蓬勃发展的电子产品市场触发自动喷水灭火系统,帮你算的次数你一只蝙蝠,或者昏暗的灯光自动上升。
这对任何企业关注,因为这些设备怎么也开始在公司办公室在会议室,行政套房使用露面,甚至作为一种低成本的建筑安全摄像系统。专家声称这个行业做得不够,以保护这些设备。
克雷格·杨(Craig Young)是一名网络安全研究员绊他说,问题的很大一部分是固件没有定期更新。
在最近的一个例子研究人员在密歇根大学研究发现,他们能够攻入三星SmartThings平台,甚至控制整个家庭自动化系统。研究人员已经能够窃听用于新安装的PIN码。
“这些公司有时会通过固件升级修复那样的脆弱性的意图,但随后永远不会去接近它,因为他们不想破坏用户群,”杨解释说。
他描述了在某些情况下,他如何测试来自一家公司的新设备贝尔金或者眨眼,发现一个潜在的安全漏洞,通知他们,并耐心等待时看到新的漏洞将被修补,这可能需要的时间太长了。
杨说,最常见的是劈打入一个连接的家庭集线器,其然后提供给任何包括门锁,运动检测器,自动喷水灭火系统,甚至报警系统保护家连接的设备的访问。
令人惊讶的是,几乎没有可用的安全应用程序可以监控物联网设备,让您了解任何新出现的攻击向量,并告诉您任何最近的妥协。
公司的首席执行官罗曼·福克尔说:“当我们审视今天的工作空间时,已经有很多无线设备,从蓝牙鼠标到无线键盘,而我们对运行在这些设备上的固件是谁开发的,或者它来自哪里知之甚少。CoSoSys.
“随着小安今天互联网连接的设备是很到位,威胁也将继续增加,因为越来越多物联网设备采用,无论在家里还是在工作场所。”
为什么这是一个问题?
黑客似乎总是涌向最受欢迎的平台。这也是Windows用户比Mac用户面临更大风险的原因之一,因为Windows占用的空间要大得多。根据BI Intelligence,到2020年,全球将有340亿台联网设备,创造一个6万亿美元的产业;令人惊讶的是,BI将企业命名为物联网的主要采用者。这些设备成本低,安装简单,还能解决烦人的问题(比如,安装一个动作探测器,就能知道一天有多少人在使用会议室)。
Belkin的WeMo平台就是一个很好的例子。杨说,你可以安装一个像这样的插座,你可以用你的智能手机控制在五分钟。然而,对于这样的产品,可能没有任何入侵检测。他说,在最坏的情况下,中国黑客可能会发现这些电源的一个漏洞,然后在美国各地的数千用户中反复使用这些电源,导致大规模停电。然而,对于终端用户来说,它具有令人难以置信的实用性、节能性、低成本和简单的安装。
Foeckl说,这是这个新兴的实用性和有效性,使物联网变得更加脆弱。新连接的设备解决了问题,但我们并不总是很了解固件或用于解决新问题的软件。物联网设备是超简单的,但他们经常分享自己的Wi-Fi凭证。事实上,Young说最大的风险之一是,黑客可以为Wi-Fi网络,这是发生了什么事,两年前截获密码研究人员发现,LIFX连接的发光灯泡暴露的网络配置.
当被要求发表声明时,LIFX的一位发言人表示,该公司非常重视安全问题,并“努力提供一种将消费者、他们的家庭和Wi-Fi网络的安全和保障放在首位的体验。”我们将继续生产有助于消费者家庭安全和保护的产品。”
〔也可CSO:CSO物联网生存指南]
克雷格·Spiezle,谁是非营利性的在线安全和隐私监督组的执行董事兼总裁网上信任的联盟(OTA),说有几个问题,物联网,都使得它如此大的攻击面。
首先,消费者和企业开始依赖这些设备;这种采用是快速而激烈的,这意味着安全是次要的考虑。它不像服务器和智能手机等其他更成熟的产品那样具有强大的安全测试和补丁管理功能。
他提到的另一个问题是,当产品刚推出时,可能会在物联网设备上做出一些努力,但仍有太多的“孤儿”设备连接到网络上,没有打补丁或被忽视。最典型的例子就是Nest Revolv智能轮毂。研究人员发现严重的安全漏洞, 在四月份巢宣布该公司将终止该产品,不会更新任何固件。
杨说,一个更为关键的问题是,许多较小的物联网公司有一个小职员 - 他们甚至不具备安全专业人士为他们工作,他们倾向于使用可能会或可能不会被认证或第三方电子即使测试的安全性。市场是太新了,对于现在的主要目标是迅速让这些小工具市场。
我们能做些什么呢?
好消息是,像贝尔金较大的物联网企业也开始应对这一问题。杨说,他已经看到了公司是如何经常应对固件承认存在的问题日益严重的问题,或者至少进步。事实上,当LIFX发现了关于Wi-Fi认证的缺陷,他们修补它的时候了。
因为有这么多的小公司在制造物联网设备,这个问题短期内不会消失。Foeckl表示,IT部门需要开始将物联网设备纳入他们的安全监控工作、认证和测试过程,他们应该与供应商合作,确保这些设备得到修补、跟踪和保护。
Foeckl表示:“另一项重要任务是制定隐私政策,告知用户收集的信息,并指导他们保持良好的安全做法,建议更改密码,报告异常活动。”“一个消息灵通的用户代表了一个伟大的前提,无论威胁载体是什么,都可以防止数据泄露。”
Spiezle说一个答案是制定一个全面的物联网设备的认证程序,如OTA的信任框架作为对抗自由竞争的一种方式。英特尔也加紧了行动已取得安全物联网设备更大的优先级.
最终,真正的答案与IT采购决策的事情。丹里昂,在安全即服务公司的首席顾问Cigital,说,企业需要开始评估物联网产品不仅为他们的利益提供也为嵌入式安全功能。
“一旦了解了风险,企业就可以开始要求制造商确保系统的安全,并长期支持它们。”他说。“当这些方面被用作购买决策点时,制造商将做出适当的反应。”
这也许不是解决遗留物联网设备上的问题,甚至可以缓慢的市场采纳,但企业(和消费者)也许能够呼吸更容易一些。
[三星在回答与本文相关的问题时,指示CSO Online查阅了他们之前发表的声明,它可以在自己的博客中查看.当被问及他们如何解决物联网漏洞的更多信息时,Belkin和Wink没有回应请求。]
这个故事,“安全问题对物联网设备的互联网崛起”最初发表CSO .