安全赋予物联网的真正潜力
仅在几年前,物联网 (IoT) 制造商主要关注硬件而非软件。今天,Trustonic 首席信息安全官 Richard Hayton 说 ,物联网设备发生了翻天覆地的变化,软件在与消费者相关的应用程序方面变得突出并不断增长。
如今,“物联网”一词主要用于以消费者为中心的应用:其中包括联网汽车、可穿戴技术和联网健康等应用。根据 Statista ,预测数据表明,到 2025 年,面向最终用户解决方案的物联网市场将增长到约 1.6 万亿美元(1.31 万亿欧元)。
然而,终端用户解决方案并不是物联网的唯一市场。物联网设备的组织和工业应用也在增加,尤其是在制造和医疗保健领域。
安全和物联网
随着物联网应用范围的扩大,对硬件和软件平台的重用需求越来越大。软件重用虽然可能有积极的方面,但会增加任何可被利用的漏洞的安全影响。为一个用例设计的库或子系统,可以在原作者没有预见的应用程序中重用。
该行业正在快速学习,“安全启动”和“安全软件更新”开始变得越来越普遍。虽然这些技术很重要,但它们并不是万能的。特别是当设备存储或启用对攻击者具有高价值的信息时,例如敏感的个人数据,或访问存储在其他地方的数据的凭据。
安全启动和安全更新提供了第一级防御,但从安全角度来看,最好假设这种防御有时会被破坏。如果只有这些 防御,一旦被攻破,设备上的任何数据都会丢失,攻击者可以随意滥用设备到其他地方进行攻击。
引入可信执行环境
更广泛的安全方法是为设备上的软件提供多个区域或环境,以隔离和保护它们免受攻击,并减少成功攻击的影响。一些存储或操作敏感数据的环境会专门设计以安全为主要目标。
现代芯片组提供的技术,例如 Arm TrustZone 可以提供一个隔离区域,该区域受 CPU 硬件和安全启动的保护,并且即使设备的其他部分受到威胁也能保持安全。使用该技术构建的可信执行环境采用“深度防御”方法设计,重点关注经过加密签名的代码,以及由独立机构认证的 API 以抵御攻击。在此类环境中运行的软件还可以向外部云服务器证明其合法性,从而使攻击者更难颠覆更广泛的物联网生态系统。
对于个人而言,通过他们的设备进行的网络攻击可能是毁灭性的,窃取个人数据,并可能导致身份盗窃或更广泛的犯罪活动,例如滥用存储在物联网设备上的支付凭证,或使用被破坏的设备攻击家庭网络中的其他设备.
对于设备制造商以及整个行业而言,攻击可能会产生更大的影响。一旦消费者对品牌失去信任,就很难再重新获得信任,如果风险/收益权衡似乎不合理,消费者将迅速放弃品牌或整个产品细分市场。这种说法更适用于受监管的市场,例如医疗或商业物联网,如果发现产品缺乏,监管机构会迅速采取行动。
前进的道路
过去,安全不是购买决定。那正在改变。全球监管机构都要求消费者物联网具备一些基本的卫生条件,例如安全启动和删除默认密码。这是一个很好的开始,但它无疑只是第一步,而且如上所述,它只是安全策略的一部分。行业可以期待未来的监管,但真正需要的是将安全性从一个勾选框转变为安全性作为产品的一个组成部分。
作者是 Trustonic 首席信息安全官 Richard Hayton。
物联网技术