直击 IoT 重点安全隐患

2023-12-17 21:48
文章标签 重点 iot 安全隐患 直击

本文主要是介绍直击 IoT 重点安全隐患,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

原文: Meet IoT security challenges head-oncondition?
作者: Jeff Pollard
译者:张新慧
审校:屠敏,关注 IoT 等领域,寻求报道或者投稿请发邮件tumin@csdn.net。


守卫联网设备安全应是网络安全主管们的首要职责。本文将悉数IoT重点安全隐患。

谈及物联网(IoT)安全问题,近两年媒体的关注点都是联网汽车、可穿戴设备和智能家居等IoT设备遭受攻击的具体事件。

这些固然放大了某些IoT设备的弱点,加强了人们对IoT安全的重视,但只见树叶,不见森林。

IT安全部门应清楚,IoT在企业中的应用将集中在两大战略层面:联网设备以及联网业务流程。

全公司上下,不论是使用者,制造者,还是操作者对IoT的应用方式都各不相同;而这些利益攸关者中,处于同一条纵向业务线的人甚至需要IoT进一步个性化和定制化。

IoT设备可以升级企业的业务流程,但若操作者遍布全球,且使用的宽带网络质量参差不齐,那么安全人员须区分对待,而不是一刀切地认为他们跟享受优质网络连接的本地员工没什么不同。

核心系统危机

不仅仅是设备,核心系统或应用也容易成为黑客的目标,因为后者是收集、规范化以及储存海量IoT设备信息的重要载体。

尽管强有力的终端设备安全防范措施仍或不可缺,但应更多从黑客的角度思考问题:既然直接攻击应用就能让上百个车载娱乐系统染上僵尸病毒,那么攻击一台设备有什么意思?既然可以捣乱竞争对手供应链的物流数据而延迟交货,干嘛在一辆货车上费心思?

残酷现实

芯片组、形状系数和电池寿命的改良和创新让IoT设备甚至可以部署在恶劣或危险的环境下,让数据组和IoT之前无法想象的实时遥感勘测成为现实。一位Cisco(思科)研究者称:IoT最大特点在于——用户并没有意识到他们的联网洗衣机也是电脑,IoT是实体和数字的结合。举个例子,通过可穿戴设备可以知道一位20多岁的用户有着固定的慢跑路线,这对运动饮料的广告商很有价值,但也可能被坏人利用策划绑架。

危机意识

IoT设备为吸引消费者,提升服务提供了新机遇,但对于制造、销售或使用IoT设备的公司里的CISO(首席信息安全官)而言,也意味着紧迫的安全隐患,包括很容易被忽略的固件更新缺陷。安全主管人员必须清楚:IoT攻击门槛并不高。很多安全专家以为IoT设备相比功能齐全的普通电脑数量那么少,就不会成为目标。这么想就错了。

实际上,Riot OS和Windows 10 IoT core(微软的物联网核心系统)等Linux操作系统就跟开放给IoT架构的普通OS没什么不同,这种情况下能攻击笔记本电脑的黑客转而攻击IoT设备易如反掌。IoT安全公司Senrio透露说:“两年前,我们公司两个实习生做一个公共项目,短短一个月就远程攻击了一台ATM、一个智能家居控制器、几台医疗设备、一台路由器。” 由此可见,黑客故技重施,将攻击电脑的那套法子拿来“绑架”IoT设备来赚钱也没什么不可能。

折了设备又赔钱

IoT安全防线要是没守住,影响的不但是设备本身,还有金钱损失。跟窃取信用卡和身份数据来偷钱的传统网络攻击不同,某一类IoT设备牵扯到生命健康。2016年8月,网络安全公司MedSec发现St Jude Medical公司生产的联网起搏器有致命缺陷。后来Muddy Waters研究公司的一份报告向投资者严厉批评了这一失误严重威胁了病人健康,潜在的产品召回和诉讼还有可能惊动监管部门。

消费者也很担心。Forrester的科技消费调查就发现64%的被调查者担心使用IoT设备会泄露身份信息。

受限物联网设备出现问题尤其难以解决。很多IoT设备是没有用户界面/屏幕的,所以不会像电脑那样推送更新及步骤。别奇怪,过不了几年你的邻居也许就会告诉你,他们买新的冰箱并不是要翻新厨房,而是因为冰箱的软件有不可修复的安全漏洞。

“人们掏钱买的是IoT设备,没人给开发团队付钱,”Cisco一位研究者说:“IoT设备寿命很长,如果制造商仅保修一两年,那么一两年以后就只能靠你自己了。”

隐私为重

海量的IoT设备需要隐私保护。为了了解消费者的背景和行为,公司须收集和分享大量数据,这就意味着CISO们需要强有力的隐私控制,特别是静态数据。消费者很难了解被收集了多少数据,其中又有多少给公司赚钱了。

安全主管人员需要向用户解释为什么要收集他们的信息,这些信息用来做什么,以及让用户自己来决定什么信息可以被收集、如何被使用、如何被分享。大概67%的安全主管人员担心IoT隐私侵犯问题。对于CISO们而言,这既是挑战,也是公司受益透明化,赢取用户信任的绝佳机会。

这篇关于直击 IoT 重点安全隐患的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/505969

相关文章

线性代数 第六讲 特征值和特征向量_相似对角化_实对称矩阵_重点题型总结详细解析

文章目录 1.特征值和特征向量1.1 特征值和特征向量的定义1.2 特征值和特征向量的求法1.3 特征值特征向量的主要结论 2.相似2.1 相似的定义2.2 相似的性质2.3 相似的结论 3.相似对角化4.实对称矩阵4.1 实对称矩阵的基本性质4.2 施密特正交化 5.重难点题型总结5.1 判断矩阵能否相似对角化5.2 已知两个矩阵相似,求某个矩阵中的未知参数5.3 相似时,求可逆矩阵P,使

强调重点元素、弱化辅助元素、去掉无关元素,工控HMI还能好不了

HMI设计,尤其工控领域的HMI设计,千万不要走极端,把界面搞得花哨,或者所谓的美观,切记实现功能才是第一位的。 在人机界面(HMI)设计中,强调重点元素、弱化辅助元素、去掉无关元素是非常重要的,可以提高用户体验和界面的可用性。 1. 强调重点元素: 通过颜色、大小、对比度等方式来突出显示重要的元素,例如使用醒目的颜色、加粗的字体或者特殊的图标来吸引用户的注意力。 2. 弱化辅助元

西方社会学理论教程复习重点

一.名词解释 1.社会静力学:旨在揭示人类社会的基本秩序。它从社会的横断面,静态的考察人类社会的结构和制度,寻找确立和维护人类社会的共存和秩序的原则。 2.社会动力学:纵观人类理性和人类社会发展的先后必要阶段,所叙述的是这一基本秩序在达到实证主义这一最终阶段之前所经过的曲折历程。 3.社会事实:一切行为方式,不论它是固定的还是不固定的,凡是能从外部给予个人以约束的,或者说是普遍存在于该社会各

基于STM32设计的水闸水文测控系统(华为云IOT)(220)

文章目录 一、前言1.1 项目介绍【1】开发背景【2】项目实现的功能【3】项目硬件模块组成 1.2 设计思路【1】整体设计思路【2】整体构架【3】上位机开发思路 1.3 项目开发背景【1】选题的意义【2】可行性分析【3】参考文献【4】摘要 【5】项目背景1.4 开发工具的选择【1】设备端开发【2】上位机开发 1.5 系统框架图1.6 系统功能总结1.7 设备原理图1.8 硬件实物图 二、硬件

CSS学习9[重点]--盒子模型大小、布局稳定性、CSS3盒模型以及盒子阴影

盒子模型2 一、content宽度和高度二、盒子模型的布局稳定性三、CSS3盒模型四、盒子阴影 一、content宽度和高度 使用宽度属性和高度属性可以对盒子的大小进行控制。 width和height的属性值可以为不同单位的数值或相对于父元素的百分比%,实际工作中最常用的是像素值。 大多数浏览器都采用了W3C规范,符合CSS规范的盒子模型的总宽度和总高度的计算原则是: 外

Spark SQL重点知识总结

一、Spark SQL的概念理解 Spark SQL是spark套件中一个模板,它将数据的计算任务通过SQL的形式转换成了RDD的计算,类似于Hive通过SQL的形式将数据的计算任务转换成了MapReduce。 Spark SQL的特点:1、和Spark Core的无缝集成,可以在写整个RDD应用的时候,配置Spark SQL来完成逻辑实现。2、统一的数据访问方式,Spark SQL提供标准化的

数据仓库系统的实现与使用(含OLAP重点讲解)

系列文章: 《一文了解数据库和数据仓库》 《DB数据同步到数据仓库的架构与实践》 《数据湖(Data Lake)-剑指下一代数据仓库》 《从0建设离线数据仓库》 《基于Flink构建实时数据仓库》 阅读目录 前言创建数据仓库ETL:抽取、转换、加载OLAP/BI工具数据立方体(Data Cube)OLAP的架构模式小结 前言 数据仓库是数据仓库开发中最核心的部分。然而完整的数据仓库系统还会涉及

Flink重点原理与机制 | 网络流控及反压机制

点击上方蓝色字体,选择“设为星标” 回复”面试“获取更多惊喜 0 简介 网络流控的概念与背景TCP 的流控机制Flink TCP-based 反压机制(before V1.5)Flink Credit-based 反压机制 (since V1.5)总结与思考 1 网络流控的概念与背景 1.1 为什么需要网络流控 首先我们可以看下这张最精简的网络流控的图,Producer 的吞吐率是 2MB/

【硬刚Hadoop】HADOOP入门(3):使用(2)安装(2)Hadoop运行环境搭建(开发重点)centos

本文是对《【硬刚大数据之学习路线篇】从零到大数据专家的学习指南(全面升级版)》的Hadoop部分补充。 3 在hadoop102安装JDK 1)卸载现有JDK 注意:安装JDK前,一定确保提前删除了虚拟机自带的JDK。详细步骤见问文档3.1节中卸载JDK步骤。 2)用XShell传输工具将JDK导入到opt目录下面的software文件夹下面 3)在Linux系统下的opt目录中查看

【为项目做准备】Linux网络编程重点知识(项目通用知识)

Linux网络编程的简单梳理,不够再来更新~ 流程socket()setsockopt()bind()listen()accept()connect()send()和recv()sendto()和recvfrom()TCP socket编程TCP服务端TCP客户端 流程 socket 编程流程 服务器 创建套接字(socket)将socket与IP地址和端口绑定(bind)监