物聯網項目五個至關重要的安全問題

圖片來源：https://pixabay.com/photo-3090704/

來源：物聯之家網 編譯：冬夜

2018年將是物聯網至關重要的一年。據估計，將有28億新設備連入互聯網，從而實現十年前科幻小說中出現的各種場景。連網的醫療設備、手錶、家庭自動化設備、智慧城市、智能汽車和工業設備等等，無論在個人領域還是商業領域，都將改變人與人以及人與環境之間的交流方式。

現在是反思我們過去犯下錯誤的最佳時機，並決心在以後做得更好。我最先考慮的問題就是安全，我們很容易沉浸在物聯網帶來的新事物中，但是我們不能忽視物聯網所帶來的安全風險。

一年多以前，Mirai惡意軟體控制了數十萬台物聯網設備，並發起了一場規模最大的、極具破壞性的網路攻擊。根據Webroot的說法：「根本問題在於物聯網製造商只關注設備的功能，並沒有投入資金進行足夠的安全測試。」

所以，我認為大家都應該在未來一年做出這樣決定：讓安全成為物聯網設計過程中的一部分！但是，這到底意味著什麼呢？本文主要講述一些從一開始就需要考慮到的問題。

1.設備是否執行安全敏感操作？

如果黑客能夠控制胰島素泵或核電站閥門控制器的執行器信號，那麼顯然這會帶來巨大的安全問題。即便是控制恆溫器這種不太關鍵的設備，在寒冷的冬季也是一個安全問題。相反，控制你的機器人吸塵器可能不會帶來較大影響。

安全重於一切。設備是否涉及安全隱患，這將成為你考慮採取何種強度安全措施的重要因素。

2.設備是否處理敏感信息？

任何一種隱私敏感信息都應該引起重視，尤其是歐洲即將實施GDPR法規，如果這些數據處理不當，將會受到重大處罰。敏感信息不僅僅指個人信息，財務數據、登錄憑證、遙測和配置等都需要進行精心保護。

在設計一個產品的時候，問問自己，如果黑客獲取這些數據，會產生什麼後果？ 如果您認為這個後果不可接受，那麼您應該考慮使用密碼加密方式來處理存儲及傳輸中的數據。

3.你的設備是否需要安全身份認證？

值得注意的是，只有經過授權的物聯網設備才能加入到你的物聯網生態系統！

想想看，如果一個黑客的設備可以偽裝成一個汽車感測器，並觸發一些自動駕駛汽車控制系統的行為，將會發生什麼？ 如果胰島素泵接收到來自假冒血糖感測器的讀數，會發生什麼？ 在安全敏感的情況下，驗證物聯網設備的身份至關重要。

加密安全身份可為設備提供強大的授權和並適用於多種場景，以確保物聯網生態系統中的所有設備都是可信的。

4.你現在實施的加密方法正確嗎？

對於數據保護、安全通信和身份驗證而言，密碼學是一項前瞻性技術，很難正確地實現和部署。加密將保護數據，但你也必須保護密鑰。

物聯網的一個特點是，這些設備通常處於物理上不受控制的環境中，讓黑客更有機會直接訪問設備，因此，對設備進行逆向工程以查找密鑰更為容易。保護密鑰可能需要在設備上安裝特殊硬體安全存儲密鑰，如果不能實現，則需要實施白盒加密。

您還需要考慮密鑰管理的整個生命周期。密鑰是如何生成和分配的？密鑰通常是在未受保護的計算機上生成的，私鑰沒有得到充分的保護或備份，從而造成嚴重的安全漏洞。正確生成和分配密鑰需要專門的技術、設施、流程和人員，如果這些功能自己企業不能實現，那麼您可能需要外包服務進行密鑰生成和配置。

5.您如何保護物聯網設備上的應用程序？

您應該考慮將保護應用程序作為開發生命周期的一部分。許多工具可用於分析代碼以查找潛在漏洞，在將代碼部署到現場之前，您應該修補這些漏洞。

當然，新的漏洞不斷被發現，您應該有一些方法可以在部署後安全地更新這些設備。考慮在將補丁部署到設備時使用安全的身份驗證通道，並使用代碼簽名技術來確保只安裝經過授權的更新。

在不受控制的環境中部署物聯網設備為黑客提供了許多機會進行逆向工程代碼，因此評估阻止篡改的工具非常重要。

為提高物聯網的安全性還有很多工作要做，但考慮到這五個問題，應該讓您走上更安全的物聯網部署道路。祝你在2018年好運！

關於我們：網站內容更精彩！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！