智慧城市让生活更美好!

物联网大数据安全措施

  物联网是无限终端设备无限链接建立的网络,在今后人类科技高速发展的时代里,物联网将无处不在。如果说像婴儿监视器这种无关紧要的设备遭到黑客入侵,人们一定不会太当回事,甚至还会开玩笑说,谁会想偷听小孩子的尖叫啊。但如果汽车系统被远程控制,在行驶过程中突然被黑客停了下来,大家又有什么想法呢?有人会说近期360也已经在开始解决现这样的问题了吗?但不得不说的是,安全问题已经出现并且将会动摇这个“永远开机,永远在线”的人类世界最根本基础。

  国际知名的安全公司RSA、Symantec和Webroot等正为物联网(IoT)市场提供安全保障,以帮助保护各个公司的物联网,但物联网安全问题并不只限于端点。思科、戴尔及英特尔等公司的网关也非常需要得到保护,因为它们都是网络的入口点。另外,存储海量数据的数据库由于包含大量有用信息,也将会是黑客们关注的目标,因此这也是公司需要重点保护的一部分。

  婴儿监视器被“黑”的例子告诉人们“只因为可以连接就接入,并不一定是明智的做法。”事实证明,并没用过婴儿监视器(尤其是联网的监视器)的我们都一样好好地长大了。连接是为了带来便利,但事实上它却具有很大的安全隐患。这是因为物联网的端点都依赖于信任而存在。然而在实际操作的过程中,一旦某个设备通过认证并连接到你的网络,就很可能不会再重复验证过程了。设备要上传数据时,不会被要求每次都输入密码。假如黑客可以真的入侵你的婴儿监视器,那他们的目标多半不是哭闹的婴儿,而可能是你的银行信息。如果一个黑客可以骗过这个设备,那么在网络上他又可以获取哪些资源呢?

  消费级可穿戴设备以及环境传感器为黑客创造了又一系列具有吸引力的攻击目标。例如,我手腕上戴了一个小米手环,家里装了一个Google Nest恒温器,和一个Kwikset Kevo智能门锁。通过这三个设备,别人就可以对我的生活模式了解得一清二楚,比如我一天都在什么地方,或者更重要的是,什么时候我会长时间不在家。现实中大概没人愿意费力侵入这3个不同的数据流,但这并不意味着这种事情不可能发生。

  除了物联网设备和传感器,网关是入侵物联网的另一个途径,通过它,安全威胁从消费者转移到了公司里。无论公司的网关是依赖于运营商网络或者云,传感器的数据都是通过网关传输的。由于这些解决方案旨在实现自动化,这种“M2M(机器对机器)”连接对端点到网关的验证是默认的,所以认证只需要进行一次。这意味着,如果这种连接被利用,网关就会成为黑客入侵公司网络的跳板。这就是现在的网关占用更多CPU功率的原因——网关需要更高的安全保障级别,以确保物联网系统的整体安全。

  但即是传感器是安全的,网关也被封锁了,海量的物联网数据怎么办?这些数据也是价值连城的。在这个属于工业间谍的时代(他们都得到了国家或私人的支持与资助),这正是他们争相掠夺的一笔新财富。设想一下,一家刚刚起步的家电公司有能力筛查到了竞争对手的数据,了解到谁在买什么,在哪里买,使用周期如何,错误代码出现的频率以及在何种环境下会出现错误代码——这恰恰是市场营销部门和设计工程师所梦寐以求的信息。而随着数据库的不断扩大,获得数据库信息的途径日益珍贵。大部分公司都制定了数据保存政策,但这些政策都是这些公司预想到数据中心的传感器数据不断激增前所制订的。这些最关键的数据是不是得到了应有的保护?这种数据应该被当作“客户源代码”对待,但实际上却多半被视为了无关紧要的数据,采用最低的安全级别,而并没有得到应有的安全保护。

  物联网常见的威胁

  1、监听攻击。这种攻击会用到监听程序(sniffer),窃听任何通过网络传送的未加密信息再加以窃取。

  2、阻断服务攻击。网络犯罪分子利用这种攻击来封锁或阻慢对某些网络或设备的使用。

  3、密钥攻击。在此类攻击中,用来加密通信的密钥被窃并用于解译加密过的资料。

  4、基于口令的攻击。网络犯罪分子利用猜测或窃取口令密码这类攻击来入侵网络或连到特定网络的设备。

  5、中间人攻击。在此类攻击中,第三者会窃走双方或设备间传输的数据。

  INS的安全建议

  1、启用智能设备上所有的安全功能。这些都是由制造商提供,以帮助确保您的安全,并且强烈推荐使用它们。

  2、购买会定期更新产品固件的厂商出的物联网产品。产品的缺陷和漏洞在任何产品中都会存在,会定期推出固件更新补丁来加以修补的厂商出的产品通常比较安全。

  3、研究自己的智能设备是否能够正确地加密其固件更新和网络通信。即使智能设备宣称具备加密能力,但有些可能加密不当或不完全。记得要去搜寻设备型号以确认是否存在任何历史性安全问题。

  4、使用安全的口令密码。好的密码应该是包含各式字符(字母、数字、标点符号、数学符号等等)的复杂组合。至少要有八个字符长度,同时使用大小写。此外,避免重复使用密码或在不同设备上使用相同的密码。

  5、了解制造商如何管理他们的设备漏洞。漏洞让恶意分子和网络犯罪分子有机会去攻击你的设备,知道了制造商和厂商如何解决这些问题,可以决定你是免于此种威胁或是暴露在进一步的风险中。

  物联网不仅仅是“物”,它的实质是数据,那么你就必须确保这些数据的安全。物联网中,安全措施需要从传感器开始实施,全程保护直到存储数据的部分,包括所有传输中的数据以及暂时不使用的数据。从功能上来说,这意味着没有哪一个单独的工具可以完全管理端到端的安全,所以各大公司不能仅仅依靠像Symantec这样的安全公司来保驾护航,也不能指望依靠单独一个产品就可以一劳永逸。因此,安全应该是我们在任何项目开始之前就需要首先考虑的事项。为确保没有信息缺口和数据/系统泄露,产品之间的互操作性也至关重要。

上一篇:谁为物联网设备安全买单

下一篇:谁负责物联网安全?