物联网设备安全挑战是一个备受争议的话题,这是有充分理由的。在本文中,BugProve 首席执行官兼创始人 Attila Szasz 将阐述原因、趋势和当前期望。
物联网设备面临哪些全球安全挑战?
也许最大的警钟是 Mirai 僵尸网络攻击,它引发了这些变化。被入侵的机顶盒和可能导致 GitHub、Twitter 和 Reddit 关闭的协同攻击很好地证明了最大的风险。
如果一台设备中存在漏洞,则该漏洞在所有已部署的设备中都存在且可访问。这不再只是一个简单的安全风险。
目前俄罗斯和乌克兰之间的战争也凸显了这一点。情报机构试图侵入 IP 摄像头,这是最容易监视敌人的薄弱环节。我们不要忘记,这些设备不仅存在于我们的家中,还存在于政府和军事建筑以及关键基础设施中。
无论哪个行业,如果物联网设备在其网络边界内运行,大多数数字企业都会面临风险。设备漏洞可能成为针对高价值目标的攻击的切入点。
作为一个典型的例子,一家赌场在 2017 年发布了一条新闻: 智能水族馆被黑。尽管在信息安全方面投入了大量资金,但他们并不认为水族馆可能是薄弱环节。从那时起,越来越多的信息安全部门意识到与其网络上的物联网资产相关的风险,并增加了支出来发现此类恶意尝试和有风险的设备。
是什么让物联网设备与众不同?为什么他们更具挑战性?
嵌入式系统安全 与应用程序空间相比,这是一种根本不同的方式。以下是一些关键因素。
- 也许最显着的初始差异是有限的存储和资源,这对物联网代码施加了许多限制。尽管一些软件项目拥有相对较大的市场份额,例如Linux和FreeRTOS,但所有物联网设计的范围非常异构。通常,这些过程涉及封闭的硬件特定代码,这经常对安全性产生不利影响。
- 设备需要自行解决整个问题,通常不需要成熟的操作系统。裸机代码通常容易受到攻击向量的影响,由于环境缺乏内存保护或操作系统通常设置的其他安全设施,诸如取消引用的空指针之类的简单问题最终会被利用。
- 通常无法控制某些采购的组件,并且相关的 SDK 附带易受攻击的示例代码,没有任何保证。有时,易受攻击的代码会作为源代码分发,第三方审核可能会发现这些代码。然而,通常情况下,SDK 通过对为平台预编译的系统二进制文件进行自定义修改的形式隐藏这些漏洞。
- 更复杂的是,制造商通常寻求满足要求的最便宜的元件。只要强大的安全性不是硬性要求,设计就会以牺牲强加密或特权分离等基本措施为代价来最大限度地降低成本。
- 从安全编码的角度来看,该领域常用的编程语言(例如 C 和 C++)具有挑战性。内存安全问题仍然是困扰这些设计的主要漏洞类别。
- 安全测试的难度是棺材上的最后一颗钉子。缺乏可以在这一领域提供帮助的工具,只有少数开源项目可用。市场上缺少数百万安全专业人员,这一事实使情况变得更加复杂。因此,仅仅依靠人的监督是不可能的。
谁承担责任?运营商还是制造商?
当然,解决许多问题需要积极采用适当的操作,包括防火墙、XDR 和物联网可观测平台。然而,即使采取了这些措施,设备的漏洞仍然可能是一个风险,特别是如果它是针对组织内高价值资产的有针对性的攻击。因此,我们认为制造商有责任确保其产品满足基本的安全期望。
幸运的是,情况在一个重要方面得到了改善:如果我们今天发现产品中的漏洞并报告它,公司通常不会将其视为公关攻击,而是将其视为受欢迎的贡献。制造商更有可能表达他们的感激之情并与我们合作解决这个问题。
为什么一种设备类型比另一种设备类型具有更好的安全状况?
我要说的可能并不令人惊讶:这些设备具有更高级别的 IT 安全性,其中存在商业动机和真正的攻击潜力。
一个很好的例子就是机顶盒作为一种设备。人们可能会认为它与路由器属于同一类别,特别是在考虑更便宜、质量较低的设备时。然而,从安全角度来看,我经历了显着的差异。
所分析的廉价机顶盒具有专用的硬件资源,并以严格的加密方式运行。这主要归功于内容创作者与运营商和有线电视提供商签订的合同,其中包括对盗窃行为的严厉处罚,因为他们希望保护自己的知识产权。结果,运营商突然对确保内容安全地到达消费者产生了浓厚的兴趣。
在第三世界,这是一项特别大的生意。盗版已发展成为一个成熟的行业,一些恶意组织甚至开展盗版卫星业务。因此,运营商面临着巨大的压力,这导致了更安全设备的开发。
类似的流程也确保了游戏机的安全。
与此形成鲜明对比的是,路由器和网络摄像机的安全性要低得多。根据我们的研究,平均十分之八存在严重漏洞。总的来说,我们发现越严重、越昂贵的设备往往更安全。
监管和客户意识
现在我们面临一个关键问题,那就是客户意识。简而言之,威胁尚未达到迫使制造商优化安全性的程度,因为消费者不会惩罚较弱的设备。当然,问题在于消费者如何评估这一点,但还有更重要的问题在起作用。
有些人甚至还没有认识到问题本身就是危险。
有一篇关于 BugProve 的文章,标题是这样的, “我们保护您的智能冰箱免受攻击。” 最热门的评论之一是, “救命,如果他们偷了我的鸡块,我会怎么样?”
这本来是一个讽刺笑话,我也觉得很有趣。然而,我认为这也揭示了一个问题:当将隐私和安全问题与其他无害的家用物品联系起来时,普通消费者是否处于心理劣势。根据赌场事件,人们甚至可以将其称为“鱼缸谬论”。
对于我们安全专家来说,只要我们看到连接到 IP 网络的微控制器和其他计算硬件,即使它们隐藏在熟悉的对象内,很容易立即看到物联网设备的安全挑战,但是,对于更广泛的人群来说情况并非如此。
法规的作用
正如前面赌场的例子所示,风险并不取决于受感染设备的原始功能;而是取决于受感染设备的原始功能。问题是任何物联网设备都可以作为客户网络的入口点,攻击者可以从那里获取额外的资源。以这种方式放置的恶意代码通常对用户来说是隐藏的,但仍然可能带来持续的风险。
这是即将出台的法规旨在改变的事情。 GDPR 可能不是提高数据安全性的最佳方式,但它至少在某种程度上让每个人都意识到了这一点。我们希望 RED 和 CRA 能够产生类似的效果。
更引人注目的是美国的做法 网络信任标志。产品将带有带有盾牌的标志,向消费者表明该产品至少符合一定的标准。还会有一个二维码,消费者稍后可以使用该二维码来验证产品是否仍然符合这些标准。
我相信有些消费者会注意到这一点,但仍然会有人在货架上寻找最便宜的选择。这就需要提高整个行业的整体安全水平。即使那些寻求最便宜解决方案的人也应该获得基本保护——这是保护我们社会的关键。
如果我们想继续使用越来越多的嵌入式设备,这是必须的。
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 10
- 2017
- 3
- 8
- a
- 关于
- 无障碍
- 积极地
- 额外
- 解决
- 不利
- 驳
- 机构
- 瞄准
- 所有类型
- 还
- 尽管
- 美国人
- 其中
- an
- 分析
- 和
- 另一个
- 任何
- 应用领域
- 的途径
- 保健
- 国家 / 地区
- 刊文
- AS
- 方面
- 评估
- 财富
- 办公室文员:
- 协助
- 相关
- At
- 攻击
- 攻击
- 尝试
- 关注我们
- 审计
- 可使用
- 察觉
- 意识
- 基于
- 基本包
- BE
- 承担
- 熊
- 很
- 作为
- 相信
- 最佳
- 更好
- 之间
- 大
- 最大
- 僵尸网络
- 边界
- 盒子
- 箱
- 商业
- 但是
- by
- C + +中
- 电缆
- 呼叫
- 调用
- 相机
- CAN
- 案件
- 线上赌场
- 摔角
- 产品类别
- CEO
- CEO和创始人
- 一定
- 挑战
- 挑战
- 更改
- 更改
- 便宜
- 最便宜的
- 类
- 关闭
- 码
- 编码
- 合作
- 如何
- 购买的订单均
- 注释
- 常用
- 公司
- 相比
- 并发症
- 组件
- 复合
- 妥协
- 计算
- 关注
- 考虑
- 游戏机
- 约束
- 消费者
- 消费者
- 内容
- 内容创作者
- 连续
- 合同的
- 对比
- 贡献
- 控制
- 协调
- 相关的
- 成本
- 可以
- 课程
- 国税局
- 创作者
- 危急
- 关键基础设施
- 加密技术
- 电流
- 习俗
- 顾客
- 危险
- data
- 数据安全
- 专用
- 证明
- 部门
- 依赖
- 部署
- 设计
- 尽管
- 研发支持
- 设备
- 设备
- DID
- 差异
- 不同
- 困难
- 数字
- 坏处
- 通过各种方式找到
- 分布
- do
- 不
- 不会
- 域
- 向下
- 两
- ,我们将参加
- 此前
- 容易
- 易
- 效果
- element
- 嵌入式
- 雇用
- 加密
- 结束
- 确保
- 保证
- 进入
- 企业
- 整个
- 条目
- 环境
- 特别
- 甚至
- 每个人
- 例子
- 存在
- 期望
- 昂贵
- 有经验
- 专家
- 特快
- 程度
- 面部彩妆
- 设备
- 事实
- 因素
- 下降
- 熟悉
- 远
- 少数
- 防火墙
- 针对
- 部队
- 申请
- 发现
- 创办人
- 频繁
- 止
- 成熟的
- 功能
- 从根本上
- 滑稽
- 进一步
- 游戏
- 《通用数据保护条例》(GDPR)
- 其他咨询
- GitHub上
- 全球
- Go
- 非常好
- 政府
- 感谢
- 大
- 组的
- 长大的
- 破解
- 民政事务总署
- 发生
- 硬
- 硬件
- 有
- 相关信息
- 老旧房屋
- 高
- 更高
- 突出
- 高度
- 家园
- 抱有希望
- 家庭
- 创新中心
- 但是
- HTML
- HTTPS
- 人
- i
- if
- 说明
- 立即
- 征收
- 不可能
- 改善
- in
- 事件
- 包括
- 包含
- 增加
- 增加
- 行业中的应用:
- 便宜
- 信息
- 信息安全
- 基础设施
- 初始
- 启动
- 内
- 知识分子
- 知识产权
- 房源搜索
- 兴趣
- 成
- 投资
- 涉及
- 涉及
- 物联网
- 物联网设备
- 物联网设备
- IP
- 问题
- 问题
- IT
- 它的安全性
- 本身
- JPG
- 只是
- 保持
- 键
- 不足
- 语言
- 大
- (姓氏)
- 后来
- 最少
- 导致
- 减
- Level
- 光
- 喜欢
- 容易
- 有限
- 友情链接
- Linux的
- 商标
- 长
- 不再
- 占地
- 制成
- 使
- 制作
- 制造商
- 许多
- 市场
- 市场份额
- 最大宽度
- 可能..
- me
- 意思
- 措施
- 会见
- 内存
- 一半
- 某些金属
- 可能
- 军工
- 百万
- 大幅减低
- 修改
- 更多
- 最先进的
- 动机
- 必须
- my
- 需求
- 网络
- 网络
- 消息
- 没有
- 众多
- 对象
- 获得
- of
- 经常
- on
- 一
- 仅由
- 开放源码
- 操作
- 操作
- 操作
- 操作系统
- 运营
- 运营商
- 优化
- 附加选项
- or
- 组织
- 原版的
- OS
- 其他名称
- 除此以外
- 我们的
- 输出
- 超过
- 最划算
- 己
- 党
- 为
- 透视
- 海盗行为
- 地方
- 放置
- 瘟疫
- 平台
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 点
- 点
- 人口
- 潜力
- pr
- 当下
- 压力
- 主要
- 小学
- 总理
- 隐私
- 隐私和安全
- 特权
- 市场问题
- 问题
- 过程
- 产品
- 核心产品
- 专业人士
- 代码编程
- 编程语言
- 项目
- 正确
- 财产
- 保护
- 保护
- 保护
- 供应商
- 心理
- 放
- QR码
- 题
- 提高
- 宁
- 达到
- 真实
- 实现
- 原因
- 原因
- 红色
- 法规
- 相对
- 依靠
- 留
- 遗迹
- 报告
- 岗位要求
- 研究
- 资源
- 责任
- 提供品牌战略规划
- 导致
- 风险
- 风险
- 冒险的
- 健壮
- 角色
- 路由器
- 运行
- 俄罗斯
- 实现安全
- 同
- 讽刺的
- 卫星
- 对工资盗窃
- SDK
- sdk
- 扇形
- 安全
- 安全
- 保安
- 安全性测试
- 看到
- 寻找
- 严重
- 服务
- 集
- 几个
- Share
- 棚
- 货架
- Shield
- 短缺
- 应该
- 关闭
- 关闭
- 显著
- 类似
- 简易
- 只是
- 自
- 情况
- 智能
- 社会
- 软件
- 独自
- 方案,
- 解决
- 一些
- 东西
- 有时
- 来源
- 源代码
- 太空
- 光谱
- 花费
- 标准
- 标准
- 与之形成鲜明
- 仍
- 存储
- 强烈
- 这样
- 监管
- 奇怪
- 易感
- 系统
- 产品
- 针对
- 目标
- 易于
- 测试
- 比
- 谢谢
- 这
- 盗窃
- 其
- 然后
- 那里。
- 因此
- 博曼
- 他们
- 认为
- 第三
- Free Introduction
- 那些
- 威胁
- 通过
- 标题
- 至
- 今晚
- 工具
- 最佳
- 主题
- 趋势
- 尝试
- 信任
- tv
- 类型
- 一般
- 乌克兰
- 理解
- 即将上市
- us
- 使用
- 用过的
- 用户
- 运用
- 平时
- 确认
- 非常
- 警觉
- 漏洞
- 漏洞
- 脆弱
- 想
- 通缉
- 战争
- 是
- 方法..
- we
- 较弱
- 欢迎
- 井
- 为
- 什么是
- ,尤其是
- 是否
- 这
- WHO
- 为什么
- 更宽
- 将
- 中
- 也完全不需要
- 世界
- 但
- 您一站式解决方案
- 和风网