物联网安全问题和障碍

2017-05-08 21:46

IoT安全性 - 为什么我们需要保护物联网，我们看到安全是任何IoT系统绝对关键的组成部分。如果没有适当的安全性，脆弱的设备可能会威胁消费者，企业和政府的隐私和安全。那么为什么物联网安全问题如此普遍呢？消费者，企业和政府如何解决这些问题？

物联网安全问题

物联网是强大的，因为它利用各种传感器网络来生成大量的数据，使用该数据执行操作并创建非常有用的见解。由于IoT需要批量生产传感器和设备，所以一个问题是，其中一个传感器/设备中发现的漏洞意味着可能会受到影响的数千或数百万个传感器/设备。

所以你可能会想，为什么这些传感器/设备首先易受攻击？正如我们在前一篇文章“未来僵尸网络”中看到的那样，问题的很大一部分是默认密码和登录凭据在设备上没有改变。

要建立一个用于物联网应用的传感器或设备，多个公司都参与生产链。如果您正在构建路由器，您可以从像Broadcom，Qualcomm或Marvel这样的芯片制造商开始。

该专用芯片由原始设备制造商（ODM）购买，然后在芯片周围构建路由器的其余部分。最后，该设备是由一个品牌公司购买的，该公司添加了用户界面和一些其他功能，将设备放在盒子上，然后销售给消费者。

原始供应商使用默认密码和登录凭据，以便链中的下一个可以轻松启动并启动。问题是，链中的下一个通常不会更改默认密码或登录凭据，将其发送给消费者时留下。

虽然这似乎是一个明显的问题，但另一个问题是，建立这些传感器或设备的许多公司都是物联网的新功能。由于它们刚刚成为物联网和连接设备潜在的陷阱，所以这些公司对于安全性不熟悉，往往不会使安全成为重中之重。毕竟，集成安全性更加昂贵，可能会缩短上市时间。

因此，这些传感器/设备发送的数据可能在通信期间未被加密，这意味着它可以被第三方拦截和理解。而且，这些新的IoT公司将传感器/设备放在网络中（例如在家中），而不会彼此隔离。因此，如果一个设备受到威胁，则可能意味着访问整个网络以及该网络上的所有其他设备。

改变的障碍

我们所有人都熟悉软件更新。我们把它们放在我们的笔记本电脑，平板电脑，手机等上。但是为什么我们得到他们？由于发现新的错误，问题或漏洞，软件并不完美，因此需要进行更改，并通过无线网络进行更改（意味着通过互联网连接）软件更新。

那么为什么我们不会向易受攻击的设备发送软件更新？首先，需要有人创建和发送这些软件更新，但公司的激励措施明显不同。

回到上面路由器的例子，芯片制造商在他们的芯片上的利润率很小，所以他们被激励尽可能少的工程，没有太多的理由提供持续的支持。相反，芯片制造商正在忙于开发和运送下一代芯片。

ODM在最终产品上不会有其名字，所以他们也被激励尽可能少的工程，没有太多理由提供持续的支持。相反，ODM正在忙于升级，以确保它们可以与下一个版本的芯片一起使用。

连锁店（面向消费者的公司）的最后一步是提供持续支持的更大动力，因为它们是最终产品的名称，但是他们可能无法解决新发现的漏洞，因为这些漏洞来自链条中的早期步骤。这里的障碍是缺乏对链条中的每一步的激励，认真对待物联网安全问题，并为旧产品提供持续的支持和更新。

但是，并不是所有的责任都可以放在公司上。在提供必要更新方面也存在物理上的限制。

物联网通常依赖于处理能力低，记忆力小的传感器和设备。处理能力和存储器是昂贵的并且消耗更多的能量，因此IoT应用利用足以执行其任务的传感器和设备。但是由于处理能力和内存不足，这些传感器和设备不够复杂，不能执行空中更新。

本质上，空中更新也需要连接。许多IoT应用程序具有间歇性或不可靠的连接性，这对软件更新构成进一步的物理约束。

即使有可能更新，可能还有其他原因不推动这些更新。将计算机关闭15分钟来安装更新是一回事，核反应堆的安全系统关闭15分钟是另一回事。对于生命关键的IoT应用程序，只需几分钟或几秒钟就可能太长，无法执行更新。

对于不是关键任务的IoT应用程序，您可能不想推送更新，因为它们非常耗费能源。许多IoT应用程序使用电池供电的传感器和设备，因此频繁的更新将显着降低其预期寿命。

谈到寿命，作为障碍的物联网应用的另一个方面是产品的长寿命周期。而您可能期望笔记本电脑或手机持续3-5年，IoT传感器和设备可能需要持续15-20年。创建一个安全无虞的产品基本上是不可能的，因此需要持续的支持和频繁的更新。但是提供持续的支持和频繁的更新是相当昂贵的，并且面临上述障碍。

那么消费者，企业和政府应如何处理物联网安全问题呢？