанию имели защиту конфиденциальности., и что персональные данные должны обрабатываться с предварительного согласия пользователя. И устройство должно поддерживать возможность удаления личных данных пользователями в любое время и иметь право и время отменить конфиденциальность., чтобы максимизировать защиту личной конфиденциальности и конфиденциальных данных пользователей..
Сфера действия и цели законов различаются.. Австралийский кодекс поведения ориентирован на потребителя., помощь в повышении осведомленности о средствах защиты, связанных с устройствами Интернета вещей., повышение доверия потребителей к технологиям Интернета вещей, и предоставление Австралии возможности извлечь выгоду из его внедрения. Рекомендации ЕС нацелены на субъектов цепочки поставок Интернета вещей, таких как разработчики устройств Интернета вещей и разработчиков программного обеспечения., производители, эксперты по безопасности, группы закупок, и другие субъекты цепочки поставок. Путем изучения и реагирования на различные угрозы безопасности, с которыми сталкивается цепочка поставок на разных этапах., цель построения безопасной экосистемы Интернета вещей достигнута. Закон США в основном распространяется на федеральное правительство США и направлен на регулирование правительственной оценки безопасности устройств Интернета вещей и обеспечение соответствия устройств Интернета вещей, приобретаемых и используемых государственными учреждениями, стандартам безопасности..
Государственное регулирование безопасности Интернета вещей имеет разные последствия. Руководящие принципы ЕС и Кодекс практики Австралии не являются обязательными, поскольку соответствующие меры рекомендуются соответствующими государственными органами.. Соединенные штаты. законопроект является правительственным и содержит несколько мандатов, такие как явное требование к Национальному институту стандартов и технологий (НИСТ) публиковать стандарты и рекомендации по использованию безопасности подключенных к Интернету устройств в рамках 90 дней принятия федеральным агентством законопроекта о руководстве органами исполнительной власти и бюджетом. Провести интернет-цензуру.; федеральное правительство и агентства не будут покупать или использовать устройства Интернета вещей, которые не соответствуют требованиям безопасности..
