阅读更多

1顶
0踩

行业应用

原创新闻 直击 IoT 重点安全隐患

2017-01-22 14:48 by 副主编 jihong10102006 评论(0) 有4623人浏览
IOT
引用
原文: Meet IoT security challenges head-oncondition?
作者: Jeff Pollard
译者:张新慧
审校:屠敏,关注 IoT 等领域,寻求报道或者投稿请发邮件tumin@csdn.net。

引用
守卫联网设备安全应是网络安全主管们的首要职责。本文将悉数IoT重点安全隐患。

谈及物联网(IoT)安全问题,近两年媒体的关注点都是联网汽车、可穿戴设备和智能家居等IoT设备遭受攻击的具体事件。

这些固然放大了某些IoT设备的弱点,加强了人们对IoT安全的重视,但只见树叶,不见森林。

IT安全部门应清楚,IoT在企业中的应用将集中在两大战略层面:联网设备以及联网业务流程。

全公司上下,不论是使用者,制造者,还是操作者对IoT的应用方式都各不相同;而这些利益攸关者中,处于同一条纵向业务线的人甚至需要IoT进一步个性化和定制化。

IoT设备可以升级企业的业务流程,但若操作者遍布全球,且使用的宽带网络质量参差不齐,那么安全人员须区分对待,而不是一刀切地认为他们跟享受优质网络连接的本地员工没什么不同。

核心系统危机
不仅仅是设备,核心系统或应用也容易成为黑客的目标,因为后者是收集、规范化以及储存海量IoT设备信息的重要载体。

尽管强有力的终端设备安全防范措施仍或不可缺,但应更多从黑客的角度思考问题:既然直接攻击应用就能让上百个车载娱乐系统染上僵尸病毒,那么攻击一台设备有什么意思?既然可以捣乱竞争对手供应链的物流数据而延迟交货,干嘛在一辆货车上费心思?

残酷现实
芯片组、形状系数和电池寿命的改良和创新让IoT设备甚至可以部署在恶劣或危险的环境下,让数据组和IoT之前无法想象的实时遥感勘测成为现实。一位Cisco(思科)研究者称:IoT最大特点在于——用户并没有意识到他们的联网洗衣机也是电脑,IoT是实体和数字的结合。举个例子,通过可穿戴设备可以知道一位20多岁的用户有着固定的慢跑路线,这对运动饮料的广告商很有价值,但也可能被坏人利用策划绑架。

危机意识
IoT设备为吸引消费者,提升服务提供了新机遇,但对于制造、销售或使用IoT设备的公司里的CISO(首席信息安全官)而言,也意味着紧迫的安全隐患,包括很容易被忽略的固件更新缺陷。安全主管人员必须清楚:IoT攻击门槛并不高。很多安全专家以为IoT设备相比功能齐全的普通电脑数量那么少,就不会成为目标。这么想就错了。

实际上,Riot OS和Windows 10 IoT core(微软的物联网核心系统)等Linux操作系统就跟开放给IoT架构的普通OS没什么不同,这种情况下能攻击笔记本电脑的黑客转而攻击IoT设备易如反掌。IoT安全公司Senrio透露说:“两年前,我们公司两个实习生做一个公共项目,短短一个月就远程攻击了一台ATM、一个智能家居控制器、几台医疗设备、一台路由器。” 由此可见,黑客故技重施,将攻击电脑的那套法子拿来“绑架”IoT设备来赚钱也没什么不可能。

折了设备又赔钱
IoT安全防线要是没守住,影响的不但是设备本身,还有金钱损失。跟窃取信用卡和身份数据来偷钱的传统网络攻击不同,某一类IoT设备牵扯到生命健康。2016年8月,网络安全公司MedSec发现St Jude Medical公司生产的联网起搏器有致命缺陷。后来Muddy Waters研究公司的一份报告向投资者严厉批评了这一失误严重威胁了病人健康,潜在的产品召回和诉讼还有可能惊动监管部门。

消费者也很担心。Forrester的科技消费调查就发现64%的被调查者担心使用IoT设备会泄露身份信息。

受限物联网设备出现问题尤其难以解决。很多IoT设备是没有用户界面/屏幕的,所以不会像电脑那样推送更新及步骤。别奇怪,过不了几年你的邻居也许就会告诉你,他们买新的冰箱并不是要翻新厨房,而是因为冰箱的软件有不可修复的安全漏洞。

“人们掏钱买的是IoT设备,没人给开发团队付钱,”Cisco一位研究者说:“IoT设备寿命很长,如果制造商仅保修一两年,那么一两年以后就只能靠你自己了。”

隐私为重
海量的IoT设备需要隐私保护。为了了解消费者的背景和行为,公司须收集和分享大量数据,这就意味着CISO们需要强有力的隐私控制,特别是静态数据。消费者很难了解被收集了多少数据,其中又有多少给公司赚钱了。

安全主管人员需要向用户解释为什么要收集他们的信息,这些信息用来做什么,以及让用户自己来决定什么信息可以被收集、如何被使用、如何被分享。大概67%的安全主管人员担心IoT隐私侵犯问题。对于CISO们而言,这既是挑战,也是公司受益透明化,赢取用户信任的绝佳机会。
1
0
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 精心收藏7款后台管理系统模板

    七款精心收藏的后台管理系统模板。html静态网页,jsp,asp,php项目均适用。蓝色、绿色、灰白色各种颜色。

  • 经常访问的站点

    色色日语网www.qianxunjp.com 日本软件www.flatworld.jp

  • 44444444444444

    sadasdasdasddfsdfsdf

  • 简单的四色问题

    #include <iostream> #include <iomanip> using namespace std; int main() { const int N=6; //地图块数 char name[N][10]={"NAME1","NAME2","NAME3","NAME4","NAME5","NAME6"}; int c[N]={1}; int...

  • sass简介

    SASS一、了解sass二、sass的变量三、sass的注释四、条件分支语句五、循环语句六、sass的选择器嵌套七、sass 属性的嵌套八、sass的混入九、sass继承十、sass导入 一、了解sass sass官网:https://www.sass.hk/ Sass 是一门高于 CSS 的元语言,它能用来清晰地、结构化地描述文件样式,有着比普通 CSS 更加强大的功能,扩展名是 .sass。 Scss 是 Sass 3 引入新的语法,是Sassy CSS的简写,是CSS3语法的超集,也就是说所有有效的C

  • cookie

    cookie技术 会话跟踪技术。 由于http协议无法记录用户信息,使用cookie来存储身份信息。 cookie就是浏览器端的身份标识,cookie会在请求头中自动携带。 一套协议域名端口对应一套cookie。 cookie存储在当前浏览器独立创建的本地文件夹中。

  • IoT安全的再思考

    巨大的设备量,有限的安全保护,该采取何种安全应对策略?

  • 直击物联网安全问题:机智云与斗象科技建物联网安全实验室

    2016年12月28日,在上海国际会议中心举办的Freebuf互联网安全创新大会(FIT 2017)上,全球领先的专业物联网开发和云服务平台机智云与上海斗象科技(漏洞盒子)联合宣布将共同建立物联网安全研究联合实验室,率先...

  • 网络安全等级保护合规一览

    定级通用要求0x03 合规流程0x04 网络安全工作建议0x05 2.0 判定指引0x06 附录0x00 前言网络安全是一个国家继海陆空安全的另外一个领域的安全,现在被各个国家重视起来并且颁布了相应的法律法规;中央高度重视网络安全...

  • 第9章 安全漏洞、威胁和对策

    安全漏洞、威胁和对策

  • 【wikioi】1116 四色问题

    题目链接 算法:DFS 刚开始卡了一下,但后面想了想,于是 放上代码: #include using namespace std; bool map[9][9]; int c[9]; //随便命名四种颜色 int ans = 0, N; //依次枚举每个节点,来试与前面的节点是否有重合的,没有就下一层 void dfs(int n) { int i, j; if(n > N)

  • VS2019 配色_史上最全配色网站汇总

    作者:一宏派来源:简书网站超级多,于是给它们分了八大门派,大家可以挑选自己喜好的门派进行修炼啦!推文导读随性派:处处感受随机的惊喜灵感派:时时积累设计师的灵感渐变派:美轮美奂的渐变海洋美图派:有了美图就有了色彩文艺派:文艺古典的全套配色原理派:理性直达专业配色嗟来派:简单粗暴的给你配色推荐派:墙裂安利给你的配色神器1. 随性派Palettablehttp://www.palettable...

  • 强烈推荐7个让人惊艳的宝藏实用网站,太好用了

    作为一个收集了上百个网站的工具控,今天小智给大家分享7个实用强大的网站,每一个都堪称精品,直接上干货! 1、CreativeMass CreativeMass是一个高质量的精选创意导航网站,里面聚合了超多实用的网站。 比如营销类、设计类、艺术类、工具类和素材类等等,还有脑洞工作室、灵感网站和航海笔记。 2、智办事 智办事是一款以目标为导向,以人为中心,以成果为标准的目标管理工具,将世界500强的工作方法论产品化,从而帮助中小型企业提升内核组织力,提升业绩。从上而下拆解目标,从下而上任务进度

  • UI的四个实用配色网站

    #1.coolors coolors 官网:https://coolors.co 在 coolors 上你可以生成不同的配色方案,这些配色方案都是经过专业的设计师制作的,你还可以根据自己的喜欢来进行调整,而且最后导出配色方案的时候,有 PDF,PNG,SCSS,SVG等诸多主流格式的支持!更重要的是:他是免费的! #2.ColorHunt colorhunt 官网:http://c...

  • 等保工作的定级指南文件

    对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。由于标的不同、更用技术的不同、应用场景的不同等因不同的等级保打对会以不同的形态...

  • 金融科技领域的安全威胁及金融科技安全分析

    而在科技促进金融业由外向内转型的同时,技术带来的隐患也可能对金融业务安全造成更大的威胁。本章将从金融科技的起源及发展开始,结合金融科技行业现状,浅析金融科技生态及安全问题。 1.3 金融科技领域的安...

  • 【转】从短期到未来,这46项技术或将变革商业、变革世界

    连接万亿个智能设备——通过物联网(IoT) 提供大规模宽带接入——服务于高清电视、移动设备、视频会议,以及其他应用的视频流等。 支持高度实时应用——如增强现实 提供超可靠应用——如电子医疗和能源...

  • 关于鸿蒙 2.0,那些开发者不知道的一切

    近日,由 CSDN 重磅打造的对话栏目「大咖来了」的第七期《直击鸿蒙 2.0 问世,探国产操作系统新征程》上,邀请到 CSDN 创始人&董事长、极客帮创投创始合伙人蒋涛,原微软合伙人、首席研究员刘劼,RT-Thread 创始人...

  • IPO夭折,喜马拉雅陷入“非战之罪”?

    宝哥说 我不杀伯仁,伯仁却因我而死。...促使喜马拉雅做出这一决定的,还得是同行们的“衬托”——事实上,从网络安全审查办公室对滴滴、Boss直聘、运满满、货车帮四家赴美上市企业展开了密集的网络安全审

Global site tag (gtag.js) - Google Analytics