最近你可能经常听到物联网(IoT)。物联网(参见本文结尾处的“物联网:入门”)虽然仍处于开发的早期阶段,但随着越来越多的对象通过射频识别(RFID)和互联网的不公正等技术进行连接,物联网正慢慢进入主流。
无论物联网的发展在未来的几个月和几年里会有怎样的结果,或者组织有什么具体的计划来部署相关的项目,显然都会有安全方面的影响。IT和安全主管们可能想要从今天开始考虑物联网的安全方面,即使他们没有立即通过互联网连接物体的计划。
关键的安全问题包括物联网会带来什么(如果有的话)新挑战,以及企业如何最好地准备应对这些挑战?
专家表示,物联网的安全威胁非常广泛,甚至可能对系统造成损害。由于物联网将拥有关键的基础设施组件,它成为国家和行业间谍活动以及拒绝服务和其他攻击的一个很好的目标。另一个值得关注的主要领域是可能存在于网络上的个人信息,这些信息也可能是网络犯罪分子的目标。
在评估安全需求时要记住的一件事是,物联网仍然是一项正在进行的工作。
[小工具:2013年最有趣的8件事]
“这一步并不难;马萨诸塞州剑桥市弗雷斯特研究公司(Forrester Research Inc.)的首席分析师安德鲁·罗斯(Andrew Rose)说。他撰写了一份2012年的报告,题为《让你的安全组织为物联网做好准备》(Prepare Your security Organization for the Internet of Things)。
“现在很多东西都连接到互联网上,我们将看到这方面的增长,以及基于这些信息的上下文数据共享和自动机器操作的出现,”罗斯说。
在与物联网的关键安全方面的考虑是一个对象,无论是卡车,自动售货机或药瓶,将成为网络环境的一部分。
“物联网是将虚拟存在分配给物理对象,”罗斯说。“随着它的发展,这些虚拟存在将开始互动和交流上下文信息,[和]设备将作出决定,基于这个上下文设备。这将对国家基础设施、财产(例如汽车和房屋)、环境、电力、水和食物供应等造成实际威胁。”
由于各种不同的物体成为一个相互关联的环境的一部分,“我们必须考虑到,这些设备已经失去了物理安全,因为它们锣设在恶劣的环境,通过谁是最积极与对照篡改个人即时访问,”罗斯说。
攻击者可能拦截、读取或更改数据,Rose补充道。他表示:“它们可能会篡改控制系统,改变功能,所有这些都会增加风险。”
启用网络的设备如何成为安全威胁的一个简单的例子是网络打印机兰迪Marchany,CISO在弗吉尼亚理工大学和弗吉尼亚理工大学的IT安全实验室的主任。
“每个打印机配有一个内置的[网络]服务器。将您的浏览器的设备,你会得到一个控制屏幕/页的设备,” Marchany说。“在默认情况下,大多数打印机有一个‘空白’的密码。你可以看到这个问题的时候了。是的,你可以更改密码,但这些信息通常不是在一个‘先读我’页面。
另一个问题是,确保Web服务器运行的版本不容易受到攻击。“这不是升级的打印机上运行的[网络]服务器一件容易的事情,” Marchany说。“你必须通常做固件升级,并对于这一点,你在供应商的摆布。所以,默认的内置服务,Web服务器和无法补丁/升级等,这些服务两胁我觉得需要在今天的环境加以解决“。
独特的挑战
涉及物联网的实现安全事件已在发生。“大多数的例子是从实验室或测试环境,”罗斯说。“虽然已经发生实际的例子,很少有人愿意来分配责任推给外部攻击者因可能引起的关注。”
在最近的几个例子中,有一个是研究人员侵入了两辆汽车,并通过无线方式使刹车失灵、关灯和完全启动刹车——“所有这些都超出了司机的控制范围,”罗斯说。在另一个案例中,一艘豪华游艇被研究人员窃听了用于导航的GPS信号,从而偏离了航线。
“家庭控制中心已被发现有漏洞,允许攻击者以取暖,照明,动力和门锁乱动,”罗斯说。其他案件涉及工业控制系统,通过他们的无线网络和传感器被黑客攻击,他说。
安全咨询公司VNet security LLC的负责人保罗·亨利(Paul Henry)补充说:“我们已经看到被黑的电视机、摄像机和儿童监视器引起了人们对隐私的担忧,甚至还看到被黑的电表,到目前为止,这些电表被用来窃取电力。”他是马里兰州贝塞斯达的一个合作研究和教育组织SANS Institute的高级讲师。
“最近的一篇文章提到了‘灯泡被黑了’,”亨利说。“我可以想象,一种蠕虫病毒会破坏大量联网设备,并将它们聚集到某种僵尸网络中。”记住,坏人想要的不仅仅是设备的价值或功率;这是它在DDoS(分布式拒绝服务)攻击中可以访问和使用的带宽。”
Henry说,最大的担忧是物联网设备的用户不会认为他们正在连接的设备的安全性是非常重要的。他表示:“问题在于,一个受到攻击的设备的带宽可能被用来攻击第三方。”“想象一个有1亿台物联网设备的僵尸网络,它们同时在你的公司网站上发出合法的网站请求。”
专家表示,物联网可能会给企业带来独特的、在某些情况下复杂的安全挑战。
“随着机器成为自主经营,他们能够与其他机器互动,并作出决定,其在物理世界的影响,”罗斯说。“我们已经看到了自动交易软件,它可以被困在一个循环造成市场下跌的问题。该系统可以具有内置的failsafes,但这些都是人类谁是容易犯错的,特别是当他们正在编写代码编码,在速度作品[和]频率的计算机程序可以操作“。
罗斯说,物联网的安全威胁也可能导致广泛的问题,对很多人产生影响。
“如果当前系统的安全性失败我们可能会看到几百信用卡详细资料被盗,或政客尴尬 - 但这些都不是重大问题,”罗斯说。也许是“想象一下,而不是如果一个电力系统被黑客入侵,他们关掉灯在城市的一个区域。没什么大不了的了很多,但在地铁站几百英尺的地下昏天黑地成千上万的人,不同的是巨大的。物联网可以让虚拟世界与现实世界互动,并带来很大的安全问题。”
位于新罕布什尔州达勒姆的安全咨询公司Demopoulos Associates的创始人泰德·德莫普洛斯(Ted Demopoulos)说,物联网将带来三个“重大”安全问题,包括隐私丢失、个人和公司数据的混杂以及发现。
隐私的丧失将来自于追踪个人行踪的能力,以及他们在购买什么物品,或者他们是否离开了家。Demopoulos说:“我们大多数人每天24小时都带着手机,连接到手机信号塔,这些数据可以跟踪我们今天的活动。”
Demopoulos说:“像智能电表这样简单的东西有可能被用来根据用电量来判断我们是在家还是出去了一段时间,我们是夜猫子还是早起鸟等等。”
至于个人和公司数据的融合,许多公司都面临着同样的挑战,因为移动技术在工作场所的使用越来越多,自带设备(BYOD)的趋势也越来越流行。
Demopoulos说:“智能手机无处不在,有时归公司所有,有时归员工所有,有时是一个奇怪的混合体,员工买了手机,公司就给他们钱。”
这个问题有技术解决方案;例如,使用数据加密和远程擦除信息。但这也提出了需要解决的进一步问题。“公司可以合法地删除数据吗?”Demopoulos says. "In some cases it is not clear. Technical solutions do not address legal issues here."
发现涉及到的问题,如攻击者能够远程读取个人的护照或其他身份证远程通过RFID和类似的技术。“在许多情况下,有技术解决方案,还是存在的,但他们很少涉及伦理,包括隐私和法律问题,”戴福瑞说。
我们能做些什么呢?
与其他技术领域的努力一样,物联网始终存在威胁,但使用数据加密、强大的用户身份验证、有弹性的编码和标准化且经过测试的api等安全工具来提高物联网环境的安全性是有可能的。
一些安全工具,将需要直接应用到所连接的设备。
Marchany说:“物联网和它的近亲BYOD与传统的计算机有着相同的安全问题。”“然而,物联网设备通常不具备自我防御能力,可能不得不依赖于防火墙(和)入侵检测/预防系统等独立设备。”创建一个单独的网络段是一种选择。”
Marchany说,事实上,由于设备本身缺乏安全工具,或者设备缺乏及时的安全更新,这可能会使物联网的安全保护在某种程度上更难以从其他类型的安全措施中获得。
“物理安全可能是一个更大的问题,因为这些设备通常在露天或偏远的地方,任何人都可以通过物理方式访问它,”Marchany说。“一旦有人能够实际访问该设备,安全问题就会急剧上升。”
Marchany说,提供物联网技术的供应商很可能没有在他们的设备中设计安全性,这一点也没有帮助。他表示:“从长远来看,IT高管应该开始要求供应商声称,他们的产品不容易受到常见攻击,比如OWASP(开放Web应用程序安全项目)列出的十大Web漏洞。”IT和安全主管应该“要求供应商列出他们知道的设备上存在的漏洞,作为购买过程的一部分”。
但它不只是厂商自己保护设备,专家说。IT和安全管理人员需要有什么类型的设备连接到企业网络的一个很好的手柄。
Demopoulos说:“要保护互联网上的东西,我们首先需要知道我们有什么东西。”他说,有很多方法可以潜在地找到任何网络上的内容,包括在网络聚合点上的被动监听,以及使用定期运行的自动化工具来扫描网络。
“今天这个效果很好,但不会在未来,”戴福瑞说。“我们将生活在一个越来越IPv6和IPv4的世界,你不能扫描IPv6子网,所以这种技术将无法工作。一个IPv6子网就是太大。企业需要开始他们将如何在做设备发现现在计划未来。第一步,固定这些设备是知道它们的存在。”
安全需要作为物联网系统的基础,“而这显然没有发生,”罗斯说。“我们需要把安全放在技术链中最有能力的地方,然后对其进行严格的有效性检查、认证、数据验证等。此外,所有的数据都需要加密。”
在应用层面,软件开发组织需要在编写代码是稳定的,有弹性的和值得信赖的好,罗斯说。“他们可以通过更好的代码开发标准,培训,威胁分析和试验实现了一些,”他说。“不幸的是,它们将始终依赖于它们下面的逻辑层,[例如]硬件,虚拟化层和所述的操作系统”。
这些层需要被审查和加固,以确保整个平台是安全的,Rose说。此外,随着系统之间的相互作用,有一个公认的互操作性标准是至关重要的,这是坚如磐石的,他说。“这些是物联网将要建立的基础。”
物联网:初级读本
物联网(IoT)仍然是一个模糊的概念,有许多定义。物联网一般指的是一种类似互联网的结构,它连接的是唯一可识别的对象,基本上是任何可以用识别芯片进行标记的东西。