每个物联网制造商应该做的三件事来提高安全性
毫无疑问,物联网是新的安全战场。连接互联网的网络摄像头、暖通空调系统、汽车、电视、手表、打印机等让人们更多地利用他们的设备。但是,这些设备也为想要窃取公司数据、将数千台设备套入可以发起 DDoS 攻击的僵尸网络甚至触发达拉斯 156 次紧急户外警报的黑客敞开了大门。
另见: 这些中国卫星会提供防黑客数据安全吗?
在安全方面,企业正在努力跟上问题发展的速度。例如,Google Project Zero 的一名研究人员最近发现了 Broadcom Wi-Fi 芯片中的一个缺陷,该缺陷可能允许某人在受影响的 iPhone、Nexuses 和三星设备上远程执行代码,只需在它们附近即可。另一位研究人员在三星用于智能手表、手机和电视的 Tizen 操作系统中发现了 40 个零日漏洞——他说这些代码可能是他见过的最糟糕的代码。
与此同时,最近发现新版本的 Mirai 僵尸网络能够发起应用层攻击,而不仅仅是 DDoSing 网站,并且可以使大量互联网陷入黑暗。
为了解决这些问题,公司不断发明新的解决方案。例如,一个名为 Sopris 的微软新项目旨在通过重新设计 Wi-Fi 微控制器来解决物联网的一些安全问题。虽然这样的努力有所帮助,但企业内部必须做更多的工作,以可扩展的方式解决物联网安全问题。
如何?以下是制造 IoT 设备的公司应该做的三件事,以提高其产品的安全性:
#1:负责
许多开发 IoT 产品的公司都不是技术公司,因此他们不一定在设计产品时考虑到安全性,或者知道确保安全性的最佳实践。进入物联网市场的供应商必须意识到他们的设备存在漏洞,并且将它们连接到互联网会增加设备被攻击或用于攻击的可能性。如果公司在不承认这一现实的情况下销售产品,他们就已经失败了,不仅让他们的客户处于危险之中,而且将整个互联网置于危险之中。
#2:自动更新
无法自动更新的产品是坐鸭。
例如,当他们离开商店货架时,易受 Mirai 僵尸网络攻击的设备实际上已经到了使用寿命的尽头——无法更新设备或修复漏洞,因此受影响设备的所有者唯一的选择是购买新设备。设备召回的成本很高,因此提供一种更新设备的方法对于避免立即过时而使客户望而却步的情况至关重要。
即使是拥有 10 年生命周期的 Windows XP,也将安全补丁交付给客户手动安装。微软计划从长远来看客户支持和维护,例如雇用更多的安全工程师,并将其计入前期成本或订阅。
同样,Nest 每月收取 10 美元的维护服务费用,这使其成为市场上最安全的物联网设备之一。
#3:接受披露
物联网设备制造商还必须让道德黑客能够轻松地向他们报告漏洞。公司应制定漏洞披露流程,并提供易于查找的电子邮件地址或网络表单,以便向其发送错误报告。如果他们想鼓励更多的安全审查来帮助他们发现和修复错误,公司还可以设置一个错误赏金计划,以补偿黑客报告漏洞。
任何产品都不能幸免于错误,鉴于物联网设备的普及程度以及它们对黑客攻击的脆弱性,制造物联网设备的公司必须采取一切必要的预防措施来确保人们的隐私得到尽可能保护。
物联网技术