隨著萬物互聯時代的來臨,物聯網太深入人們的生活,安全問題令用戶和廠商都非常擔憂,物聯網的發展進程受到阻礙。目前有數十億的物聯網設備在使用中,其中大部分具有低端處理能力和存儲容量,且不具有安全解決方案擴展的能力。然而,它們連接到互聯網時處于一個非常惡劣的環境。物聯網設備的互聯互通,必將引起行業對信息安全網絡方面的擔憂,安防設備作為物聯網網絡連接的入口,也正在遭受越來越多潛在的攻擊,特別是在家用監控攝像機方面,由于涉及到家庭隱私的敏感信息,更是備受消費者的關注。
物聯網技術目前正處于起步階段,但其安全性薄弱的名聲卻早已傳播開來。隨著更多聯網設備不斷涌入我們的日常業務與個人生活,物聯網技術方案供應商應當遵循以下六項原則以提供更為可靠的安全性水平。
控制物聯網設備安全風險的六項原則
物聯網技術在過去幾年當中正呈指數級別快速發展,而相關新型解決方案的普及態勢亦不可阻擋。分析企業Gartner公司預計,截至2016年底世界范圍內的物聯網設備數量將超過40億臺,而這一數字到2020年將激增至200億臺。著眼于市場角度,企業環境下的聯網設備將在當年年內帶來超過8680億美元支出,這意味著物聯網技術的沖擊與風險已經開始顯現。然而,面對如火如荼的物聯網技術發展,開發相關產品的廠商也必須確保其方案不致給最終用戶的安全或者隱私造成風險。
物聯網支出一路高歌,需求亦不斷攀升,那些率先進軍市場的廠商往往更重視產品上市速度而非安全性保障——這無疑將令用戶身陷困境。通過以下六種考量,各制造商與開發商應該能夠有效降低風險并提升物聯網設備的安全性水平。
物理安全-聯網設備的物理安全可謂至關重要。開發商應當在設計之初就將集成化防篡改措施納入考量,從而確保產品不會被惡意人士所解碼。另外,確保設備在被突破后其中全部與身份、認證以及賬戶信息相關的數據都將被擦除,這將使得相關信息不會被攻擊者利用。如果選擇將PII存儲在設備之內,那么遠程擦除功能將成為必要配備。
對后門說不–時至今日,我們能夠輕松向設備當中添加后門,從而在必要時進行監控或者滿足執法機構提出的要求。然而這種作法絕不值得提倡,因為其將對最終用戶的信息完整性與安全性造成嚴重損害。制造商應當確保產品內不存在惡意代碼或者后門,且設備UDID不可被復制、監控或者捕捉。如此一來,我們將能夠確保設備在聯機注冊過程中不會由于監控或者非法竊聽機制的存在而導致重要信息泄露。
安全編碼-物聯網開發商應當嚴重遵循安全編碼實踐,并將其作為設備軟件構建流程中的重要組成部分。著眼于質量保證與漏洞識別/整治,我們利用這種方式簡化開發生命周期中的相關保護工作,同時輕松降低潛在風險。
認證與設備識別-為每臺設備提供惟一身份并配合理想的安全認證機制,這將使得設備自身擁有安全連接能力以及后端控制系統及管理控制臺。如果每臺設備皆擁有自己的獨特身份,則企業將能夠了解當前通信設備的宣稱身份是否屬實。要實現這項目標,我們需要使用PKI等個別設備識別解決方案。
加密-在利用物聯網解決方案時,企業必須對不同設備及后端服務器之間的往來流量進行加密。確保各操作命令經過加密,且通過簽名或者強編碼保證其完整性。另外,由物聯網設備收集到的任何敏感用戶數據也應該被加密。
簡化更新流程-建立對設備的輕松升級能力,這樣bug與安全更新就能夠更為輕松地得到部署與管理。有時候固件更新失敗可能會帶來難以解決的狀況,但更可怕的是某些制造商甚至壓根就沒有考慮到固件更新接收這種設計需求。確保一致性更新流程將使得固件部署工作變得更加靈活,同時幫助開發人員在輕松創建新型號的同時繼續為原有產品線發布安全補丁。
很明顯,物聯網技術已經出現并將持續存在;不過大多數物聯網相關企業及數據泄露事故已經給消費者帶來了負面影響,而廠商也面臨著強化自身產品安全性的巨大呼聲及壓力。通過上述步驟,聯網技術供應商應該能夠保證自身方案的安全性水平,從而在物聯網逐步普及且安全性成為買家首要考量要素的未來,在市場上保持良好的競爭優勢。