物联网设备太脆弱 物理安全成为关键因素
连接的设备安全对至61%的消费者是一个谜
最近对1,000多名消费者的调查显示,物联网在消费者中的传播,但也指出了一些严重的安全隐患。移动和互联网安全提供商BullGuard的调查显示,大约四分之一的消费者计划在未来12个月内购买IoT设备。 BullGuard发现,58%的消费者对相关设备的潜在黑客和数据窃取“非常关心”或“高度关注”,37%的用户已经经历了安全事件或隐私问题。根据调查,68%的受访者担心像病毒,恶意软件和黑客等安全风险,65%的受访者表示担心设备制造商收集的数据被不当利用或被盗。
物联网行业尚未在设备之间建立共同的安全标准。智能设备制造商倾向于采用自己的安全方法,同时更新以确保设备安全性对于消费者来说往往太技术和复杂,即使是技术熟练的人也是如此。这项研究显示,24%具有先进技术技能的消费者对于保持连接设备安全的能力无信心。
这些漏洞已被世界各地的情报机构所认可。美国国家情报总监詹姆斯·克拉普(James Clapper)在最近向美国参议院提供的证词中表示:“将来,情报部门可能会使用[物联网]进行识别,监视,监控,位置跟踪或访问网络或用户凭据“。
BullGuard首席执行官Paul Lipman说:“我们大多数人一直在使用互联网连接的设备,如电脑,智能手机和平板电脑一段时间,但是物联网正在改变我们对于我们自己和我们的数据的个人安全感。那些认为自己“技术挑战”的人不仅仅是那些有这些担忧的技术人士,技术精湛的用户也是这样说的。
当被问及他们如何评价他们的计算机技能时,大多数受访者将自己描述为“中级或高级”。超过80%的人表示能够设置自己的路由器,但是当被问及是否更改了路由器密码时,几乎被拒绝了。第三个承认他们不知道如何,60%不知道如何配置路由器来保持家庭网络安全。
Lipman说:“消费者显然没有能力处理连接设备提供的无数安全隐患。 “由于安全摄像机,报警系统和门锁等设备现在已连接到互联网,物理安全性正在成为消费者作为数据安全性的考虑因素。保持这些设备安全是绝对必要的。“
趋势:设备太脆弱
IoT设备在安全性方面仍然很糟糕
在最近的一项研究中,安全公司ForeScout已经表明,劫持许多常见的企业IoT设备需要不到三分钟的时间。这一深入分析显示了企业IoT设备构成的危险,似乎揭示了大多数可以作为进入关键企业网络的点。这个“IoT企业风险报告”是基于白帽子黑客Samy Kamkar的研究。
“物联网在这里停留,但这些设备在企业中的普及和普及正在创造一个更大的攻击面 - 一个为黑客提供易于访问的入口点,”ForeScout Technologies总裁兼首席执行官Michael DeCesare说。 “解决方案从设备即时连接的实时,持续可见性和控制开始,您无法确保您看不到的内容。”
Kamkar的研究重点是七个常见的企业IoT设备:IP连接的安全系统,智能HVAC和电能表,视频会议系统和连接的打印机等。根据他从物理测试情况的观察和同行评审的行业研究分析,这些设备对企业构成重大风险。这种风险主要是因为它们中的大多数并没有嵌入式安全性。在确实有一些安全协议的少数设备中,Kamkar表示,许多设备正在使用危险的过时固件。
发现的一个漏洞是通过实体黑客Kamkar进行,让他访问企业级的基于网络的安全摄像头。相机完全未经修改,并从制造商运行最新的固件,并且仍然很脆弱,最终允许种植可以在网络外控制的后门入口。
报告的主要发现:
识别出的七个IoT设备可能在短短三分钟内被黑客入侵,但可能需要几天或几周的时间才能进行修复。如果任何这些设备被感染,黑客可以生产后门来创建和启动自动化的物联网僵尸网络DDoS攻击,就像上周发生的一样。网络犯罪分子可以利用干扰或欺骗技术来攻击智能企业安全系统,使他们能够控制运动传感器,锁和监视设备。使用VoIP电话,利用配置设置来逃避身份验证可以打开窥探和记录呼叫的机会。通过连接的HVAC系统和电能表,黑客可以迫使关键房间(例如服务器室)过热关键基础设施,最终造成物理损坏。
由于像这里所揭示的漏洞,恶作剧者现在很容易使用不安全的设备来获取安全网络,最终其他企业系统也充满了美味的银行帐户信息,人事档案和专有商业信息。
趋势:好的加密可能是一个答案
密码学启用连接设备的交钥匙安全
由于Maxim Integrated产品最近发布的产品,IIoT和连接的嵌入式系统的开发人员现在可以设计更高的信任度,同时将产品推向市场的速度更快。随着对关键连接基础设施的网络攻击的增加,系统设计中的安全性不再是事后的想法。电子设计公司最近对2,200名电子工程师进行的一项调查显示,60%的受访者表示,其产品的安全性非常重要,96%的受访者认为安全性对产品的重要性或相同程度。
Maxim MAXQ1061设计有一个集成的综合加密工具箱,可提供从关键生成和存储到数字签名和加密到SSL / TLS / DTLS等广泛的安全需求的全面支持。它还可以支持大多数主机处理器的安全启动。为了承受极端的工业环境,MAXQ1061的测试工作范围为-40度至109摄氏度,可在TSSOP-14中使用。
“MAXQ1061提供了信任的硬件根源; Maxim Integrated嵌入式安全性执行业务经理Christophe Tremlet表示,其全面的密码功能可满足未来嵌入式系统的关键安全要求。 “使用MAXQ1061,我们的客户拥有一个值得信赖的设备,不仅可以保证系统的完整性和真实性,还可以保证通信安全。”
MAXQ1061嵌入32KB用户可编程安全EEPROM,用于存储证书,公钥,专用和秘密密钥以及任意用户数据。 EEPROM通过灵活的文件系统进行管理,从而实现了自定义的安全策略实施。其加密算法包括ECC(高达NIST P-521),ECDSA签名生成和验证,SHA-2(高达SHA-512)安全散列,支持ECB,CBC和CCM模式的AES-128 / -256,和MAC摘要。 MAXQ1061还提供了一个独立于SPI的硬件AES引擎,支持AES-GCM和AES-ECB模式,可用于卸载主机处理器进行快速流加密。
Icon Labs执行副总裁Ernie Rudolph表示:“MAXQ1061提供理想的硬件安全性,以补充我们的Floodgate Defender Appliance的软件解决方案,使客户能够轻松地经济地保护其传统设备。
趋势:更多的违约意味着更多的关注安全
控创发布IoT安全平台
控创最近发布了一个新的硬件和软件安全平台,用于物联网环境,使用多层加密和实时分析来保护网络上的点并检测流氓设备。 AT&T委托的一份报告最近发现,近两年来,物联网设备的漏洞扫描增加了458%。 IBM的X-Force是一个道德黑客团队,最近闯入了一个所谓的智能建筑的楼宇自动化系统(BAS),该系统由跨美国多个办事处的企业占据。该团队利用的漏洞将使他们能够访问公司所有BAS单位及其分公司。作为测试的结果,团队提出了一个基本的安全程序清单,例如避免以明文形式存储密码,BAS运营商应遵循密码来减少未来违规的可能性。
这种竞争性的安全研究对于建立对物联网行业的信任至关重要,只要我们有电脑,它就成为IT安全领域的一部分。更多的这些黑客黑帽子黑客事件是需要的,他们的成功报道。随着更多的漏洞被修复和修补,新的更难找到,整个行业获得更大的消费者和工业的信任。因此,它会增长。