日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
物聯(lián)網(wǎng)安全需要從一種保護性手段發(fā)展到保護他人免受傷害手段

通過開發(fā)硬件設備及其后端系統(tǒng)的原型,以及銷售物聯(lián)網(wǎng)設備,我們了解了很多關于物聯(lián)網(wǎng)安全方面的陷阱和問題。

創(chuàng)新互聯(lián)建站服務項目包括睢縣網(wǎng)站建設、睢縣網(wǎng)站制作、睢縣網(wǎng)頁制作以及睢縣網(wǎng)絡營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關系等,向廣大中小型企業(yè)、政府機構等提供互聯(lián)網(wǎng)行業(yè)的解決方案,睢縣網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前,我們服務的客戶以成都為中心已經(jīng)輻射到睢縣省份的部分城市,未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任!

事實證明,幾乎所有的連網(wǎng)設備都容易受到攻擊。研究人員表明,可以遠程控制自動駕駛汽車、操縱植入式醫(yī)療設備、破壞投票機,當然還有其他各種“智能”設備,例如門鎖、燈泡、恒溫器等。在奧地利,一家酒店受到黑客威脅,如果酒店不支付比特幣贖金,他們的客人將無法打開房門。

[[383524]]

后果是顯而易見的。未經(jīng)授權的人能夠控制關鍵設備和基礎設施是一場噩夢。很明顯,一些攻擊甚至會造成生命損失——想想汽車剎車失靈或是操縱飛機系統(tǒng)。

但是,除了能夠控制這些設備及其行為的后果之外,這些設備還帶來了更大的威脅:它們是攻擊者侵入同一網(wǎng)絡中其他系統(tǒng)的跳板,這可能更為關鍵。試想一下,一家大公司的文件或郵件服務器因為網(wǎng)絡中有一個不安全的IP攝像頭而遭到黑客攻擊。黑客利用一臺價值50美元的設備作為攻擊媒介,來獲取非常敏感的信息。或者想想利用被操縱的物聯(lián)網(wǎng)設備對域名系統(tǒng)進行的分布式拒絕服務攻擊,這使得Netflix、Yahoo和其他公司的服務在相當長的時間內(nèi)無法使用。

物聯(lián)網(wǎng)易受攻擊的原因

攻擊物聯(lián)網(wǎng)設備的吸引力顯著增加,因為這些設備的采用率在過去幾年里增加了很多,而且它們非常容易破解。

另一個因素在于,大多數(shù)系統(tǒng)都在統(tǒng)一的軟件堆棧上運行,因此,在攻擊者知道如何接管特定模型或操作平臺的那一刻,他通常能夠都訪問更多具有類似特征的設備。

攻擊這些設備的潛在利益進一步增加,因為這些設備被用于越來越多的關鍵應用,并且通常連接到包含關鍵系統(tǒng)的網(wǎng)絡,這些網(wǎng)絡可以通過這種方式滲透。

因此,在過去的幾年里,攻擊利益發(fā)生了很大的變化,有利于攻擊者,并使攻擊它們成為一個很好的生意。

但是,為什么這些設備很容易被攻擊?

(1) 增加攻擊面

大多數(shù)物聯(lián)網(wǎng)設備都提供了許多功能,包括存儲和處理能力以及重要的軟件堆?!ǔJ枪δ芡晟频脑O備操作系統(tǒng)。系統(tǒng)中軟件和功能的增加會導致更大的攻擊面,從而允許更多的攻擊可能性。

對于互連的異構環(huán)境尤其如此,在這種環(huán)境中,一個設備中的漏洞可能導致對其他設備的攻擊。日益復雜的互連和訪問可能性使得監(jiān)測、保護和控制環(huán)境變得更加困難。

一個簡單的例子:過去,入侵醫(yī)療設備的方法是闖入醫(yī)院的機房,然后連接到其串行接口以刷新其固件,但現(xiàn)在黑客可以坐在世界另一端的沙發(fā)上,通過使用常規(guī)的通信網(wǎng)絡和他的筆記本電腦來攻擊醫(yī)療設備。在破壞了這個設備后,他可以檢查網(wǎng)絡的其他部分,尋找其他有希望的目標。

(2) 供應商沒有建立安全系統(tǒng)的動力

構建硬件是一個復雜的、持久的過程,并且芯片組的價格比較低。此外,物聯(lián)網(wǎng)領域的技術發(fā)展非常迅速,尤其是在無線通信標準方面。因此,硬件制造商寧愿投資支持新功能和標準的新芯片組,也不愿修復舊芯片組。

物聯(lián)網(wǎng)設備本身通常是由第三方硬件和軟件開發(fā)商構建,這些供應商沒有建立安全系統(tǒng)的動力,因為其客戶根據(jù)功能和定價做出購買決策,而不是根據(jù)安全性或工程質(zhì)量。因此,經(jīng)常使用過時軟件、固件和硬件(已知存在安全漏洞)來運行設備,因為修復缺陷或使自己的軟件適應已修復的第三方庫意味著大量的工作。有時這甚至是不可能的,因為驅(qū)動程序通常只能作為二進制文件使用。

最新的編譯器可以幫助修復軟件中一些最嚴重的安全缺陷,但更糟糕的是,開發(fā)環(huán)境通常也完全過時了。

甚至這些設備的運營商有時也沒有解決問題的真正動力,因為設備通常僅被視為銷售其他服務的媒介。

(3) 運營自有物聯(lián)網(wǎng)設備的公司缺少專業(yè)知識

銷售和運營自有物聯(lián)網(wǎng)設備的公司通常不將硬件或軟件開發(fā)視為其核心能力,因此缺乏有關如何構建安全設備和服務的專業(yè)知識。

看看物聯(lián)網(wǎng)設備的生態(tài)系統(tǒng)就能明白這一點。鎖、加熱器、冰箱和汽車制造商現(xiàn)在正在生產(chǎn)其IT產(chǎn)品——他們很難雇傭到必要的人才來生產(chǎn)開發(fā)的產(chǎn)品,甚至很難有效地協(xié)調(diào)服務合作伙伴。

為什么修復起來這么困難?

過去,我們關注的是我們必須保護服務器和客戶端計算機。在90年代經(jīng)歷慘痛教訓后,我們在保持系統(tǒng)安全方面做得更好了。不是因為我們修復了軟件的開發(fā)過程,從而避免了錯誤,而是,我們通過推出自動更新和快速修復關鍵錯誤而變得非常擅長修復問題,而無需用戶交互。智能手機也是如此。

我們有數(shù)十億這樣的設備,但奇怪的是,到目前為止,我們還沒有遇到全球安全問題,這是因為一旦發(fā)現(xiàn)缺陷,制造商就會提供軟件更新來相對快速地解決安全問題。

但是,物聯(lián)網(wǎng)的情況有所不同。

(1) 無法解決更新問題

通常不可能通過軟件更新來解決安全問題,因為大多數(shù)物聯(lián)網(wǎng)設備的存儲、網(wǎng)絡帶寬有限。有時有可能安裝更新,但安裝過程非常繁瑣且有風險。一些物聯(lián)網(wǎng)設備的產(chǎn)品使用壽命很長,這使得這個問題更加嚴重。因此,有可能發(fā)生的情況是,一臺易受攻擊的冰箱保持在線25年而沒有得到修復。

(2) 自主操作

即使可以進行更新,用戶也不會定期進行檢查。因此,不必要的、過時的或行為異常的設備常常不被注意。通常情況下,設備只需要設置一次,就可以自主運行,但是幾乎沒有設備支持自動更新。更糟糕的是,設備始終處于聯(lián)機狀態(tài),并且通常留有默認密碼和配置。

(3) 對軟件缺陷造成的損害不承擔賠償責任

軟件許可通常排除了所有損害賠償責任。因此,物聯(lián)網(wǎng)設備的運營商沒有動力修復其產(chǎn)品中的缺陷,或確保指導其硬件和軟件服務提供商謹慎地構建安全可靠的產(chǎn)品。取而代之的是,他們將損害成本外部化。

如何修復物聯(lián)網(wǎng)

物聯(lián)網(wǎng)設備安全性不足,會因缺少適當?shù)拈_發(fā)投資而造成他人損失,從而造成外部效應。這些外部性的例子是,在DDOS攻擊中,設計不良的物聯(lián)網(wǎng)設備使第三方服務變得不可用,或者不安全的自動駕駛汽車撞倒行人。

空氣污染也是類似的情況。一家不使用過濾器來清潔廢氣的公司會產(chǎn)生外部效應,因為污染的成本會強加給其他人,比如被污染的空氣會給生活在城市中人們帶來嚴重的健康問題。

在某些時候,政府采取了避免這些外部效應的措施,并頒布了過濾廢氣的法規(guī)。另一種將外部問題內(nèi)部化的方法是二氧化碳排放證書,這種方法試圖使公司的成本與它們施加給外部的影響相匹配。

在物聯(lián)網(wǎng)時代,外部效應日益嚴重,這就是為什么我們呼吁把安全從作為一種保護性手段轉(zhuǎn)變?yōu)楸Wo他人免受傷害手段的原因所在。

因此,我們認為就物聯(lián)網(wǎng)而言,在法規(guī)方面也需要采取類似防止空氣污染的監(jiān)管方法。

已經(jīng)有一些法規(guī)影響了一些物聯(lián)網(wǎng)設備,如主要針對電磁干擾的強制性FCC或CE認證,以及旨在保護用戶數(shù)據(jù)的一般數(shù)據(jù)保護規(guī)范(GDPR)。

監(jiān)管有時不夠靈活,限制了創(chuàng)新,并增加了企業(yè)的運營成本,而且只覆蓋最基本的東西。但這是可以改變的。

就像安全資深人士布魯斯·施耐爾(Bruce Schneier)所說的那樣:“我們需要重建對集體治理機構的信心。法律和政策可能看起來沒有數(shù)字技術那么酷,但它們也是關鍵的創(chuàng)新領域?!?/p>

激勵措施

無論生產(chǎn)過程中涉及的各方以及運營物聯(lián)網(wǎng)設備的方式如何,都必須有效地激勵他們生產(chǎn)和銷售安全的產(chǎn)品,并激勵最終客戶正確安裝這些設備。

朝著這個方向邁出的關鍵一步是讓各方對不符合法律要求的設備造成的損害承擔責任。由于生產(chǎn)完全安全的設備既不可能,也不符合經(jīng)濟利益,因此應強制規(guī)定適當?shù)谋kU。這樣,保險費就可以作為額外的靈活可能性來激勵適當?shù)脑O計和安裝。

為此,需要一種有效的方法來評估設備的安全性。擴展的CE或FCC認證可以作為等式的一部分,而可靠、高效和及時的軟件安全評估可能是迄今為止難以實現(xiàn)的另一部分。

到目前為止,軟件認證提供商鼓勵開發(fā)滿足最低要求的軟件,但那些制造更安全產(chǎn)品的公司卻得不到獎勵。此外,營利性組織通常不公開其測試程序,這使它們在許多專家看來都不可信。除此之外,他們的獨立性經(jīng)常受到質(zhì)疑。

強制更新功能

除了從一開始就鼓勵構建安全的產(chǎn)品外,軟件驅(qū)動的產(chǎn)品必須經(jīng)常更新。

即使制造商有足夠的動力去投資適當?shù)脑O計,也無法從技術上或經(jīng)濟上評估物聯(lián)網(wǎng)設備在其生命周期中可能面臨的所有威脅和問題。(來源物聯(lián)之家)因此,做出反應和推出更新對于維護設備安全至關重要,并且對于所有物聯(lián)網(wǎng)產(chǎn)品都是強制性的。

降低復雜性

一些物聯(lián)網(wǎng)設備的使用案例(例如,在線烤面包機)會因法規(guī)和保險費而變得過于昂貴。這也許是個好主意,因為我們真的必須降低我們構建的系統(tǒng)的復雜性。

這可以通過以下兩種方法來實現(xiàn):要么不將它們互連,因為與日益增加的復雜性可能造成的損害相比,附加值太小了,要么通過鎖定這些設備來實現(xiàn)。這意味著將它們放在安全的子網(wǎng)絡中,以確保網(wǎng)絡參與者不會影響它們。

總結

如果我們不改變我們開發(fā)和使用物聯(lián)網(wǎng)設備的方法,我們將面臨嚴重的麻煩。一般來說,政府只有在許多人受到傷害、公眾輿論要求承擔后果后才會采取行動。

我們必須預見這種發(fā)展,并減少在此過程中造成的損害。否則,我們將不得不迅速解決問題,而倉促行事通常不是采取立法行動的最佳因素。

 


網(wǎng)站名稱:物聯(lián)網(wǎng)安全需要從一種保護性手段發(fā)展到保護他人免受傷害手段
本文地址:http://www.5511xx.com/article/dhccshj.html