最近,我有机会从比利·梅多、首席技术和创始人、总裁兼首席执行官斯科特·弗莱彻和LocatorX首席建筑师杰夫·凯斯那里收集见解,了解他们对当前和未来的看法IoT 安全状态。
保护 IoT 设备的方法是什么?
如果不是能够系统地处理安全问题和适应怀有恶意的人能够具有破坏性的许多方式,因特网的历史可能非常短暂。第一批使用未加密数据流与服务器通信的 Web 浏览器,无法防止那些意识到”嗅探”互联网流量是多么微不足道的人。大多数计算机,在开始时,有自己的互联网地址,没有任何防火墙或防止黑客。这是一个巨大的街区,满是未上锁的房屋。
如果没有受 SSL (TLS) 保护的通信、用户凭据和其他安全措施,就没有电子商务。我们都熟悉浏览器栏中的锁图标,指示有效的证书正在保护正在传递的数据;我们希望输入用户名和密码来识别自己,在我们的智能手机上,我们将密码提交到内存中,但更喜欢指纹识别和/或面部识别。
我们决不能将 IoT 设备的小外形作为威胁的少部分来贬低它 — 任何可以连接到 Internet 的设备都意味着潜在的安全漏洞,尤其是在它具有某种计算能力的情况下。我们已经看到智能恒温器如何被增选为计算机造成损坏,而安全性有限的婴儿相机可能会被不需要的观众利用。我们已经看到了有多少具有有限计算能力的设备可以组合起来生成 DDoS 攻击,以及如何在移动中远程劫持连接的车辆。
在所有 IoT 设备设计和部署中,安全性至关重要。
我们使用多层安全机制来解决此问题,这与 Web 浏览器不同,但增加了一些措施:
-
智能手机、扫描设备和其他通信节点,可以使用最新的 SSL 加密技术访问我们的设备,与我们的服务器进行通信。
-
用户无需输入凭据即可对设备进行一些只读访问,但所有敏感和写入访问都需要标识。
-
所有与 IoT 设备交互的设备都必须使用我们的认证安全模块,并将嵌入式凭据分配给这些应用程序的注册软件开发人员。
-
所有敏感数据(包括分配给每个 IoT 芯片的数字出生证书)均使用我们的产品证书颁发机构进行加密。这是一个内部机制,用于维护用于加密此数据的加密密钥。但是,我们将很快宣布一种更正式的伙伴关系,允许第三方组织获得自己的证书。
-
将来,我们将使用专利流程将加密标识物理写入芯片本身,其方式可作为另一层保护使用。
IoT 安全最重要的要素是什么?
IoT 设备的安全性必须是总体实施计划的体系结构的一部分,从一开始就考虑这一点。同时,它必须是一个适应性强的解决办法,这本身就是一个挑战。在一百台左右的设备上更新固件或安全凭据是一回事,数十万或数百万台设备是另一回事
IoT 设备的安全性发生了哪些变化,您看到的 IoT 安全性最常见的问题是什么?
它是如何变化的 – 每个主要供应商都有数十种不同的专有 IoT 安全架构。我们没有看到这些供应商设计为互操作性而构建的结构。在物联网领域,许多这些设备几乎没有安全性。LocatorX 正在设计一个既开放又安全的安全体系结构,并使用支持互操作性的行业标准证书颁发机构。定位器X技术可以由拥有该设备或产品的任何人安全地扫描。证书颁发机构为网页奠定了信任的基础。通过创建产品证书颁发机构,我们正在为 IoT 中的产品建立信任基础。
您或您的客户通过保护 IoT 设备解决了哪些实际问题?
实际用途是能够在其整个生命周期内跟踪单个物料、箱子或托盘。任何接触该产品的人都可以使用智能手机扫描商品并对其进行身份验证,因此您可以信任来自该产品的信息。此信息由单个产品证书颁发机构进行身份验证。
您是否对 IoT 安全的当前状态有任何顾虑
不断。今天的最佳实践可以被认为是明天的潜在弱点。例如,如果您遵循 TLS 版本和密码的改动,您就会意识到任何修复的时态。在发现/利用漏洞之前,SSL 是最初的标准。然后,TLS 1.0、1.1、1.2 和现在 1.3 将很快成为标准。互联网本身是这种升级的部分原因。任何成功的漏洞或渗透系统的方法都可以在几分钟内在世界各地共享。另一个原因是,访问功能强大的计算平台的成本继续降低,可用性增加。TLS密码和方法只是复杂的数学算法,因此暴力手段破解这些算法的工具更容易访问。
另一个挑战是防止”特洛伊木马”攻击,即安全区域内安装了硬件或软件。这不是 IoT 设备的问题,但可能是访问可能用于外部 IoT 攻击的敏感数据的另一个来源。
唯一不变的是,有成群的攻击者试图通过安全墙 – 并且您试图保护的资产越敏感或更有价值,试图获得控制或访问的尝试就越频繁。
从您的角度来看,IoT 安全的未来是什么 – 最大的机会在哪里?
从我们的角度来看,只有随着时间的推移向使用我们产品的人展示安全性,安全性才是积极的。一旦信任和舒适被发展出来,就鼓励使用。我们已经在亚马逊和电子商务行业看到了这一点——只有在安全性不是问题时,才能实现任何物联网解决方案的全部潜力。
