智能家居解决方案最近引起了人们的兴趣,并且有很好的理由。它们允许房主远程监控他们的房屋,提高能源效率并协助进行健康跟踪。凭借所有这些优势,房主抓住机会提高房屋的舒适度和安全性,以改善整体健康状况。根据MarketsandMarkets的数据,2018年智能房地产市场价值766亿美元,预计到2024年将达到1514亿美元。负责开发和维护智能家居设备随着智能设备数量的增加,它们的计算机软件和硬件漏洞也可能被恶意人员利用,这使得智能家居安全成为一个重要问题。例如,威斯康星州的一对夫妇在他们的智能家居遭到攻击时遭遇了可怕的事件。黑客破坏了他们的智能家居网络,并在通过智能网络摄像头与他们交谈时播放了令人不安的嘈杂音乐。好像这还不够可怕,袭击者操纵了这对夫妇的恒温器,将该区域的温度更改为30摄氏度以上。这一事件以及其他类似事件为供应商提供了发布新的智能家居安全解决方案的市场机会,因为该行业的预测到2022年将跃升至43.7亿美元,与2018年相比复合年增长率为19.6%。保护智能家居设备可能是责任的供应商和消费者。随着消费者意识到风险,他们会寻找在智能设备开发过程中优先考虑安全性的供应商。智能家居安全状态与任何智能电子设备一样,联网的智能家居设备也可能遭到黑客攻击。门铃和车库门等户外智能设备将最容易受到攻击,因为任何经过它们的人都可以轻松访问它们。厨房用具不太可能成为目标,但它们也不安全。即使个人设备本身不会带来太多价值,攻击者仍然可以定位它以闯入智能安全系统。一旦进入,他们就可以访问个人信息或执行更复杂的攻击,例如创建僵尸网络。在一个离奇的例子中,一家北美赌场的智能鱼缸被黑了。黑客入侵后,他们迅速在网络中移动并窃取了10GB的个人数据,然后所有者才意识到有人在做恶意事情。安装智能摄像头可以让人们感到安全,同时也可以打开通往家中的数字大门。一起臭名昭著的事件涉及Ring视频监控摄像头。攻击者破坏了RingIoT系统并发现用户的密码以自由文本形式存储。使用这些密码,攻击者可以破坏无线安全系统并监视其他人。Ring很快将安全漏洞归咎于用户,称他们使用了弱密码。然而,进一步的调查证明,Ring没有采取足够的预防措施来确保隐私数据的安全。甚至智能灯也受到了损害。在最近的飞利浦Hue智能灯泡案例中,黑客能够利用企业实施Zigbee通信协议方式中的漏洞。犯罪分子实际上可以从最远100米外访问房主的Wi-Fi网络并安装恶意间谍软件和勒索软件。几乎任何智能设备都可能成为攻击的目标。即使是智能咖啡壶也可以用来访问其所有者的银行账户详细信息。随着安全智能家居设备的趋势在消费者中蔓延,预计供应商将加紧努力,将安全作为其开发过程中不可或缺的一部分。即使是看似最无害的设备也需要受到保护。例如,SofteqDevelopment开发了一款具有多种安全协议的户外照明远程控制应用程序。将安全置于开发过程的核心在最近的一项研究中,来自北卡罗来纳州立大学的一组研究人员检查了24种流行的智能家居设备,发现其中很大一部分存在可能使房主面临风险的缺陷。有一定风险。一个广泛存在的漏洞允许黑客通过智能设备被动地接收信号,并从您家附近收集和分析数据。例如,通过监控智能锁,攻击者可以了解主人是否在家。分析设备的另一个常见缺陷是在入侵之前可能会失活。黑客可以上传恶意软件来阻止所有安全警报,例如在所有者不知情的情况下打开智能门。要生产安全设备,仅将一些安全功能快速融入最终产品是不够的。安全性必须是开发过程每个阶段的基础。设计阶段在开发智能设备时,生产商必须在产品生命周期的早期就关注安全性。安全功能与其他功能的分离在安全和非安全功能之间创建了一个有限的接口。这种分离缩小了专门从事安全性的开发人员的范围,让团队的其他成员专注于非安全功能。对安全要求做出明确的假设,记录在设计阶段所做的任何安全假设,而不是依赖于每个人自动具有相同期望这一事实。这包括关于设备使用、环境等的假设。考虑邀请外部安全专家对完成的设计进行最终安全审查,以帮助发现不一致之处。例如,可以安全地捕获和存储敏感数据,但与此同时,敏感数据也可能通过其他渠道泄露,例如错误消息。采用分层安全措施。重要的是要注意,正在实施的安全措施很可能会在某个时候受到损害。为了最大限度地降低暴露风险,请在您的设计中加入冗余保护措施。开发阶段在此阶段,开发人员将执行在样式设计阶段指定的安全规则。即使拥有强大的外表,编程错误也可能会意外引入新的漏洞。1.选择编程语言时,请牢记安全性一些编程语言(如Rust)提供的内存管理功能使其成为安全性的首选。但是,任何此类漏洞都会导致单点故障。例如,C和C++经常被用来开发智能设备的计算机软件,因为它们可以有效地利用系统资源。然而,这些语言为程序员提供了执行违反安全性操作的机会。另一方面,尽管Ada是一种较旧的编程语言,但它仍然是安全编程的绝佳选择。2.尽可能使用既定的安全框架,不要为不同的安全方面重新开发他们现有的库,重新开发它们不是一个好的做法。虽然使用现有库是有利的,但它们可能并非没有缺陷。选择使用哪个库时,调查其可靠性:始终检查该库是否被其他库广泛采用。它是否实现了典型的安全机制?审核了吗?像这样的简单问题可以让他们自己省去很多麻烦。3.确保您的固件是最新的在开发固件时,请依赖安全专家经过彻底研究和改进的安全框架,并在可用时始终将其更新到最新版本。注意确保最新版本没有被“中间人”取代。数字签名可以作为一种可靠的验证工具。数字签名从其原始内容合并到固件中,并由接收者使用私钥读取。在测试阶段,您不仅要测试功能,还要探索错误处理和容错的稳健性。1.邀请外部审计师进行安全测试第三方专家模拟不同的攻击,试图削弱你的产品。此类外部测试包括渗透测试、网络扫描等,这些测试的数量和复杂程度实际上应该与安全需求成正比。当安全级别很高时,攻击场景会变得越来越复杂。2.执行隐私影响评估测试此测试用于确保数据的处理符合GDPR(如适用)或您所在国家/地区的任何等效隐私法规(例如CCPA)。请注意,国家安全机构可能已准备好隐私评估指南并提供给所有人。3.智能设备部署后持续监控负责任的供应商即使在离开商店后也会继续监控智能设备是否存在漏洞。通过智能设备收集流量数据将有助于研究特定于设备的流量模式并改进未来的版本。智能设备生产商可以采取一些步骤在部署后为安全做出贡献。4.为消费者提供安全提示许多安全提示对供应商来说似乎是常识。但是,对于最终用户而言,它们可能并不那么明显。即使这些提示为消费者所熟知,他们也可能低估了它们可能产生的影响。为避免容易避免的事件,请为客户提供有关如何保护其智能设备安全的指南。这些提示应包括但不限于:更改默认密码并选择安全选项安装设备更新(如果可用)安装设备时检查权限为您的设备命名禁用您不使用的功能保护您的Wi-Fi并避免公共通信网络链接尽可能进行网络分段,使并非绝对所有设备都可以访问整个网络设备识别借助基于机器学习的技术,您可以准确识别每个连接的物联网设备,建立设备分类并分析网络流量.例如,能够区分冰箱和恒温器对于安全性很重要,因为它可以让您了解哪些数据流量模式适用于哪些设备。5.异常检测和分类一旦智能家居设备被识别和配置,您就可以为每个配置文件的增量行为建模。当设备的当前行为偏离既定规范(例如,发送/接收的数据包数量)时,这可能表明存在攻击。流量监控会在早期提醒您注意受感染的设备,并允许采取预防措施。监控内部到外部流量(检测DDoS攻击)和内部到外部流量(检测家庭网络渗透攻击)。6.可靠的数据存储配置不安全的数据存储绝对是数据泄露的导火索。物联网设备供应商Wyze在2019年承认将从200万暴露在互联网上的人收集的数据留给犯罪分子可以自由收集的数据。此数据包括电子邮件地址以及健康信息。没有最容易使用的万能智能安防系统。但是,如果您在开发过程的所有阶段采取广泛的安全方法并在部署后继续监控智能设备,您将更有效地交付安全的智能设备。这不仅会让您成为值得信赖的供应商,甚至可能为您打开商机。随着对智能设备的需求增加,供应商未能提供适当的安全性并因宣传不佳而成为头条新闻。为消费者提供安全的智能设备是一项挑战,因为它需要严格的开发流程、持续监控和可靠的数据存储。但是那些将安全放在首位的供应商将获得消费者的信任和新的选择来促进他们的业务。
