物联网如今无处不在,从天气传感器和工业控制系统到智能手表、冰箱和植入式医疗设备。预计2023年全球使用的物联网设备数量将超过150亿台(这个数量是互联网用户数量的三倍),到2030年,这一数字将几乎翻一番。
物联网设备具有巨大的积极变化潜力,但它们连接对象、共享信息和执行操作的能力恰恰使它们极易受到攻击。随着物联网设备的攻击面几乎扩展到社会的各个层面,设备的扩散产生了很多风险。
鉴于物联网设备在关键基础设施、医疗保健和消费者使用的应用中大量存在,确保物联网安全非常重要。说明物联网设备漏洞的一些最著名的例子包括心脏设备和胰岛素泵等受损的医疗设备,以及汽车中存在缺陷的无线连接,黑客可以破坏汽车刹车、关闭发动机或控制方向盘。还有一些令人不寒而栗的人身安全事件,例如入侵婴儿监视器让黑客监视婴儿,并以绑架威胁他们的父母。不幸的是,调研机构最近的一项调查发现,虽然62%的产品和制造业领导者担心他们的物联网设备安全,但只有42%的人认为他们有明确的策略来保护设备身份。
正如新技术经常发生的那样,物联网的爆炸式增长已经超过了安全性。但随着物联网设备变得越来越普遍,风险显著增加,甚至危及人们的生命。物联网安全必须成为一个优先事项,每个企业都有责任采取必要措施确保使用中的任何物联网应用程序或设备的安全。
优先考虑物联网安全的每一步
设备制造商通常没有明确的安全标准,导致市场上存在很多歧义和不一致。这种模糊性可能会流向下游,导致身份验证实践、持续的安全更新以及连接设备之间的通信不一致。虽然正在发生变化,例如智能家居标准,但为物联网设备建立最低安全标准的努力还不够广泛。
为了克服与物联网设备相关的日益增长的风险,组织需要采取与软件开发相同的方法——在开发过程的早期引入安全性,并在之后的每一步中优先考虑安全性。有了这种心态,团队就可以创建可信的设备身份,确保数据机密性,并维护每个设备上运行的数据和固件的完整性。遵循以下最佳实践将有助于加强物联网设备的安全性。
- 为每个设备创建唯一的凭据。数字证书通过为每个设备创建高度安全、唯一的认证方法来验证电子信息发送者的身份。为每个设备提供唯一的数字证书比仅仅使用默认密码甚至使用共享密钥进行对称加密要有效得多。这是因为对称加密不会在设备之间进行区分,因此无法与特定连接的设备共享信息,也无法知道特定设备的数据来自哪个设备。使用具有唯一数字证书的非对称加密使制造商能够与特定设备共享信息,并了解特定设备数据的来源,从而实现每个设备的高度安全身份验证并确保数据的完整性。
- 对私钥存储采取额外的预防措施。为每个物联网设备创建唯一的凭据需要使用非对称加密,它会生成公钥和私钥对。虽然公钥可以共享,但私钥需要安全地存储。最好的方法是使用基于硬件的安全性,例如可信移动平台(TPM)或安全存储。例如,TPM芯片通过硬件支持的安全加密处理器保护密钥和数字证书,提供强大的保护,防止被破坏。
- 验证固件和软件更新。黑客在联网设备上安装恶意软件的能力是一个重大威胁。使用公钥/私钥对并要求开发团队签署他们的代码可以减少这种威胁。每个设备都需要一个与开发团队的私钥相匹配的公钥,这将验证更新确实来自团队,并且在传输过程中没有被修改。
- 提供持续的生命周期管理。任何静态系统本质上都是不安全的,使用中的数字证书和密钥对会随着时间的推移而减弱。如果没有适当的管理,证书很有可能过期,或者成为网络犯罪分子的渗透工具,而团队却不知道。这是因为证书将继续保持有效,即使证书在其398天的生命周期之前就已停止使用。随着物联网设备数量的增加,跟踪整个现场的库存并检测设备变化是组织面临的最重大的安全挑战。为了实施适当的生命周期管理,团队应该映射组织内所有设备的所有内容以及相关的数字密钥和证书。这有助于建立正在使用的确切清单,并允许更容易地监视所有证书和密钥,特别是当需要更新或团队需要撤销不再使用的设备的证书时。
- 随着物联网生态系统的发展和成熟,严重的安全问题出现了,可能会给设备制造商造成数百万美元的损失,并造成无法量化的信任损失。在最坏的情况下,安全漏洞可能会危及生命。世界上物联网设备的数量之多,以及它们现在在各种领域执行关键任务功能的事实,意味着现在是时候认真对待物联网安全了。通过加密、唯一凭据和持续的生命周期管理来优先考虑物联网安全,组织可以放心,他们向市场推出的创新设备以及用于自身运营的设备不会带来任何破坏性风险。
