随着由数百万台设备组成的物联网解决方案的引入,攻击面可能比任何其他设备都大。物联网技术提供了许多显着的好处。它们可以使复杂的任务比以往任何时候都更简单、更容易且更具成本效益,例如跟踪由数千辆汽车组成的车队、监控和调整制造流程,或者实现智能家居或办公室的自动化。然而,通过将物联网设备引入我们的家庭、工作场所和公共场所,我们也暴露了新的攻击面。当我们将物联网系统分配给一项关键任务或信任它来监控我们最私密空间中的敏感信息时,我们希望确保该系统是值得信赖的。因此,在开发IoT解决方案时,在所有阶段应用安全最佳实践至关重要。熟悉的老朋友虽然物联网系统引入了许多新的安全考虑因素,但我们还必须记住所有旧的互联网安全最佳实践。许多物联网系统的目标是监控信息并将其提供给人类用户。我们需要确保最佳实践用于用户管理、授权以及身份验证和数据存储。散列密码、净化输入、对所有连接使用SSL以及使用双因素身份验证等工具是整个技术行业的标准做法。物联网领域也不例外。由于物联网系统收集和生成的信息通常是敏感信息,有时甚至是个人信息,因此访问控制也很关键。需要在项目、子系统、设备类别甚至特定设备级别的基础上考虑许可。创建物联网解决方案最重要的步骤之一是考虑谁应该访问哪些数据。由于涉及的设备数量众多,此类系统中的权限可能比许多其他系统中的权限更细化,但适用相同的基本原则。新视野除了所有熟悉的安全注意事项外,物联网系统还引入了许多新的风险和危险。确定值得信赖的硬件合作伙伴对于任何考虑部署物联网系统的公司来说都至关重要,因为物联网系统固有的许多安全风险都始于硬件级别。物联网设备存储并使用加密密钥通过网关在更广泛的互联网上传输数据。访问这些加密密钥可能允许恶意行为者欺骗设备数据并对物联网系统造成严重破坏。由于在许多情况下无法像传统计算设备那样严格控制对这些设备的物理访问,因此采取措施防止物理设备级别的篡改非常重要。在某些情况下,如果专有数据和代码存储在设备上,设备甚至可能会自毁,在检测到未经授权的访问时销毁所有机载数据。在物联网设备控制涉及业务运营和人身安全的物理过程的世界中,未能正确保护物联网硬件可能导致收入损失,或者在最坏的情况下导致生命损失。即使看似无害的攻击也可能对公司的品牌和客户信任造成极大的损害。一个典型的例子是最近针对IoT设备(尤其是网络摄像头)的攻击,目的是创建用于发起分布式拒绝服务(DDOS)攻击的巨型僵尸网络。这些类型的攻击的一个关键部分是攻击未被发现。从本质上讲,这些攻击不会立即危及目标公司的硬件和软件系统。一旦发现并泄露公司的物联网设备遭到破坏,客户就会失去对公司产品的信任。在许多方面,物联网软件解决方案只有在数据由硬件提供时才有效。如果黑客入侵设备,提取其加密密钥,或用恶意代码修补其固件,则很难检测到该设备已被破坏,因为在非对称现实世界中生成的物联网数据通常是不可预测的。但是,运行数据分析以确保设备按预期报告是有帮助的。例如,如果某个设备的报告频率似乎高于预期,这可能表明该设备的唯一ID被用于欺骗数据。对数据设定界限和期望可以突出数据中的违规行为,这些违规行为可能表明网络上存在恶意活动。在许多情况下,了解设备的消息规范应符合的确切参数,并且只允许将某些类型和字段的数据写入内存或对其执行操作也是适当的。未来的物联网安全随着由数千甚至数百万台设备组成的物联网解决方案的引入,这些系统的攻击面可能比任何其他系统都大。然而,平衡这些风险有望带来巨大的、改变世界的回报。通常,与经验丰富的物联网解决方案提供商合作至关重要,他们可以帮助您驾驭这个激动人心、有时令人恐惧的新世界。
