Những thách thức về bảo mật thiết bị IoT là một chủ đề được tranh luận nhiều vì lý do chính đáng. Trong bài viết này, Attila Szasz, CEO và người sáng lập BugProve sẽ làm sáng tỏ lý do, xu hướng và kỳ vọng hiện tại.
Những thách thức bảo mật toàn cầu với thiết bị IoT là gì?
Có lẽ lời cảnh tỉnh lớn nhất là cuộc tấn công botnet Mirai, khởi đầu cho những thay đổi. Các hộp giải mã tín hiệu bị xâm nhập và các cuộc tấn công phối hợp có thể đóng cửa GitHub, Twitter và Reddit đã thể hiện rất rõ rủi ro lớn nhất.
Nếu có lỗ hổng trên một thiết bị, lỗ hổng đó sẽ xuất hiện và có thể truy cập được trên tất cả các thiết bị được triển khai. Đây không còn chỉ là một rủi ro bảo mật đơn giản nữa.
Cuộc chiến hiện nay giữa Nga và Ukraine cũng nêu bật điều này. Các cơ quan tình báo đã cố gắng đột nhập vào camera IP, đây là những điểm yếu mà kẻ thù có thể dễ dàng theo dõi nhất. Đừng quên rằng những thiết bị này không chỉ có trong nhà của chúng ta mà còn có trong các tòa nhà chính phủ, quân đội cũng như cơ sở hạ tầng quan trọng.
Bất kể lĩnh vực nào, hầu hết các doanh nghiệp kỹ thuật số đều phải đối mặt với rủi ro nếu các thiết bị IoT hoạt động trong phạm vi mạng của họ. Lỗ hổng thiết bị có thể là điểm khởi đầu trong các cuộc tấn công nhằm vào các mục tiêu có giá trị cao.
Ví dụ điển hình cho điều này là một sòng bạc đã đưa tin vào năm 2017 rằng bị hack thông qua một bể cá thông minh. Dù đầu tư rất nhiều vào bảo mật thông tin nhưng họ không nghĩ rằng thủy cung có thể là mắt xích yếu. Kể từ đó, ngày càng nhiều bộ phận bảo mật thông tin nhận ra những rủi ro liên quan đến tài sản IoT trên mạng của họ và tăng chi tiêu để phát hiện những nỗ lực độc hại và thiết bị nguy hiểm như vậy.
Điều gì làm cho thiết bị IoT trở nên khác biệt? Tại sao chúng lại thách thức hơn?
Bảo mật hệ thống nhúng về cơ bản là một cách khác so với không gian ứng dụng. Dưới đây là một vài yếu tố chính.
- Có lẽ sự khác biệt ban đầu đáng kể nhất là dung lượng lưu trữ và tài nguyên hạn chế, điều này đặt ra nhiều ràng buộc đối với mã IoT. Mặc dù một số dự án phần mềm có thị phần tương đối lớn, chẳng hạn như Linux và FreeRTOS, nhưng phạm vi của tất cả các thiết kế IoT rất không đồng nhất. Thông thường, các quy trình này liên quan đến mã dành riêng cho phần cứng đóng, thường ảnh hưởng xấu đến bảo mật.
- Các thiết bị cần tự mình giải quyết toàn bộ vấn đề, thường không có hệ điều hành chính thức. Mã kim loại trần thường dễ bị tấn công bởi các vectơ tấn công, trong đó các sự cố đơn giản như con trỏ null bị hủy đăng ký cuối cùng có thể bị khai thác do môi trường thiếu khả năng bảo vệ bộ nhớ hoặc các phương tiện bảo mật khác thường được HĐH thiết lập.
- Thường không có quyền kiểm soát đối với một số thành phần được mua nhất định và SDK liên quan đi kèm với mã ví dụ dễ bị tấn công mà không có bất kỳ bảo hành nào. Đôi khi, mã dễ bị tấn công được phân phối dưới dạng mã nguồn mà quá trình kiểm tra của bên thứ 3 có thể phát hiện được. Tuy nhiên, thông thường SDK ẩn các lỗ hổng này dưới dạng sửa đổi tùy chỉnh đối với các tệp nhị phân hệ thống được biên dịch trước cho nền tảng.
- Điều phức tạp hơn nữa là thực tế là các nhà sản xuất thường tìm kiếm thành phần rẻ nhất đáp ứng được yêu cầu. Miễn là tính bảo mật mạnh mẽ không nằm trong số các yêu cầu khó khăn, thì các thiết kế sẽ giảm thiểu chi phí do phải bỏ qua các biện pháp cơ bản như mật mã mạnh hoặc phân tách đặc quyền.
- Các ngôn ngữ lập trình thường được sử dụng trong miền, chẳng hạn như C và C++, đang gặp thách thức từ góc độ mã hóa an toàn. Các vấn đề về an toàn bộ nhớ vẫn là các loại lỗ hổng chính gây khó khăn cho các thiết kế này.
- Khó khăn của việc kiểm tra an ninh là chiếc đinh cuối cùng đóng vào quan tài. Các công cụ có thể hỗ trợ trong lĩnh vực này còn thiếu, chỉ có một số dự án nguồn mở có sẵn. Điều này càng trở nên phức tạp bởi thực tế là thị trường đang thiếu vài triệu chuyên gia bảo mật. Vì vậy, không thể chỉ dựa vào sự giám sát của con người.
Ai chịu trách nhiệm? Nhà khai thác hay nhà sản xuất?
Chắc chắn, việc giải quyết nhiều vấn đề liên quan đến việc tích cực sử dụng các hoạt động thích hợp, bao gồm tường lửa, XDR và nền tảng quan sát IoT. Tuy nhiên, ngay cả khi áp dụng các biện pháp này, lỗ hổng bảo mật của thiết bị vẫn có thể là một rủi ro, đặc biệt nếu đó là cuộc tấn công có chủ đích nhằm vào tài sản có giá trị cao trong tổ chức. Do đó, chúng tôi tin rằng trách nhiệm chủ yếu của nhà sản xuất là đảm bảo rằng sản phẩm của họ đáp ứng các kỳ vọng cơ bản về bảo mật.
May mắn thay, tình hình đã được cải thiện ở một khía cạnh quan trọng: nếu hôm nay chúng tôi phát hiện ra lỗ hổng trong sản phẩm và báo cáo nó, các công ty thường không coi đó là một cuộc tấn công PR mà là một đóng góp đáng hoan nghênh. Các nhà sản xuất có nhiều khả năng bày tỏ lòng biết ơn và hợp tác với chúng tôi để giải quyết vấn đề.
Tại sao một loại thiết bị có trạng thái bảo mật tốt hơn loại khác?
Điều tôi sắp nói có thể không có gì đáng ngạc nhiên: những thiết bị đó có mức độ bảo mật CNTT cao hơn, nơi có động cơ kinh doanh và tiềm năng tấn công thực sự.
Một ví dụ tuyệt vời về điều này là hộp giải mã tín hiệu như một thiết bị. Người ta có thể nghĩ rằng nó được xếp cùng loại với bộ định tuyến, đặc biệt khi xem xét các thiết bị rẻ hơn, chất lượng thấp hơn. Tuy nhiên, từ góc độ bảo mật, tôi đã trải qua một sự khác biệt đáng kể.
Các hộp giải mã tín hiệu rẻ tiền được phân tích có tài nguyên phần cứng chuyên dụng và hoạt động với mã hóa nghiêm ngặt. Điều này chủ yếu là nhờ những người sáng tạo nội dung ký hợp đồng với các nhà khai thác và nhà cung cấp truyền hình cáp, trong đó bao gồm các hình phạt nặng trong trường hợp trộm cắp vì họ muốn bảo vệ tài sản trí tuệ của mình. Kết quả là, các nhà khai thác đột nhiên quan tâm nhiều đến việc đảm bảo nội dung đến tay người tiêu dùng một cách an toàn.
Ở thế giới thứ ba, đây là hoạt động kinh doanh đặc biệt lớn. Vi phạm bản quyền đã phát triển thành một ngành công nghiệp chính thức, với một số nhóm độc hại thậm chí còn điều hành các hoạt động vệ tinh cướp biển của họ. Do đó, có áp lực đáng kể đối với các nhà khai thác, dẫn đến việc phát triển các thiết bị an toàn hơn.
Các quy trình tương tự cũng giúp bảng điều khiển trò chơi trở nên an toàn hơn.
Ngược lại hoàn toàn với điều này, bộ định tuyến và camera IP kém an toàn hơn nhiều. Dựa trên nghiên cứu của chúng tôi, trung bình có 8/10 lỗ hổng nghiêm trọng tồn tại. Và nói chung, chúng tôi nhận thấy rằng các thiết bị đắt tiền và nghiêm túc hơn có xu hướng an toàn hơn.
Quy định và nhận thức của khách hàng
Bây giờ chúng ta đến với một vấn đề quan trọng, đó là nhận thức của khách hàng. Nói một cách đơn giản, các mối đe dọa vẫn chưa đến mức buộc các nhà sản xuất phải tối ưu hóa để bảo mật vì người tiêu dùng không trừng phạt các thiết bị yếu hơn. Tất nhiên, câu hỏi đặt ra là người tiêu dùng có thể đánh giá điều này như thế nào, nhưng còn có nhiều vấn đề quan trọng hơn đang diễn ra.
Một số thậm chí còn chưa hiểu được vấn đề, đó chính là mối nguy hiểm.
Có một bài viết về BugProve có tiêu đề như thế này, “Chúng tôi bảo vệ tủ lạnh thông minh của bạn khỏi các cuộc tấn công.” Một trong những bình luận hàng đầu là, “Cứu tôi với, chuyện gì sẽ xảy ra với tôi nếu họ hack và ăn trộm gà viên của tôi?”
Đây vốn là một trò đùa châm biếm, và tôi cũng thấy nó buồn cười. Tuy nhiên, tôi nghĩ nó cũng làm sáng tỏ câu hỏi liệu người tiêu dùng bình thường có gặp bất lợi về mặt tâm lý khi liên quan đến các mối quan tâm về quyền riêng tư và an ninh với các đồ vật gia đình vô hại hay không. Người ta thậm chí có thể gọi đây là “ngụy biện bể cá” theo sự cố ở sòng bạc.
Đối với chúng tôi, các chuyên gia bảo mật, có thể dễ dàng nhận thấy ngay những thách thức về bảo mật thiết bị IoT ở bất cứ nơi nào chúng tôi thấy bộ vi điều khiển và phần cứng máy tính khác được kết nối với mạng IP ngay cả khi chúng được ẩn bên trong các vật thể quen thuộc, tuy nhiên, điều này không xảy ra với phần lớn dân số. .
Vai trò của các quy định
Như ví dụ trước đây về sòng bạc minh họa, rủi ro không phụ thuộc vào chức năng ban đầu của thiết bị bị xâm nhập; vấn đề là bất kỳ thiết bị IoT nào cũng có thể đóng vai trò là điểm truy cập vào mạng của khách hàng và kẻ tấn công có thể lấy thêm tài nguyên từ đó. Mã độc hại được đặt theo cách này thường bị ẩn khỏi người dùng nhưng vẫn có thể gây ra rủi ro liên tục.
Đây là điều mà các quy định sắp tới nhằm mục đích thay đổi. GDPR có thể không phải là cách tốt nhất để tăng cường bảo mật dữ liệu, nhưng ít nhất nó cũng khiến mọi người biết đến nó ở một mức độ nào đó. Chúng tôi hy vọng rằng RED và CRA sẽ có tác động tương tự.
Đáng chú ý hơn nữa là cách tiếp cận của Mỹ về Dấu tin cậy mạng. Sản phẩm sẽ mang logo có hình chiếc khiên, báo hiệu cho người tiêu dùng biết rằng sản phẩm đã đạt ít nhất một tiêu chuẩn nhất định. Cũng sẽ có một mã QR mà người tiêu dùng có thể sử dụng sau này để xác minh xem sản phẩm có còn đáp ứng các tiêu chuẩn này hay không.
Tôi tin rằng một số người tiêu dùng sẽ chú ý đến điều này, nhưng vẫn sẽ có những người tìm kiếm lựa chọn rẻ nhất trên kệ. Đây là lúc nhu cầu nâng cao mức độ bảo mật tổng thể của toàn ngành phát huy tác dụng. Ngay cả những người chọn giải pháp rẻ nhất cũng phải được bảo vệ cơ bản – đây là chìa khóa để bảo vệ xã hội của chúng ta.
Đây là điều bắt buộc nếu chúng ta muốn tiếp tục sử dụng ngày càng nhiều thiết bị nhúng.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.iotforall.com/iot-security-calling-for-consumer-vigilance-and-responsible-development
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 10
- 2017
- 3rd
- 8
- a
- Giới thiệu
- có thể truy cập
- tích cực
- thêm vào
- giải quyết
- bất lợi
- chống lại
- cơ quan
- nhằm mục đích
- Tất cả
- Ngoài ra
- Mặc dù
- American
- trong số
- an
- phân tích
- và
- Một
- bất kì
- các ứng dụng
- phương pháp tiếp cận
- LÀ
- KHU VỰC
- bài viết
- AS
- khía cạnh
- đánh giá
- tài sản
- Tài sản
- hỗ trợ
- liên kết
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- sự chú ý
- kiểm toán
- có sẵn
- Trung bình cộng
- nhận thức
- nhận thức
- dựa
- cơ bản
- BE
- Ghi
- Bears
- được
- được
- Tin
- BEST
- Hơn
- giữa
- lớn
- lớn nhất
- Mạng lưới
- ranh giới
- Hộp
- hộp
- kinh doanh
- nhưng
- by
- C + +
- cáp
- cuộc gọi
- gọi
- máy ảnh
- CAN
- trường hợp
- sòng bạc
- Catch
- Phân loại
- giám đốc điều hành
- Giám đốc điều hành kiêm Người sáng lập
- nhất định
- thách thức
- thách thức
- thay đổi
- Những thay đổi
- rẻ hơn
- giá rẻ nhất
- các lớp học
- đóng cửa
- mã
- Lập trình
- hợp tác
- Đến
- đến
- Bình luận
- thông thường
- Các công ty
- so
- biến chứng
- các thành phần
- gộp
- Thỏa hiệp
- máy tính
- Mối quan tâm
- xem xét
- console
- khó khăn
- người tiêu dùng
- Người tiêu dùng
- nội dung
- người tạo nội dung
- liên tục
- hợp đồng
- Ngược lại
- đóng góp
- điều khiển
- phối hợp
- tương quan
- Chi phí
- có thể
- khóa học mơ ước
- CRA
- người sáng tạo
- quan trọng
- Cơ sở hạ tầng quan trọng
- mật mã
- Current
- khách hàng
- khách hàng
- NGUY HIỂM
- dữ liệu
- bảo mật dữ liệu
- dành riêng
- chứng minh
- phòng ban
- phụ thuộc
- triển khai
- thiết kế
- Mặc dù
- Phát triển
- thiết bị
- Thiết bị (Devices)
- ĐÃ LÀM
- sự khác biệt
- khác nhau
- Khó khăn
- kỹ thuật số
- Bất lợi
- khám phá
- phân phối
- do
- làm
- Không
- miền
- xuống
- hai
- suốt trong
- Sớm hơn
- dễ dàng
- dễ dàng
- hiệu lực
- thành phần
- nhúng
- thuê mướn
- mã hóa
- cuối
- đảm bảo
- đảm bảo
- vào
- doanh nghiệp
- Toàn bộ
- nhập
- Môi trường
- đặc biệt
- Ngay cả
- mọi người
- ví dụ
- tồn tại
- mong đợi
- đắt tiền
- kinh nghiệm
- các chuyên gia
- thể hiện
- mức độ
- Đối mặt
- cơ sở
- thực tế
- các yếu tố
- Ngã
- quen
- xa
- vài
- tường lửa
- Trong
- Lực lượng
- hình thức
- tìm thấy
- người sáng lập
- thường xuyên
- từ
- chính thức
- chức năng
- về cơ bản
- buồn cười
- xa hơn
- trò chơi
- GDPR
- Tổng Quát
- GitHub
- Toàn cầu
- Go
- tốt
- Chính phủ
- lòng biết ơn
- tuyệt vời
- Các nhóm
- mới lớn
- tấn
- có
- xảy ra
- Cứng
- phần cứng
- Có
- tại đây
- Thành viên ẩn danh
- Cao
- cao hơn
- Nhấn mạnh
- cao
- Homes
- mong
- hộ gia đình
- Độ đáng tin của
- Tuy nhiên
- HTML
- HTTPS
- Nhân loại
- i
- if
- minh họa
- ngay
- áp đặt
- không thể
- cải thiện
- in
- sự cố
- bao gồm
- Bao gồm
- Tăng lên
- tăng
- ngành công nghiệp
- không tốn kém
- thông tin
- bảo mật thông tin
- Cơ sở hạ tầng
- ban đầu
- khởi xướng
- trong
- trí tuệ
- sở hữu trí tuệ
- Sự thông minh
- quan tâm
- trong
- đầu tư
- liên quan
- liên quan đến
- iốt
- Thiết bị IoT
- thiết bị iot
- IP
- vấn đề
- các vấn đề
- IT
- nó bảo mật
- chính nó
- jpg
- chỉ
- Giữ
- Key
- thiếu
- Ngôn ngữ
- lớn
- Họ
- một lát sau
- ít nhất
- Led
- ít
- Cấp
- ánh sáng
- Lượt thích
- Có khả năng
- Hạn chế
- LINK
- linux
- Logo
- dài
- còn
- Rất nhiều
- thực hiện
- làm cho
- LÀM CHO
- Các nhà sản xuất
- nhiều
- thị trường
- thị phần
- max-width
- Có thể..
- me
- có nghĩa là
- các biện pháp
- Đạt
- Bộ nhớ
- hoàn tất
- kim loại
- Might
- Quân đội
- triệu
- giảm thiểu
- Sửa đổi
- chi tiết
- hầu hết
- Động lực
- phải
- my
- Cần
- mạng
- mạng
- tin tức
- Không
- nhiều
- đối tượng
- được
- of
- thường
- on
- ONE
- có thể
- mã nguồn mở
- hoạt động
- vận hành
- hoạt động
- hệ điều hành
- Hoạt động
- khai thác
- Tối ưu hóa
- Tùy chọn
- or
- cơ quan
- nguyên
- OS
- Nền tảng khác
- nếu không thì
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- kết thúc
- tổng thể
- riêng
- bên
- Trả
- mỗi
- quan điểm
- Vi phạm bản quyền
- Nơi
- đặt
- Tai họa
- nền tảng
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- Điểm
- điểm
- dân số
- tiềm năng
- pr
- trình bày
- áp lực
- chủ yếu
- chính
- Thủ tướng Chính phủ
- riêng tư
- Bảo mật và An ninh
- đặc quyền
- Vấn đề
- vấn đề
- Quy trình
- Sản phẩm
- Sản phẩm
- chuyên gia
- Lập trình
- ngôn ngữ lập trình
- dự án
- đúng
- tài sản
- bảo vệ
- bảo vệ
- bảo vệ
- nhà cung cấp
- tâm lý
- đặt
- QR code
- câu hỏi
- nâng cao
- hơn
- đạt
- thực
- nhận ra
- lý do
- lý do
- đỏ
- quy định
- tương đối
- dựa
- vẫn
- vẫn còn
- báo cáo
- Yêu cầu
- nghiên cứu
- Thông tin
- trách nhiệm
- chịu trách nhiệm
- kết quả
- Nguy cơ
- rủi ro
- Rủi ro
- mạnh mẽ
- Vai trò
- Router
- chạy
- Nga
- Sự An Toàn
- tương tự
- châm biếm
- vệ tinh
- nói
- sdk
- sdk
- ngành
- an toàn
- an toàn
- an ninh
- kiểm tra bảo mật
- xem
- Tìm kiếm
- nghiêm trọng
- phục vụ
- định
- một số
- Chia sẻ
- đổ
- kệ
- Lá chắn
- sự thiếu
- nên
- đóng cửa
- Đóng cửa
- có ý nghĩa
- tương tự
- Đơn giản
- đơn giản
- kể từ khi
- tình hình
- thông minh
- Xã hội
- Phần mềm
- chỉ duy nhất
- giải pháp
- động SOLVE
- một số
- một cái gì đó
- đôi khi
- nguồn
- mã nguồn
- Không gian
- quang phổ
- Chi
- Tiêu chuẩn
- tiêu chuẩn
- ngay đơ
- Vẫn còn
- là gắn
- mạnh mẽ
- như vậy
- giám sát
- thật ngạc nhiên
- apt
- hệ thống
- hệ thống
- nhắm mục tiêu
- mục tiêu
- có xu hướng
- Kiểm tra
- hơn
- cảm ơn
- việc này
- Sản phẩm
- trộm cắp
- cung cấp their dịch
- sau đó
- Đó
- vì thế
- Kia là
- họ
- nghĩ
- Thứ ba
- điều này
- những
- các mối đe dọa
- Thông qua
- có tiêu đề
- đến
- bây giờ
- công cụ
- hàng đầu
- chủ đề
- Xu hướng
- cố gắng
- NIỀM TIN
- tv
- kiểu
- thường
- Ukraina
- sự hiểu biết
- sắp tới
- us
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- thường
- xác minh
- rất
- cảnh giác
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- muốn
- muốn
- chiến tranh
- là
- Đường..
- we
- yếu hơn
- hoan nghênh
- TỐT
- là
- Điều gì
- khi nào
- liệu
- cái nào
- CHÚNG TÔI LÀ
- tại sao
- rộng hơn
- sẽ
- với
- ở trong
- không có
- thế giới
- nhưng
- trên màn hình
- zephyrnet