什麼是物聯網安全 & 隱私問題?

經過
傑夫
-
0
14618
目錄 展示

物聯網部署引發了許多與物聯網設備功能相關的物聯網安全問題, 例如在處理和儲存能力方面需要輕量級的加密演算法, 以及標準協議的使用。物聯網設備 由於其處理能力較低且記憶體資源有限,因此比傳統的基於互聯網的電腦更容易受到安全威脅, 加大保護力度. 目前網際網路網路協定從IPv4過渡到IPv6意味著越來越多的物聯網設備擁有全球IP位址, 這可以幫助識別這些設備作為安全攻擊的目標. 物聯網設備的自主運作和通訊也有利於安全攻擊. 所以, 物聯網系統迫切需要新的、更強大的安全解決方案. 本文將帶您了解物聯網從網路到硬體, 軟體, 以及其他安全議題的各個層面的討論.

1. 什麼是物聯網安全問題?

什麼是物聯網安全問題?

IoT 安全性問題與 IT 安全有許多共同點. 然而, 隨著物聯網系統的出現並將個人的私生活數位化,物聯網系統需要更高的敏感度和保密性. 物聯網技術的敏感度源自於對安全性的高要求, 具有極高的保密性, 真實性, 隱私, 和誠信. 物聯網安全存在物理和邏輯問題. 一方面, 物理問題是設備的能量. 大多數物聯網設備由電池供電, 所以能量相對不足. 另一方面, 物聯網設備的處理能力相對較低,記憶體資源有限. 認證有邏輯問題, 惡意軟體防護, 隱私保護, 和監視.

互聯網及其技術堆疊已經存在了幾十年. 這段時間, 集中式客戶端和伺服器架構是建立目前平台和服務的基礎. 從物聯網的角度來看,這些架構也可能很麻煩. 例如, 當無數無線感測器需要將其資料提交回集中服務時, 整體服務應該能夠將安全性更新分發到去中心化或分散式感測器網絡. 這些感測器網路通常受益於分散式通訊架構, 在某種程度上它是自我管理的. 傳統上, 創建去中心化架構的一個障礙是其他參與者的信任. 加密貨幣比特幣的引入假設兩方之間不需要信任. 這是透過納入分散式共識機製作為新交易驗證的證明,同時利用早期交易歷史記錄來實現的. 因此,這延伸到了加密貨幣範圍之外的廣義交易的設計. 今天, 這種通用機制通常被稱為區塊鏈.

近期監理機構關注, 尤其是在歐盟, 促使人們更加關注物聯網領域的安全與隱私. 採用區塊鏈技術作為未來物聯網系統滿足監管要求的可行解決方案具有巨大潛力. 關於物聯網設備設計的法規要求, 歐洲議會最近通過了新的指示和法規. 這些要求, 這可以被認為是世界上最嚴格的, 適用於向歐盟提供或處理歐盟居民個人資料的設備製造商以及服務和平台提供商.

另外, 歐盟成員國為處理敏感資訊的領域提供了一些特定部門的法規, 例如醫療保健和金融服務. 美國缺乏通用的資料保護或隱私法,主要依賴少數與產業相關的隱私相關立法. 美國設計資訊系統的方法使得就維護一定程度的隱私達成共同結論變得更加困難. 例如, 而同一個物聯網系統可以在不同地區使用, 缺乏共同的隱私要求或定義表明了這一點. 因此,製造商必須至少在一定程度上預期設計系統的預期用途, 以及設計系統的預期用途(如果限制進入美國). 市場.

另一方面, 人們可以將歐盟監管要求視為處理個人資料或與某些重要基礎設施營運商打交道時應滿足的義務基準. 歐盟有兩項法律法規負責資訊系統的開發和管理. 它們是《一般資料保護規範》 (一般資料保護條例) 以及網路和資訊系統安全指令 (NIS指令). 

GDPR 成員國之間可能存在一些細微差別, 但它為歐盟內部統一的數位單一市場奠定了基礎. 作為指令, 成員國可能對 NIS 採取不同的方法, 儘管它定義了資訊系統的最低安全責任級別.

什麼是物聯網(物聯網) 隱私?

Internet of Things(物聯網) 隱私

隨著發展 物聯網技術, 數位科技進一步滲透到我們的生活和環境中. 根據策略分析, 全球連網設備數量達到 22 年底達億元 2018 並預計達到 50 十億 2030. 基於樂觀數據, 物聯網與人工智慧的結合將創造更智慧的通訊方式。全面的, 物聯網的社會和經濟影響將是巨大的, 互聯設備融入我們生活的各個層面, 從穿戴式裝置到車聯網再到智慧家居再到萬物互聯. 物聯網的便利性和無所不在將帶來巨大的效益, 但這也意味著資訊收集從線上世界轉向線下世界, 我們的身體和私人空間成為資訊收集的來源. 在此背景下, 物聯網, 尤其是與消費者物聯網相關的隱私問題, 已成為人們關注的焦點. 在九月 19, 互聯網協會發布了一份關於物聯網隱私的報告,名為“政策簡報”: 政策制定者的物聯網隱私權“, 分析物聯網對個人隱私保護帶來的風險與挑戰, 並為政策制定者提出具體行動建議, 物聯網服務提供者和其他利害關係人, 並呼籲強化多方利害關係人協同參與的治理模式.

物聯網的發展使電腦以外的日常物體和感測器能夠產生, 以更少的人為幹預交換和使用數據. 今天, 物聯網呈現規模化發展趨勢 (連接設備的數量持續增加), 親密感 (穿戴式裝置和植入人體的設備, ETC。), 無所不在的, 始終連接, 和聰明的. 但這種發展規模可能會影響隱私權保護, 使個人更容易被識別, 被追蹤的, 異型, 並影響了.

物聯網對個人隱私保護的挑戰包括: 第一的, 物聯網保護涉及面廣, 包括不同部門和司法管轄區的監管邊界. 一方面, 隱私立法往往按領域劃分, 例如醫療隱私, 財務隱私, 學生隱私, ETC。, 物聯網設備和服務很難分類. 另一方面, 不同的國家和地區對於物聯網設備和服務可能有不同的隱私立法,並且當資料收集和處理髮生在不同的司法管轄區時將面臨不同的法規. 第二, 物聯網很難獲得用戶的知情同意. 當部署物聯網時, 除了獲得設備所有者的知情同意外, 很難同時得到周遭其他人的同意. 物聯網設備與手錶等常見物品沒有什麼不同, 揚聲器, 和電視, 因此很難知道設備是否正在收集和處理數據. 最後, 物聯網挑戰 隱私保護的透明原則. 例如, 與網站不同, 應用程式, ETC。, 物聯網設備和服務可能無法向使用者顯示其隱私權政策, 並且可能無法很好地通知用戶他們正在收集數據.

為了更好地應對這些挑戰,加強物聯網相關個人隱私的保護, 網路協會提出四點建議: 第一的, 加強用戶對物聯網設備和服務的有意義的控制, 並加強物聯網資料管理. 具體來說, 這包括: 明確服務提供者的責任, 包括在收集個人資料時獲得使用者的知情同意, 提高透明度, 並安全地儲存數據, ETC。; 促進物聯網設備和服務的開放標準和互通性; 並鼓勵數據最小化實踐. 第二, 提高使用者資料收集和使用的透明度. 例如, 以使用者易於理解的方式告知使用者 IoT 設備功能和資料收集, 為用戶設定有效的同意和選擇退出功能, 提高隱私權政策的清晰度, 提高整個資料生命週期的透明度, 並確保隱私和安全. 在整個產品生命週期中受到保護, ETC. 第三, 隱私立法和政策與技術發展保持同步。具體來說, 這包括: 改進現有的隱私和消費者保護法; 審查隱私保護法的適應性和範圍; 加強對隱私研究人員的法律保護,確保他們不會因調查隱私問題而帶來法律風險; 網路的廣泛使用不會加劇歧視和不公平做法; 在物聯網開發中引入隱私影響評估, ETC. 第四, 加強多方利害關係人參與. 解決物聯網風險挑戰需要政府共同參與, 大眾, 產業, 學術界, 社會組織, 和技術人員. 應在社會層面開展廣泛對話, 並應重視消費者的話語權.

全面的, 物聯網與雲端運算等新興技術的結合 人工智慧 將以多種方式改變我們的經濟和社會. 科技帶來巨大機遇, 但它也伴隨著風險. 人們需要採取適當的措施來確保物聯網的好處遠遠超過隱私風險, 安全, ETC. 這需要所有利害關係人的合作, 包括政府, 製造商, 消費者, ETC。, 確保物聯網技術以負責任和永續的方式開發. 國外已經在推動物聯網隱私和安全立法. 立法需考慮物聯網設備和服務的特點,採取靈活合理的監管機制. 例如, 即使在歐盟 GDPR 中, 使用者知情同意並非服務提供者收集、處理使用者個人資訊的唯一法律依據. 所以, 物聯網隱私權政策不應僅限於知情同意而應考慮技術特徵, 並且在某些情況下, 將從事先許可轉變為事中和事後資料保護義務. 另外, 消費者隱私意識覺醒. 例如, 在一項調查中, 77% 的消費者表示物聯網的隱私保護能力和安全性是購買決策時需要考慮的重要因素. 物聯網製造商在開發和建構物聯網時必須考慮使用者隱私和資料安全問題. 實踐「隱私設計」概念,強化使用者對資料的掌控.

為什麼是 時間 安全 批判的?

為什麼物聯網安全至關重要?

01. 為什麼物聯網安全如今如此重要

今天, 物聯網設備和應用廣泛應用於人們的工作和生活中, 幾乎所有物體都將變得智能,以利用連接到全球互聯網的好處.

雖然在早期, 網路威脅主要集中在企業IT設施, 在現代世界,它們變得更加普遍和頻繁. 在討論物聯網安全措施之前, 了解物聯網周圍的一些網路威脅向量非常重要.

02. 物聯網的常見威脅向量

威脅向量是指網路犯罪分子可以存取公司在網路中運作的核心系統的路徑或手段. 物聯網中一些最常見的威脅媒介是:

(1) 無物理邊界

物聯網網路邊界比傳統互聯網邊界更開放. 限制設備存取的傳統安全方法不再可用. 這些物聯網設備在需要時移動到任何新位置並可以存取網絡.

(2) Wi-Fi和藍牙資料外洩

物聯網中的 Wi-Fi 和藍牙配置是資料外洩的主要來源. 藍牙 而弱口令的WI-FI在資料傳輸過程中很容易被網路攻擊者竊取. 也, 大多數情況下, 用於配置的密碼並非為每個設備設定唯一. 如果只有一台設備受到網路攻擊和危害, 為未經授權的存取留下了間隙.

(3) 對 IoT 設備的實體訪問

網路攻擊者獲得對物聯網設備和工作負載的實體存取權限, 所有威脅向量中最嚴重的. 透過此訪問, 網路攻擊者可以輕鬆存取物聯網設備的內部資訊及其內容. 並使用 BusPirate 等工具, 許克拉, 或邏輯分析儀, 他們還可以讀取網路中的所有流量. 具有實體存取權限, 網路攻擊者可以提取密碼, 修改他們的程序, 或用他們控制的其他設備替換它們.

03. 木衛一時間 與 IT 部門相比

雖然許多物聯網設備都處於邊緣狀態, IT基礎設施位於雲端. IoT 安全威脅可能導致網路攻擊者透過 IoT 威脅向量存取核心 IT 網路. 以下是一些現實生活中的網路攻擊.

  • 透過 HVAC 系統存取網路會導致資料洩露

據媒體報道, 塔吉特公司, 頂部之一 10 美國的零售商, 已被駭客竊取 40 公司的百萬信用卡號碼. 這是世界上最大的資料外洩事件之一. 駭客透過竊取第三方憑證入侵 HVAC 系統,然後獲得對企業網路的存取權限.

  • SubwayPoS遭受駭客攻擊

目前有一些與 PoS 相關的安全漏洞報告. SubwayPoS 的洩漏導致了損失 $10 百萬, 至少有 150 地鐵特許經營權的目標. 美國書商 Barnes 也發生了類似的駭客攻擊 & 高貴, 其中信用卡讀卡機位於 63 商店遭到攻擊和破壞.

SamSam勒索軟體

另一個著名的系統漏洞案例是 SamSam 勒索軟體的網路攻擊, 科羅拉多州交通部和聖地牙哥港等政府部門受到了影響 2018 並突然停止了他們的服務.

04. 物聯網法規

儘管一些國家和地區已經頒布了一些物聯網法規, 它們不足以減輕網路攻擊所涉及的風險. 加州在遏止網路攻擊方面製定了合理的安全等級法規. 同樣地, 英國實施了獨特的密碼政策, 企業必須提供連接到本地 IT 基礎架構的物聯網設備的清晰聯絡方式,以揭露漏洞並定期執行安全性更新. 儘管這些監管指南受到許多安全評論員的歡迎, 目前尚不清楚誰將執行這些政策. 該評論員補充說,他們正在努力了解如何透過現有監管機構執行這些規定.

網路攻擊者的策略和手段更新得更快, 本條例可以每年或每半年發布或實施. 所以, 僅依靠監管政策很難跟上網路攻擊者的攻擊.

05. 企業必須採取哪些安全措施

在遵守上述規定的同時, 企業必須制定採用物聯網設備的安全措施.

第一的, 他們必須確定物聯網設備的安全性. 確保物聯網設備具有唯一身分至關重要, 這是其他安全措施的基礎.

然後, 基於身分層, 軟體受到簽名代碼等措施的保護, 韌體, ETC.

最後, 企業必須在最高層實現合規性,以決定運行哪些版本的軟體.

木衛一時間 硬體安全

物聯網硬體安全

在電子產品設計方面, 安全至上. 對於複雜的情況尤其如此, 資源有限, 和高度連接的物聯網 (物聯網). 實現物聯網安全需要依靠經過驗證的安全原則並對不斷變化的威脅保持警惕. 但設計工程師在將產品推向市場時面臨一些物聯網安全挑戰.

01. 物聯網面臨安全威脅

物聯網目前正被納入大多數工業和商業營運中, 包括公用事業, 關鍵基礎設施, 運輸, 金融, 零售, 和醫療保健. 物聯網設備可以感知和測量物理世界並收集各種人類活動的數據, 促進智能化的廣泛應用, 自動化的, 以及自主指揮與控制技術. 透過無所不在的物聯網互聯智慧設備, 企業能夠創造真正革命性的技術,改善未來人類社會和經濟生活的各個層面. 然而,主流媒體幾乎每週都會通報數位安全漏洞. 報告的損失通常是消費者信用卡資訊被盜或濫用, 與每天發生的數以千計的網路攻擊相比,這只是杯水車薪. 安全攻擊包括竊取有價值的資料並造成廣泛的損害, 甚至更多, 控制關鍵系統. 從消費者角度, 分散式阻斷服務 (分散式阻斷服務) 攻擊可能是最常見的威脅. Mirai 殭屍網絡, 這擾亂了整個互聯網 2016, 敲響了第一個警鐘, 讓各機構意識到威脅. 未來之後, 艾德拉, 維法奇, 和加夫吉特, 以及新的殭屍網絡,例如 BCMUPnP, 獵人52, 和鳥居53, 已累計滲透數百萬個 IoT 裝置來傳播 DDoS 惡意軟體, 加密貨幣礦工, 和垃圾郵件.

隨著越來越多的物聯網設備出現在我們的工作和生活中, 潛在的安全攻擊無所不在,而且規模越來越大. 以智慧交通控制為例. 想像一下一個擁有感測器基礎設施的大城市, 交通燈, 汽車網狀網絡, 控制流量的控制設備暴露給對手. 在重要路口透過無線網路控制交通燈或車輛之間的通訊不再是好萊塢大片的內容, 但這是一個現實而嚴重的問題.

也可以考慮支援互聯網的醫療設備, 商店中的智慧標籤有助於改善零售購物體驗, 以及我們的設備如何連接. 如果您可以使用智慧型手機啟動爐子, 解鎖並關閉警報系統, 其他人呢?

上面的例子與我們所有人都相關, 但有很多情況是一般消費者看不到的. 想像一下 工業物聯網 (工業物聯網) 部署用於自動化製造環境. 如果發生安全漏洞將會造成什麼混亂, 生產停機和設備損壞的財務成本是多少?

隨著攻擊的可能性呈指數級增長, 物聯網安全必須全面且強大, 具有快速恢復的能力.

02. 不應該 僅依靠軟體方法

試圖竊聽或非法獲取資訊並不是什麼新鮮事. 荷蘭電腦研究員 Wim Van Eck 自此以來一直致力於此研究 1985. 他透過攔截顯示器的電磁場並對其進行解碼,成功地從顯示器中提取了訊息. 他的開創性工作強調了這樣一個事實:可以透過使用廉價的組件來規避昂貴的安全措施.

Such non-intrusive and passive electromagnetic side-channel attacks are now becoming more sophisticated and one of many attack weapons. Other edge-channel attack methods include differential Power analysis (DPA) 和別的, which are commonly used together with electromagnetic edge-channel attacks. Through this attack, sensitive information such as encryption keys, passwords, and personal identities in the microcontroller of the IoT device will be “compromised” in the form of electromagnetic signals when the encryption processing instructions are executed. Broadband receivers as software-defined radio applications are currently very inexpensive and can be used to detect and store electromagnetic signals in operation.

DPA is a more complex thieving method, 透過簡單的功耗分析,可以了解設備運作過程中處理器的功耗情況. 由於處理設備消耗的功率將根據所執行的功能而變化, 透過了解功耗可以識別離散函數. 基於AES的加密演算法的功能, ECC, 而RSA需要大量計算,可以透過功率測量分析來識別. 以微秒為間隔檢查功耗揭示了密碼學中經常使用的各種數字運算, 例如平方和乘法. DPA 在簡單的功率分析中加入了統計和糾錯技術, 可實現機密資訊的高精度解碼.

透過有線或無線通訊的資料外洩也可能暴露機密資訊. 隱蔽通道和「中間人攻擊」是透過監聽物聯網設備和主機系統之間的通訊來收集資料的有效方法. 分析這些數據可以揭示設備控制協定以及接管遠端連接設備操作所需的私鑰.

駭客使用的另一種攻擊技術是對未受保護的微控制器和無線系統單晶片進行植入攻擊 (系統) 裝置. 在最簡單的情況下, 此技術可降低或乾擾微控制器的電源電壓, 犯奇怪的錯誤. 這些錯誤可能會觸發其他受保護裝置開啟保存機密資訊的暫存器, 從而使他們遭受入侵. 透過改變頻率來篡改系統時脈訊號, 植入錯誤的觸發訊號, 或改變訊號電平也可能導致物聯網設備出現異常,從而暴露機密資訊或導致控制功能被操縱. 這兩種情況都需要體力, 但不具侵入性, 存取設備內部的印刷電路板.

由於許多用於保護物聯網設備的安全技術都是基於軟體的, 安全資訊可能被非法讀取. 標準加密演算法,例如 AES, ECC, 和 RSA 作為軟體堆疊在微控制器和嵌入式處理器上運行. 成本低於以下的設備和軟體 $100 不僅可以查看功耗,還可以使用 DPA 技術獲取密鑰和其他敏感信息. 現在可以輕鬆獲得現成的 DPA 軟體工具來自動化整個過程,甚至無需精通這些分析方法.

此類攻擊不再局限於理論領域, 它們已被世界各地的駭客廣泛使用.

隨著攻擊強度的增加, 物聯網設備和系統的開發人員需要重新考慮其安全防護方法並改善其安全防護功能,使其更加健壯和有彈性.

03. 硬體方法 保護我時間 安全

在設計新的物聯網設備之前, 最好全面了解設備可能遭受哪些攻擊, 以及需要防範哪些類型的威脅. 從一開始就審查安全要求並將其納入產品規範中是謹慎的做法. 大多數物聯網設備往往可以使用很多年, 僅此一點就可能導致更多攻擊, 所以需要考慮. 所以, 韌體更新必須透過無線方式執行 (線上旅行社), 並防止所有攻擊, 需要採用晶片到雲端的方法來實現基於硬體的安全設計.

英飛凌最近發布的OPTIGA®Trust M2 ID2安全晶片是完全基於硬體的安全解決方案, 而它最大的優點就是可以抵抗硬體層面的攻擊. 它使用了一些專門設計的精簡邏輯來更好地保護資料的存儲. 儘管逆向工程非常專業, 原始資料不易被駭客破解. 一些專業的設計和非標準的程式碼實現實際上很難分析和理解. 最重要的一點是,基於硬體的安全晶片解決方案可以為整個系統提供可信賴的“根”,為系統提供信任的來源.

木衛一時間 韌體安全

物聯網韌體安全

隨著物聯網終端數量突飛猛進, 物聯網安全相關法規和標準正逐步落地, 低資源嵌入式設備的韌體安全將逐漸受到重視. 作為端到端的物聯網安全檢測平台, TinyScan真正從源頭掃描挖掘隱藏的敏感資訊和安全風險. 韌體開發者和韌體使用者都可以透過該工具掌握指定韌體的安全狀態,並進行有針對性的防護或規避, 從而減少因韌體漏洞引起的物聯網安全問題.

在物聯網時代, 感知的三層結構模型, 傳染, 並且應用程式經常使用, 以及感測器等嵌入式設備, 閘道, 分佈在三層的控制器引入了大量新的安全問題: 建築學.

01. S系統安全

現在, 主流嵌入式作業系統仍以Linux或Linux衍生性商品為主, 不同的公司根據自己的產品需求和特點客製開發Linux系統. 然而, 由於嵌入式設備的資源有限, 現有的安全防禦方案很難完全移植到物聯網設備上.

02. 組件安全

由於嵌入式設備使用Linux作為作業系統, 必然會用到很多開源元件. 一些開源元件在C/S模式下隱藏的問題在物聯網時代可能會被重新發現和利用. 因為空間中同時存在大量相同的物聯網設備, 如果漏洞發生後設備韌體沒有及時升級, 可能會造成重大損失.

03. 右&D 安全

在網路時代, 客戶端無法直接存取和控制伺服器, 但這種現像在物聯網時代發生了改變. 透過開源逆向工具, 用戶可以輕鬆取得設備韌體中留下的設定檔和明文訊息, 然後直接取得設備的存取權限, 對大量同規格設備構成威脅.

我們應該從以下幾個維度對韌體進行安全分析, 並將分析結果以報告的形式輸出.

(1) 檔案系統服務安全分析

● 自動掃描並取得韌體檔案系統的基本訊息, 包含CPU架構, 設定時間, 壓縮模式, 類型, 尺寸, 以及檔案系統的儲存方式.

● 取得檔案系統的基本資訊後, 您可以確定掃描目標類型並切換到不同的掃描引擎.

(2) 系統 & 服務分析編碼

● 取得系統服務資訊, 包括系統服務路徑和MD5值.

● 透過取得系統服務資訊, 可以了解系統服務自啟動狀態, 快速獲悉自啟動服務中是否存在未知惡意腳本等訊息.

(3) 組件 & 軟體安全分析SPA

● 定向掃描, 取得系統組件 & 軟體資訊, 包括組件 & 軟體路徑, 描述, 和網站地址;

● 透過取得組件 & 軟體資訊, 可以快速獲取組件的版本信息 & 安裝在韌體中的軟體, 然後進行相應的安全掃描.

(4)用戶密碼找回

● 定向掃描, 取得用戶密碼資訊, 包括密碼相關的檔案路徑, 和密碼資訊;

● 使用者密碼找回來後, 韌體開發不規範導致的密碼資訊外洩可被曝光.

(5)加密認證安全性分析

● 自動掃描以取得加密認證文件信息, 包括加密認證文件的路徑和加密訊息;

● 加密認證後偵測, 韌體開發不規範導致的加密認證資訊外洩被曝光.

(6)敏感點分析 資訊安全

自動掃描取得韌體中的可疑敏感訊息,包括但不限於硬編碼的Token/key, 設定硬編碼密碼, 硬編碼IP, 硬編碼的 HTTP 位址, 快取檔案洩漏, ETC。, 韌體開發不規範導致敏感資訊洩露.

(7)CVE漏洞檢測

快速檢測檔案系統中的CVE漏洞訊息, 包括 CVE-ID, 發佈時間, 描述, 和水平. CVE漏洞檢測後, 可以獲得當前掃描韌體中安裝的軟體的最新CVE漏洞信息.

物聯網(物聯網) 軟體安全

Internet of Things(物聯網) 軟體安全

72% 的資安領導者表示雲端運算是數位轉型的首要任務. 基於雲端的物聯網軟體正在整合安全的數位和實體元素,以便更安全的手機可以存取和利用數據.

基於雲端可以做什麼 物聯網軟體 帶來安全保護? 本文將為您說明物聯網軟體如何有效協助提升安防領域的安全性. 也將介紹如何結合數位和實體安全元素來應對安全事件.

01. 基於雲端的物聯網軟體的影響

基於雲端的物聯網軟體正在以多種方式應用於商業中. 基於雲端的解決方案正在為安全領域帶來好處. 其核心, 物聯網技術正在改變企業部門, 更新企業營運方式.

02. 整合基於雲端的解決方案以利用數據

數據在每個行業都非常重要, 安全領域也不例外. 借助基於雲端的解決方案, 在單一介面上儲存資料和資訊可以幫助公司隨時了解業務動態.

另外, 透過結合人工智慧增強軟體和基於雲端的解決方案, security personnel can better identify potential security threats. Leveraging cloud-based IoT technologies can increase productivity. Due to the extensive responsibilities of security personnel, real-time monitoring of the cameras is not possible. IoT technology can help security personnel receive camera information and log feedback anytime, 任何地方, helping to establish better security policies. Some IoT solutions provide real-time alerts to security personnel that combines real-time video and AI analysis tools to enhance security system functionality and speed up response to security incidents.

03. Combine the power of physical and cyber 安全

Combining digital and physical security is beneficial for optimizing IoT security systems, helping to protect systems from online breaches and breaches. Plus, 實體安全措施有助於保護機密資訊免受駭客攻擊. 數位安全要素與實體安全團隊的融合越強, 組織受到的保護越多.

04. 自動軟體更新

保持所有軟體最新對於確保您的組織即使在物聯網系統遭到破壞時也不會受到網路安全威脅非常重要. 傳統上, 每次新升級時,本地安全系統均由經過認證的專業人員手動更新. 使用基於雲端的軟體, 更新不僅可以現場或遠端執行, 但也可以自動化, 大大降低成本.

05. 遙控功能

隨著物聯網雲端技術的靈活發展, 安全人員可以使用行動裝置遠端操作安全工具. 例如, 現今門禁系統中使用的可視對講系統允許安全人員透過與訪客的智慧型手機進行視訊通話來驗證訪客的身份. 另外, 對講程序還支援遠端開鎖. 當來訪者的身分被確認時, 門可以遠端解鎖,以允許訪客進入. 透過使用基於雲端的物聯網技術, 簡化訪客認證程序,大幅縮短驗證時間,讓訪客更快進入大樓.

06. 總結

採用基於雲端的 物聯網解決方案 企業的安全防護策略有利於打造與時俱進的安全體系. 網路安全是企業在使用物聯網技術時面臨的威脅與挑戰. 但透過結合實體和數位安全元素, 基於雲端的物聯網系統可以在很大程度上免受漏洞影響,並得到更好的保護,以幫助企業應對不斷變化的安全狀況.

物聯網(物聯網) 網路安全

Internet of Things(物聯網) 網路安全

同時隨著物聯網的快速發展, 物聯網安全問題也頻頻出現. 部分礦場、設備劫持事件屢有發生. 智慧家庭產品不斷突破安全漏洞, 一旦漏洞被利用,將會造成不可挽回的經濟損失. 同時, 也體現了安全作為物聯網應用基礎設施在物聯網產業建設初期的重要性.

最近幾年, 隨著關鍵技術的突破 5G, 物聯網發展突飛猛進. 同時, 由於Covid-19的影響, 遠距工作的辦公室形式增加, 不僅為企業帶來了便利,也為駭客攻擊公司機密資訊提供了便利.

物聯網已經滲透到我們生活的各個層面. 智慧型裝置頻繁遭受攻擊威脅個人隱私和安全. 關鍵基礎設施實現數位化網路轉型也面臨巨大風險. 物聯網安全需要建立合理的管理計畫和法規,確保及時發現風險並有效率地恢復.

物聯網安全問題主要涉及資料安全, 隱私, 複製, 和 RFID 系統威脅.

  • 針對 RFID 的攻擊: 射頻識別技術 是一種流行的物聯網技術, 目前主要應用於「無人超市」等領域.
  • 對無線感測器網路的攻擊: WSN是無線感測器網絡. 物聯網的最底層是感知層. 此層包含大量感測器. 當感測器工作時, 他們將產生大量數據. 一旦在傳輸過程中被不法分子截獲, 後果將不堪設想. WSN目前在軍事上有相關應用.
  • 對路由器的攻擊: 路由器是非常重要的網路設備. 一旦受到攻擊, 網路可能癱瘓. 另外, 通信線路受到攻擊, 對用戶的攻擊, 以及對伺服器的攻擊.

具體來說, 目前物聯網面臨的主要安全威脅可以概括為「雲端」三個方面, 管道, 並結束”安全:

(1)物聯網終端安全

第一個面向是物聯網終端安全. 作為資訊空間與物理空間深度融合的代表產品, 物聯網終端已從個人消費的先鋒產品迅速擴展到經濟社會的各個領域. 它賦予教育, 醫療保健, 零售, 活力, 建造, 汽車, 等眾多產業新的服務手段, 支持政府辦公等城市基礎功能完善, 公安, 運輸, 和物流. 現有物聯網終端設備注重功能實現, 而傳統設備廠商安全能力不足, 考慮時間和成本等因素, 並且在終端設計中普遍忽略安全問題.

物聯網終端可分為智慧終端和非智慧終端. 大多數智慧型終端設備都具有嵌入式作業系統和終端應用程式, 而大多數非智慧型終端設備結構和功能單一, 只執行資料擷取和傳輸等功能. 所以, 智慧終端設備對資訊安全威脅較大.

(2)物聯網管路安全

第二個面向是物聯網管線安全. 物聯網的「管」是連接「雲」和「端」的管道. 物聯網「管道」的安全就是大容量、智慧化資訊管道的安全. 根據物聯網資訊管道調查, 發現物聯網管線安全主要有四大安全威脅.

(3)物聯網雲端服務安全

第三, 物聯網雲端服務安全. 一般來說, 與其他方共享資訊時使用物聯網雲端服務. 所以, 保護雲端服務的安全性也是保護物聯網安全的關鍵一環.

提高物聯網安全性的方法

提高物聯網安全性的方法

企業必須提高物聯網設備的安全性,否則將造成巨大的財務和聲譽損失. 資料加密和內部監控是公司專注於提高物聯網設備安全性的一些方法.

01. 使用雲端基礎架構和軟體保護

積雨雲網路設備可確保設備安全,因為它有助於維護設備記錄資訊的機密性和完整性. 同時, 交換中的信息可以加密並防止駭客攻擊.

02. 設計 A 安全 裝置 並創建一個單獨的網絡

設計更好的設備,專注於提高物聯網設備的安全性非常重要. 在某些條件下及時對設備的行為進行內部審查對於改變設備的系統非常重要.

03. 申請 時間 應用程式介面  防範身份欺騙

API安全保護的功能是只允許授權的設備相互通信. 公司和使用者可以收到任何未經授權的系統存取和操作的通知.

在當今世界, 使用的物聯網設備數量正在增加. 同時, 物聯網發展面臨挑戰. 企業應逐漸體認到物聯網安全的重要性,進一步提昇技術保障設備安全.

哪些行業最容易受到影響 時間 安全威脅?

哪些產業最容易受到物聯網安全威脅

物聯網安全問題遍及各產業各領域. 也就是說, 只要是與人的生命財產相關的行業, 容易受到物聯網的安全威脅.

例如, 對裝有藥物的冷凍系統的攻擊, 由物聯網系統監控, 如果溫度波動可能會破壞藥物的活性. 同樣地, 油井襲擊的影響, 水系統, 和能源網, 極大影響人類生活的關鍵基礎設施, 可能是毀滅性的.

然而, 其他攻擊也不可低估. 例如, 對智慧門鎖的攻擊可能會讓竊賊進入智慧家居. 或者, 在其他情況下, 例如 2013 目標駭客或其他安全漏洞, 攻擊者可以透過連接的系統傳播惡意軟體 (目標案例中的 HVAC 系統) 竊取個人識別資訊並對受影響的人造成嚴重破壞.

01. 怎麼可以 時間 系統和設備受到保護

物聯網安全方法取決於物聯網應用以及業務在物聯網生態系統中的位置. 安全軟體的開發和整合需要成為物聯網軟體初期的主要關注點. 部署物聯網系統需要注意身份驗證和硬體安全. 同樣地, 對於營運商, 保持系統最新, 減少惡意軟體, 審計基礎設施, 保護憑證至關重要.

物聯網安全標準和立法 (美國和歐洲)

物聯網安全標準和立法 (美國和歐洲)

01. 歐盟物聯網安全指南

歐盟網路安全局發布物聯網安全指南. 在 9 十一月 2020, 歐盟網路安全局 (埃尼薩) 發布物聯網安全指南 (物聯網) (以下簡稱《指引》), 旨在幫助物聯網製造商, 開發商, 積分器, 擁有物聯網供應鏈的利害關係人在建構時做出最佳決策, 部署, 或評估物聯網技術. 該指南的目標是定義和識別物聯網安全挑戰和威脅,以確保物聯網供應鏈的安全. 《指南》提出五點建議: 第一的, 物聯網實體應相互建立更好的關係, 包括優先與提供網路安全保障的供應商合作, 努力提高透明度, 開發創新的信任模型, 並向客戶提供安全承諾. 二是進一步普及網路安全專業知識, 加強專業人員的維護與培訓, 增強物聯網使用者的安全意識. 第三, 透過提高物聯網設計標準來實現安全性, 包括採用安全設計原則, 使用新興技術進行安全控制和審計, 以及遠端更新機制的實現. 第四, 採取更全面、更明確的方法來提高安全性, 包括制定全面的測試計劃, 將身份驗證機制整合到電路中, 並預設使用出廠設置. 第五, 充分利用現有標準和成功實踐,提高供應鏈中的產品安全和服務品質.

02. 美國. 物聯網網路 安全改進法 2020

該法案已於9月獲得通過 14, 2020. 鑑於物聯網設備安全是一個新興的網路挑戰,具有國家安全優先級, 該法案旨在透過在物聯網設備投入聯邦使用之前解決網路安全問題來提高聯邦互聯網連接設備的安全性. 該法案要求聯邦政府使用的所有物聯網設備必須符合 NIST 發布的最低安全標準.

03. 澳洲實踐守則: 時間 保護消費者

該法案已於九月由澳洲政府公佈 3, 2020, 並被視為提高該國物聯網設備安全性的第一步. 鑑於物聯網設備安全的全球性, 該行為準則提出的行業標準與其他國際標準一致,並基於 13 原則, 主要包括不重複使用弱密碼或預設密碼, 漏洞揭露政策的實施, 持續的軟體安全性更新, 憑證被安全儲存, 確保個人資料保護, 最大限度地減少受到攻擊面的暴露, 通訊安全, 確保軟體完整性, 系統具有抗干擾性, 測量數據監控系統, ETC. 他們之中, 密碼學, 漏洞揭露, 和安全更新行動被推薦為業界優先考慮的三大原則,因為它們可以在短時間內實現最大的安全效益.

04. 歐洲之間的異同, 我們, 和澳洲物聯網安全法律和指南

該法案多方面提高了物聯網設備的安全保護標準. 本文介紹了歐盟物聯網設備的多項安全標準, 美國, 和澳大利亞, 例如保證設備密碼的複雜度夠高, 多因素身份驗證方法, 確保安全儲存等身分憑證的安全, 及時披露, 以及安全漏洞的修復, 提供定期安全性更新,以最大限度地減少網路攻擊面等.

三項法案均重點加強物聯網個人隱私保護. 歐盟的法律和準則, 我們, 澳洲等都將隱私保護作為物聯網安全的重要組成部分. 例如, 澳洲在其行為準則中提出物聯網設備應預設具有隱私保護, 且個人資料的處理必須事先徵得用戶的同意. 並且設備應支援用戶隨時刪除個人資料並擁有撤銷隱私的權利和時間, 從而最大限度的保護用戶的個人隱私和敏感數據.

法案的涵蓋範圍和目標不同. 澳洲行為準則以消費者為導向, 幫助提高對物聯網設備相關安全保護的認識, 增強消費者對物聯網技術的信心, 並使澳洲能夠從其推出中受益. 歐盟指南針對物聯網供應鏈實體,例如物聯網設備和軟體開發商, 製造商, 安全專家, 採購團隊, 和其他供應鏈實體. 透過研究和應對供應鏈不同階段所面臨的不同安全威脅, 建構安全物聯網生態系統的目的就達成了. 美國法案主要涵蓋美國聯邦政府,旨在規範政府對物聯網設備的安全評估,確保政府機構購買和使用的物聯網設備符合安全標準.

政府對物聯網安全的監管有不同的影響. 歐盟指南和澳洲實踐守則並非具有強制性,而是相關政府機構建議的措施. 美國. 該法案是政府法案,包含多項授權, 例如對國家標準技術研究院的明確要求 (美國國家標準技術研究所) 發布有關使用網路設備安全的標準和指南 90 聯邦機構頒布指導行政機構和預算法案的天數進行網路審查; 聯邦政府和機構不會購買或使用不符合安全要求的物聯網設備.

相關文章作者的更多內容