IoT部署的5个安全问题

物联网 （IoT） 在我们日益技术化的世界中占据了中心舞台。互联设备正变得越来越实用和实惠。..

然而，随着我们开始见证节省时间，削减成本，提高效率和提高生活质量的无限潜力，我们也意识到，有了所有这些潜在的好处，也存在数据漏洞和安全漏洞的新实例。

惠普安全研究公司发布一项研究回顾了 10 种最受欢迎的物联网 （IoT） 设备，其中包括某种形式的云服务和移动应用程序。结果显示，令人震惊的70%的人受到严重安全漏洞的影响。其中一些问题包括身份验证/密码强度不足，缺少传输加密，Web界面凭据薄弱以及软件更新不安全。

随着越来越多的参与者通过新的连接设备和应用程序进入市场，安全性将不被视为差异化点 - 这将是一种期望。在部署之前，请考虑以下五个问题，这些问题可以帮助保护连接的应用程序：

1. 数据加密 – 您的数据是否受到保护？

上述报告表明，高达90%的机器对机器（M2M）设备会收集某种个人信息，这使得应用程序能够对这些信息保密至关重要。对于任何通过网络传输机密信息的M2M应用程序，例如POS系统（信用卡信息），移动医疗（患者数据）或基于使用情况的保险（GPS坐标和车辆信息），都需要加密。

虽然加密可能在许多互联网应用中被广泛实践，但M2M带来了一些独特的挑战。乍一看，许多开发人员可能倾向于使用SSL进行安全通信。但是，由于设备需要额外的处理能力和内存来支持 SSL，以及由于网络通信开销增加而增加的无线数据成本，这在 M2M 应用中可能会出现问题。

还可能尝试在运行功能齐全的操作系统 （OS）（如 Linux）的设备中从设备端创建虚拟专用网络 （VPN） 隧道。不幸的是，设备端加密在M2M中可能并不总是实用的。

最实用的解决方案是创建从 M2M 操作员到后端服务器网络的站点到站点 VPN 隧道。这允许在网络路径最脆弱的部分 - 互联网上进行加密数据传输。站点到站点 VPN 还可以通过不增加使用的无线数据量以及将所有加密和解密处理卸载到功能强大的网络设备来提高效率。

在选择站点到站点 VPN 隧道之前，开发人员必须假定移动网络运营商 （MNO） 和 M2M 运营商的网络是可信的（稍后将详细介绍），并且对用于保护连接的端点和 MNO 系统之间的无线通信的加密算法感到满意。

2. 控制访问 – 谁可以访问您的数据/系统？

虽然私人信息需要加密，但在某些情况下，机密性可能远不如访问和身份验证重要。例如，使用无线命令打开车门传输的数据可能不是机密的，但至关重要的是，未经授权的各方无法通过该系统解锁车门。

安全性需要一种有条不紊的方法，利用技术堆栈中的每个元素。从操作系统开始，一直到硬件级别，至关重要的是要了解没有一道防线足以提供完整的保护。

M2M硬件应设计为内部组件，允许封闭和保护无线连接。确保具有可移动SIM卡的设备已采取措施，以便不容易访问SIM卡。被盗的SIM卡可能会导致意外的无线数据费用，甚至更糟的是，允许黑客直接访问您的后端应用程序服务器。

除了安全硬件之外，您还应该采取措施防止访问您的软件系统。考虑使用安全无线 （OTA） 应用程序更新。数据签名还可用于确保传输数据的真实性和完整性。

3. 监控每一层 – 您知道何时出现问题吗？

即使是最好的预防性安全系统也不是万无一失的。当事件发生时，建立监控系统非常重要。检测到事件后，必须触发响应操作以防止恶意使用设备或活动 SIM 卡。

后端应用程序应具有适当的功能，可以记录其接收的数据中的异常。例如，如果设备被编程为间歇性地发送传感器数据，但莫名其妙地破坏了模式，则系统应通知管理员，并在可能的情况下阻止设备与服务器通信。在应用程序服务器和 M2M 操作员之间设置站点到站点 VPN 隧道的一个优点是，行为异常的设备将具有固定的 IP 地址，从而更容易隔离和阻止。

您的 M2M 操作员应提供解决方案提供商可用于协助欺诈检测和预防的警报工具。您可以选择将 GPS 与位置和时间戳信息相关联，以验证后端系统中收到的定位数据。

您还可以考虑使用移动设备和 M2M 服务器之间的数字签名数据消息来监视恶意干扰，以识别更改的消息、扫描国际移动用户标识 （IMSI） 捕获器的频谱，或在硬件上设置篡改警报以触发服务器通知。

4. 网络合作伙伴 – 您的网络合作伙伴安全吗？

成功和安全的 M2M 应用程序需要高质量的合作伙伴。大多数依赖于蜂窝连接的M2M应用程序通过三个网络传输数据：MNO，M2M运营商和互联网 - 通常由三个独立的组织管理。应用程序开发人员应自行执行尽职调查，以验证第三方管理的任何网络是否满足必要的安全要求。

作为 MNO 或互联网提供商安全尽职调查的一部分，应提出的一些可能问题包括：

1. 组织网络中的所有服务器和网络组件是否都使用最新的安全补丁和更新进行了更新？

阿拉伯数字。 是否有及时应用新补丁和更新的流程？

3. 使用什么型号的防火墙？

4. 是否有入侵防御系统 （IPS）？

5. 是否存在分布式拒绝服务 （DDoS） 防御系统？

6. 是否对具有服务器和网络设备root访问权限的所有个人进行背景调查？

7. 是否记录了所有安全事件？这些日志会保留多长时间？

8. 是否有安全信息和事件管理 （SIEM） 解决方案来提供安全事件的分析和关联？

9. 根密码多久更改一次？

10. 有哪些系统可以保护和授权访问物理服务器和网络组件（PIN码，ID徽章，生物识别等）？

5. 安全的基础 – 您是否在构建时考虑了安全性？

确保您的 M2M 应用程序在构建时具有坚实的基础，同时牢记安全性。尽早确定安全性将是重中之重。如果可能，请至少分配一个开发团队成员来专注于应用程序的安全性。此人应努力识别风险并推荐避免风险的解决方案。建议此人获得行业标准安全认证，如安全软件生命周期认证专家 （CSSLP）。

为内部安全和定期测试建立良好的协议也很重要。测试可能包括扫描 Web 界面、查看网络流量、分析物理端口的需求，以及评估设备与云和移动应用程序的身份验证和交互。

简而言之，从头开始确保安全性是并且仍然是产品设计和管理的关键要素。

审核编辑：郭婷