2018年将是物联网至关重要的一年。据估计,将有28亿新设备连入互联网,从而实现十年前科幻小说中出现的各种场景。连网的医疗设备、手表、家庭自动化设备、智慧城市、智能汽车和工业设备等等,无论在个人领域还是商业领域,都将改变人与人以及人与环境之间的交流方式。
现在是反思我们过去犯下错误的最佳时机,并决心在以后做得更好。我最先考虑的问题就是安全,我们很容易沉浸在物联网带来的新事物中,但是我们不能忽视物联网所带来的安全风险。
一年多以前,Mirai恶意软件控制了数十万台物联网设备,并发起了一场规模最大的、极具破坏性的网络攻击。根据Webroot的说法:“根本问题在于物联网制造商只关注设备的功能,并没有投入资金进行足够的安全测试。”
所以,我认为大家都应该在未来一年做出这样决定:让安全成为物联网设计过程中的一部分。但是,这到底意味着什么呢?本文主要讲述一些从一开始就需要考虑到的问题。
1. 设备是否执行安全敏感操作?
如果黑客能够控制胰岛素泵或核电站阀门控制器的执行器信号,那么显然这会带来巨大的安全问题。即便是控制恒温器这种不太关键的设备,在寒冷的冬季也是一个安全问题。相反,控制你的机器人吸尘器可能不会带来较大影响。
安全重于一切。设备是否涉及安全隐患,这将成为你考虑采取何种强度安全措施的重要因素。
2. 设备是否处理敏感信息?
任何一种隐私敏感信息都应该引起重视,尤其是欧洲即将实施GDPR法规,如果这些数据处理不当,将会受到重大处罚。敏感信息不仅仅指个人信息,财务数据、登录凭证、遥测和配置等都需要进行精心保护。
在设计一个产品的时候,问问自己,如果黑客获取这些数据,会产生什么后果? 如果您认为这个后果不可接受,那么您应该考虑使用密码加密方式来处理存储及传输中的数据。
3. 你的设备是否需要安全身份认证?
值得注意的是,只有经过授权的物联网设备才能加入到你的物联网生态系统。
想想看,如果一个黑客的设备可以伪装成一个汽车传感器,并触发一些自动驾驶汽车控制系统的行为,将会发生什么? 如果胰岛素泵接收到来自假冒血糖传感器的读数,会发生什么? 在安全敏感的情况下,验证物联网设备的身份至关重要。
加密安全身份可为设备提供强大的授权和并适用于多种场景,以确保物联网生态系统中的所有设备都是可信的。
4. 你现在实施的加密方法正确吗?
对于数据保护、安全通信和身份验证而言,密码学是一项前瞻性技术,很难正确地实现和部署。加密将保护数据,但你也必须保护密钥。
物联网的一个特点是,这些设备通常处于物理上不受控制的环境中,让黑客更有机会直接访问设备,因此,对设备进行逆向工程以查找密钥更为容易。保护密钥可能需要在设备上安装特殊硬件安全存储密钥,如果不能实现,则需要实施白盒加密。
您还需要考虑密钥管理的整个生命周期。密钥是如何生成和分配的?密钥通常是在未受保护的计算机上生成的,私钥没有得到充分的保护或备份,从而造成严重的安全漏洞。正确生成和分配密钥需要专门的技术、设施、流程和人员,如果这些功能自己企业不能实现,那么您可能需要外包服务进行密钥生成和配置。
5. 您如何保护物联网设备上的应用程序?
您应该考虑将保护应用程序作为开发生命周期的一部分。许多工具可用于分析代码以查找潜在漏洞,在将代码部署到现场之前,您应该修补这些漏洞。
当然,新的漏洞不断被发现,您应该有一些方法可以在部署后安全地更新这些设备。考虑在将补丁部署到设备时使用安全的身份验证通道,并使用代码签名技术来确保只安装经过授权的更新。
在不受控制的环境中部署物联网设备为黑客提供了许多机会进行逆向工程代码,因此评估阻止篡改的工具非常重要。
为提高物联网的安全性还有很多工作要做,但考虑到这五个问题,应该让您走上更安全的物联网部署道路。祝你在2018年好运!