为什么IoT公司保持构建具有巨大安全漏洞的设备?

今年早些时候,一个令人震惊的故事触动了这个消息:黑客已经在奥地利的一家豪华酒店接管了电子钥匙系统,将客人锁在房间外,直到酒店支付赎金。令人惊讶的是,客人和任何曾住过酒店的人都是这样的。但网络安全专家越来越关注网络连接到互联网的物理设备(被称为物联网)的许多方式,可以被黑客入侵和操纵,这并不奇怪。 (酒店已经宣布它正在使用物理钥匙。)

想象一个物联网人质的场景,或者黑客所有其他方式都可能会对我们每天使用的联网对象造成严重破坏,这并没有大的飞跃。智能设备渗透到我们的家庭和办公室。烟雾探测器,恒温器,喷头和物理访问控制可以远程操作。虚拟助理,电视,婴儿监视器和儿童玩具收集数据并发送到云端。 (涉及CloudPets泰迪熊的最新玩具违规行为之一,现在是国会调查的主题。)一些智能技术可以挽救生命,如控制静脉注射药物剂量的医疗设备或远程监测生命体征。

问题是许多IoT设备不是作为优先级设计或维护的安全的。根据IBM Security和Ponemon Institute最近的一项研究,80%的组织没有定期测试他们的IoT应用程序的安全漏洞。这使得犯罪分子使用IoT设备来侦察,窃取甚至造成身体伤害变得容易多了。

一些观察家将失败归因于物联网淘金热,并呼吁政府加强监管智能设备。然而,在网络安全方面,监管可以善意,但误导。由缓慢移动的政府机构起草的安全检查表无法跟上技术和黑客技术的不断发展,合规制度可能会转移资源,给予虚假的安全感。加上所有不同的联邦,州和国际机构,声称其中一个监管派别,你会发现一些重叠的要求,可以混淆和约束公司 - 但让黑客有足够的空间来操纵。

奥巴马政府早年推出了关于网络安全基础设施的监管建议,但最终转向采用更为有效的风险管理方法。这受到广泛赞誉的国家标准与技术研究所(NIST)网络安全框架的体现,该架构是与行业合作开发的,并提供可适应任何规模或简档的组织的基于风险的指导和最佳实践。早期的迹象表明,特朗普政府计划继续采用NIST方法。

明智的下一步将是建立在这一成功之上,并为物联网制定类似的框架。该框架可以协调国际惯性关系方面的最佳做法,而不是试图对各种不断增长的技术进行具体控制,并帮助企业为其组织确定最重要的安全策略。这实际上是12月份向两国新政府推荐的两党加强国家网络安全委员会。一个框架也可以作为联邦机构目前正在进行的一些分散的物联网工作的急需的协调点。

然而,对于物联网行业等待政府来说,这是一个错误,这个问题是迫切的,随着新的“物联网”攻击事件的发展,将会变得更加如此。 IoT提供商可以通过采取一些基本步骤来证明他们认真对待安全。

首先,安全和隐私应纳入设计和开发。 IoT设备的大多数安全测试发生在生产阶段,如果太晚无法进行重大更改。规划和投资前进可以走很长的路。例如,许多IoT设备共享了众所周知的默认用户名和密码,可以通过快速的Google搜索找到。因为大多数消费者不会更改这些设置,所以产品应该设计为具有唯一凭据,或者要求用户首次使用时设置新的凭据。这样做会阻碍物联网设备的最简单和最广泛的方法。就在去年秋天,黑客利用知名的工厂凭证,与未来的僵尸网络(Mirai botnet)一起感染数以千计的DVR和网络摄像头,这些网络摄像机曾经造成大量的互联网中断。

第二,IoT设备应该能够在整个使用寿命期间接收软件更新。产品发布后经常会发现新的软件漏洞,从而使安全补丁至关重要,以防御威胁。如果可以合理地提供更新的时间长短有限制,则产品应该被清楚地标上“过期日期”,过去将不再维护安全。

三要提高消费者的透明度。与手机和计算机不同,IoT设备通常在没有人力监督或可视性的情况下运行。许多这些对象缺少显示消息的屏幕。与其他类型的产品召回一样,当设备出现安全问题时,业主需要收到通知,并告知如何应用安全更新。当物联网设备被转售时,应该有一种简单的方法来进行出厂重置以擦除数据和凭据。例如,IBM Security最近展示了二手车的销售商如何能够保留对车辆的远程功能(如地理定位)的访问,而无需买家的意识。

在物联网的世界还处于早期阶段,但它是一个快速发展的世界,每年都有数十亿个新设备连接起来。建立可信赖的生态系统的窗口正在关闭。别人会遵循奥地利酒店的例子,断开他们的设备和他们的信任是否被违反?物联网行业不应该等到找出来。我们现在可以投资于确保这种信任,并且安全地享受这种卓越的技术的好处,或者我们可以预期黑客会更加狠狠的和政府干预干预。

原文发布于微信公众号 - 智能计算时代(intelligentinterconn)

原文发表时间:2017-05-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

微软谷歌发现新漏洞“变种4” 许多现代芯片将受影响

据路透社北京时间5月22日报道,微软和谷歌网络安全研究员发现了新的芯片漏洞,该漏洞与今年1月出现的Spectre和Meltdown漏洞有关,将对许多现代计算芯片...

1023
来自专栏FreeBuf

2018年,供应商预计将面临新的网络安全威胁

严峻的事实是,全球58%的企业承认在过去的12个月里至少遇到过一次数据泄露事件,而其中一半的企业表示,它们至少遭遇了一次内部事件。超过三分之一的企业至少遭受了一...

20510
来自专栏FreeBuf

那些年,我们一起碰到过的骗局

现在有很多骗局案例的顺利实施足以给予那些潜在的受害者一些警示,提醒他们避免上当受骗。因此,尽管ESET的大部分业务是主要集中在恶意软件上面,我仍旧花了很多时间在...

2476
来自专栏FreeBuf

HackerOne平台2016年最具竞争力的漏洞悬赏项目

互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。 谷歌、Fac...

22210
来自专栏信安之路

重大福利!2018年白帽黑客最新干货资料,限时免费分享

嗨 ~~各位未来的白帽们,今天为大家推荐一套体系化的安全课程,感谢大家长时间对我的支持现在作为福利赠送给大家。

2953
来自专栏人称T客

企业移动互联网 国产移动操作系统元心谁能担起重任?

自从斯诺登事件以后,安全问题再次成为用户关注的重点,特别是在移动互联网时代,在操作系统被国外厂商盘距的当下,安全犹如纸上谈兵,核心问题没有解决,高谈安全问题只...

3017
来自专栏企鹅号快讯

腾讯这一波,又会带火哪些域名?

目前,只需要将微信客户端升级到最新版本,就能体验微信的这个新功能了。相信不少人也已经被下面这个图给刷屏了: ? 许多人都反映,“跳一跳”实在是太好玩了,一不小心...

2407
来自专栏灯塔大数据

报告发布|新连接经济:为我国经济结构性改革注入新动力

近年来,随着国家不断加强和普及连接基础设施建设,百度、腾讯、华为和中国移动等龙头企业纷纷提出连接战略,以及亿万消费者把衣食住行都建立在新连接之上,连接终于从不可...

2866
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(79)-SOP-车间生产计划

车间生产计划 车间生产计划是工厂生产计划的具体执行计划,是把工厂全年的生产任务具体地分配到各个车间、工段、班组以至每个操作人员,规定各相关人员在月、旬、周、日以...

3016
来自专栏企鹅号快讯

H5手游大事件:腾讯上线“微信小游戏”!支持群分享与内购

导语 相关人士透露,预计一个月内还会有更多小游戏上线,届时将出现更多外部厂商产品。 业内对腾讯何时开放H5游戏入口一直非常关注。今年11月,游戏茶馆就曾报道过腾...

22710

扫码关注云+社区

领取腾讯云代金券