如果我们不能保护一台物联网设备,那么我们如何保护成千上万台物联网设备?
新兴恶意软件威胁
在过去的几年里,勒索软件在网络安全领域,特别是网络中变得相当流行,黑客会把恶意软件放进您的系统,加密您的硬盘,只有当您支付了赎金才释放它。现在,勒索软件也进入了物联网领域。这起案件被称为“Nest恒温器”,房主去度假,得到消息说房间温度已经上升到50摄氏度,而且温度还在继续升高,如果想解锁恒温器,请支付比特币。
想象一下,有人为从心脏起搏器中删除勒索软件需要支付多少钱。
为了解决恶意软件威胁问题,我们需要了解物联网的安全挑战
我相信有一天您的iPhone会收到一条消息,要求您支付9.9美元,作为删除您在客厅活动视频的回报。
是时候用您的智能电视“勒索”了。WannaCry是2017年最大的勒索软件袭击Windows OS的名称。WannaCry的安卓版本即将推出。
拒绝服务也是另一个问题。想象一下,在一个晴朗的早晨,您准备去办公室,当您启动汽车时看到一条信息,说您的汽车需要立即进行关键固件更新,所以45分钟内不要开车。这显然是拒绝服务。
智能手表也可能发生拒绝服务。
如果您的冰箱被黑了怎么办?您可能说“无所谓!”
但黑客可能想知道您吃了多少食物,或者想知道您是否在家。如果有一天警察来敲门,告诉您您的冰箱一直在向国家元首办公室发送垃圾邮件,该怎么办?黑客可以很容易地将冰箱转变成僵尸大军成员。据报道,著名的Mirai攻击,监控摄像头感染了僵尸网络,它们对twitter上进行分布式拒绝服务攻击,致使twitter离线了六个小时。这些攻击可能会发生在任何设备上,并可能被利用来伤害人。
物联网的安全挑战
为了解决这些问题,我们需要了解物联网的安全挑战。任何典型的物联网部署都包括现场传感器、聚合器或网关(内部或云端)、分析平台,最后是进行机器学习和未来预测分析的Web服务。而有限的CPU、内存和功率等资源都会成为一个大问题,因此,在现场设备(传感器)中实现加密或抗病毒是不可能的。
另一个安全挑战是STRIDE威胁。攻击日益创新,可分为以下六类。
首先是身份伪装。我们怎么知道我们正在使用的设备是正确的?我们能为现场设备建立公钥基础设施吗?例如,EVMS(电子投票机)在所有控制单元和投票单元内都有数字证书,选举结束后,如果更换了控制/投票装置,则在计数日,该装置将完全不会被进入网络。
第二,篡改数据。当数据从现场传到网关或聚合器时,我们如何确保数据不被篡改?任何人都可以通过更换固件来重新校准现场设备。在这里,安全引导等解决方案可以确保固件不会被替换。