通过开发硬件设备及其后端系统的原型,并销售物联网设备,我们了解了很多关于物联网安全的陷阱和问题.事实证明,几乎所有连接的设备都容易受到攻击。研究人员已经表明,可以远程控制自动驾驶汽车、操纵植入式医疗设备、破坏投票机,当然还有各种其他“智能”设备,如门锁、灯泡、恒温器等。在奥地利,一家酒店受到黑客威胁,除非酒店用比特币支付赎金,否则客人将无法开门。后果是显而易见的。让未经授权的人控制关键设备和基础设施是一场噩梦。显然,某些攻击甚至可能导致生命损失——想想汽车刹车失灵或操纵飞机系统。但除了控制这些设备的能力及其行为的后果之外,这些设备还构成了更大的威胁:它们是攻击者侵入同一网络上其他系统的跳板,这可能更为关键。试想一下,一家大公司的文件或邮件服务器由于网络中不安全的IP摄像机而遭到黑客攻击。黑客使用价值50美元的设备作为攻击媒介来获取非常敏感的信息。或者想想使用被操纵的IoT设备对域名系统进行的分布式拒绝服务攻击,这导致Netflix、雅虎和其他公司的服务在很长一段时间内不可用。物联网易受攻击的原因攻击物联网设备的吸引力显着增加,因为这些设备的采用在过去几年中增加了很多,而且它们很容易被黑客攻击。另一个因素是大多数系统都运行在一个统一的软件堆栈上,因此当攻击者知道如何接管特定型号或操作平台时,他通常可以访问更多具有相似特征的设备。攻击这些设备的潜在好处进一步增加,因为这些设备用于越来越多的关键应用程序,并且通常连接到包含可以以这种方式渗透的关键系统的网络。因此,在过去几年中,攻击者的利益发生了很大的转变,有利于攻击者并使攻击他们成为一项好生意。但为什么这些设备容易受到攻击?(1)增加攻击面大多数物联网设备提供许多功能,包括存储和处理能力以及重要的软件堆栈——通常是成熟的设备操作系统。系统中软件和功能的增加导致更大的攻击面,从而允许更多的攻击可能性。对于互连的异构环境尤其如此,其中一台设备中的漏洞可能导致对其他设备的攻击。日益复杂的互连和访问可能性使得监视、保护和控制环境变得更加困难。一个简单的例子:过去,入侵医疗设备的方法是闯入医院的机房并连接到其串行接口以刷新其固件,但现在黑客可以坐在医院另一边的沙发上世界通过使用常规通信网络和他的笔记本电脑来攻击医疗设备。攻陷此设备后,他可以检查网络的其他部分以寻找其他有希望的目标。(2)供应商没有动力构建安全系统构建硬件是一个复杂、持久的过程,芯片组相对便宜。此外,物联网领域的技术发展非常迅速,尤其是在无线通信标准方面。因此,硬件制造商宁愿投资支持新功能和标准的新芯片组,也不愿修复旧芯片组。物联网设备本身通常由第三方硬件和软件开发商构建,这些供应商没有动力构建安全系统,因为他们的客户根据功能和定价做出购买决定,而不是安全或工程质量。因此,设备通常运行着过时的软件、固件和硬件(已知存在安全漏洞),因为修复缺陷或将自己的软件适配到固定的第三方库意味着大量工作。有时这甚至是不可能的,因为驱动程序通常只能以二进制形式提供。最新的编译器可以帮助修复软件中一些最严重的安全漏洞,但更糟糕的是,开发环境通常也完全过时了。甚至这些设备的运营商有时也没有解决问题的真正动机,因为这些设备通常仅被视为销售其他服务的媒介。(3)运营自己的物联网设备的公司缺乏专业知识销售和运营自己的物联网设备的公司往往不将硬件或软件开发视为其核心竞争力,因此缺乏如何构建安全设备和服务的专业知识。只要看看物联网设备的生态系统就会明白这一点。锁具、加热器、冰箱和汽车的制造商现在都在生产他们的IT产品——他们很难聘请必要的人才来生产他们开发的产品,甚至很难有效地协调服务合作伙伴。为什么修起来这么难?过去,我们的重点是必须保护服务器和客户端计算机。在90年代艰难地学习之后,我们在确保系统安全方面做得越来越好。不是因为我们修复了软件开发过程从而避免了错误,而是我们真的很擅长通过推出自动更新和在没有用户交互的情况下快速修复关键错误来修复问题。智能手机也是如此。我们拥有数十亿台这样的设备,但奇怪的是到目前为止我们还没有遇到全球安全问题,这是因为一旦发现缺陷,制造商就会提供软件更新来相对快速地修复安全问题。然而,物联网的情况有所不同。(1)无法解决更新问题通常无法通过软件更新来解决安全问题,因为大多数物联网设备的存储和网络带宽都有限。有时可以安装更新,但安装过程繁琐且有风险。一些物联网设备的产品寿命较长,加剧了这个问题。因此,一台易受攻击的冰箱可能会在25年内一直在线而没有得到修复。(2)自主运行即使有更新,用户也不会定期检查。因此,不必要的、过时的或行为不端的设备通常不会引起注意。通常,设备只需设置一次即可自主运行,但很少有设备支持自动更新。更糟糕的是,设备始终在线,并且经常保留默认密码和配置。(3)对因软件缺陷造成的损害不承担责任软件许可一般不承担任何损害赔偿责任。因此,物联网设备运营商没有动力去修复他们产品中的缺陷,或者确保他们的硬件和软件服务提供商得到仔细的指导来构建安全可靠的产品。相反,它们将损坏成本外部化。如何修复物联网由于缺乏适当的开发投资,物联网设备安全性不足会以牺牲他人为代价产生外部效应。这些外部性的例子是设计不当的物联网设备导致第三方服务在DDOS攻击中不可用,或者不安全的自动驾驶汽车撞倒行人。空气污染也是如此。一家不使用过滤器来清洁废气的公司具有外部性,因为污染的成本是强加给其他人的,例如污染的空气对城市居民造成严重的健康问题。在某个时候,政府采取措施避免这些外部影响,并发布了过滤废气的法规。将外部问题内部化的另一种方法是二氧化碳排放证书,它试图使公司的成本与其对外部造成的影响相匹配。在物联网时代,外部性越来越大,这就是为什么我们呼吁将安全从一种保护手段转变为一种保护他人免受伤害的手段。因此,我们认为就物联网而言,在法规方面需要类似的监管方法来防止空气污染。已经有影响某些物联网设备的法规,例如主要针对电磁干扰的强制性FCC或CE认证,以及旨在保护用户数据的通用数据保护条例(GDPR)。监管有时是不灵活的,限制了创新,增加了企业的运营成本,同时只涵盖了最基本的要素。但这可以改变。正如安全资深人士BruceSchneier所说:“我们需要重建对集体治理机构的信心。法律和政策可能不像数字技术那么酷,但它们也是创新的关键领域。“激励措施,无论生产过程中涉及的各方以及物联网设备的运行方式如何,都必须有效地激励他们生产和销售安全的产品,并激励最终客户正确安装这些设备。朝着这个方向迈出的关键一步之一一步是让各方对不符合法律要求的设备造成的损害承担责任。由于生产完全安全的设备既不可能,也不具有经济利益,因此应强制性地进行适当的保险。这样,保险费就可以用于作为激励正确设计和安装的额外灵活可能性。为此,需要一种有效的方法来评估设备的安全性。扩展的CE或FCC认证可以是等式的一部分,而可靠、高效和及时的软件安全评估是另一个到目前为止可能难以实现的部分。到目前为止,软件认证提供商鼓励开发满足最低要求的软件,但生产更安全产品的公司没有得到奖励。此外,营利性组织往往不公开他们的测试程序,这使得他们在许多专家眼中不被信任。除此之外,他们的独立性经常受到质疑。强制更新能力除了鼓励从一开始就构建安全产品外,软件驱动的产品必须经常更新。即使制造商有足够的动力投资于适当的设计,它也无法从技术上或经济上评估所有威胁和问题。物联网设备在其生命周期中可能面临。(来源IoTHouse)因此,做出反应和推出更新对于维护设备安全至关重要,并且对所有物联网产品都是强制性的。降低复杂性一些物联网设备用例(例如在线烤面包机)可能会因法规和保险费而发生变化太贵了。这可能是个好主意,因为我们确实必须降低我们构建的系统的复杂性。这可以通过两种方式完成:要么不将它们互连,因为增加的复杂性可能导致增加的价值与损害相比太小,要么通过锁定这些设备。这意味着将它们放置在安全的子网中,以确保网络参与者无法影响它们。总之,如果我们不改变我们的开发方式,我们将在物联网设备方法方面遇到严重的麻烦。一般来说,政府只有在许多人受到伤害并且公众舆论要求承担后果后才会采取行动。我们必须预见到这种发展并在此过程中减少它。损害。否则,我们将不得不迅速解决问题,仓促通常不是立法行动的最佳因素。
