當萊特兄弟1903年進行具有開創性的飛行實驗時,是否有安全員堅持要求配備降落傘和降落減震裝置?沒有,所有的焦點都在于他們是否可以離開地面!這是他們的勝利。四年後,安全成了人們關注的焦點。再不久,安全成為航空業的首要任務。
這就是技術革新!第一個迫在眉睫的問題是“它會工作嗎?”,接踵而至的将是令人興奮的機遇——技術革新的禮物,最後關注的才是濫用或剝削。随着物聯網裝置越來越普遍,在我們日常生活中,降低安全風險也逐漸成為主流的關注焦點。
具體的物聯網挑戰
一開始,将任何一個簡單的、低成本裝置連接配接到網絡就會産生直接的風險:PC是一個相對複雜的終端,它需要大量的資源去布防内部防火牆和反惡意系統軟體。但是你不可能為監測5美元而建立昂貴的保護。
雖然已經有像樹莓派這樣的新一代的微型低成本電腦來彌補差距,但是大部分的安全負擔落在網絡本身,如果我們想要受益于數以百萬的物聯網微型傳感器連接配接,網絡的安全必須得以保證。
接下來是複雜性的挑戰,許多不同的協定共享同一複雜的網絡。選擇物聯網裝置的無線連接配接類型意味着平衡多個因素,例如資料吞吐量,覆寫範圍,終端電池的壽命和延遲,以及接收器的大小和成本。每個系統都有他的優缺點。
蜂窩資料幾乎無處不在,但使用電池供電并且相對昂貴的硬體會持續産生網絡費用。辦公樓裡到處都有WiFi,雖然硬體裝置比較廉價,但是它的安全密碼設定不适合像智能燈泡這樣的硬體連接配接。藍牙甚至更便宜,并且電池壽命長,但是隻能工作在有限的範圍内,并需要一個中心接入點将其連接配接到物聯網網絡。
Mesh網絡的設定更加複雜,但确實提供了一個高彈性的網絡解決方案。如Sigfox,Lorawan 和Ingenu等廉價、低功耗的LPWAN技術是理想的低資料流量(如智能電表)解決方案,但是對于更複雜的通訊沒有太大價值。
測試手機的性能和安全性,不但需要深刻了解包括藍牙、WiFi、GPS在内的各種移動通訊技術,還需要找到在所有這些不同網絡上同時運作手機時産生的額外漏洞。
從市場來看,目前物聯網創新有五個關鍵領域,即:智慧城市、重型裝置、汽車、醫療和監測。
常見的入侵形式
犯罪襲擊有兩種主要形式:盜竊和勒索。罪犯可以從系統中偷取錢或資料,如果不交贖金,就會受到損害。如果驅動力是恐怖主義或單純的破壞而不是獲得犯罪利益,罪犯可以沒有任何警告地帶來破壞。
在汽車行業,車聯網涉及物聯網的許多方面:從簡單的車輛聯網和GPS位置服務,到車輛的最佳安全性能和防盜措施檢測,再到複雜事故的避免甚至無人駕駛汽車。
犯罪分子要麼通過黑客行為入侵安全系統來直接盜取車輛和汽車内件,要麼會去敲詐制造商。GPS幹擾器已經被用來隐藏被盜車的位置,遠端鎖定系統被黑客攻擊進而使車輛被盜。這樣的攻擊時常發生,但僅是冰山一角。
一輛聯網的汽車可允許車主限制車的速度,由他的兒子來駕駛,但兒子可以去破解它而且開賽車,或者他的對手可以把速度門檻值設的很低。此外,若繁忙的高管想利用汽車聯網進行轉賬--他們能夠確定他們的交易完全像在家裡或辦公室的網絡一樣安全嗎?
醫療保健是特别容易受到勒索威脅的:一個病人的醫療記錄可能對罪犯沒有太大的價值,但上傳所有的醫療記錄到公衆網際網路上可以威脅一家私人醫院拿出大筆的贖金。甚至以公開宣布可信醫院系統并不安全來進行威脅。至少有一家大型的美國醫院已經遭受這樣的攻擊。
大型的工業控制也是一個很誘人的敲詐目标。篡改這些程序不僅會在關機狀态下造成資金流失,也會使整個系統受到損壞。--例如Stuxne蠕蟲病毒摧毀了伊朗一千台離心機。規模龐大的公用事業網絡是恐怖襲擊的理想選擇,這可能會導緻一個廣闊範圍裡電力、水或通信的破壞。
在這個名單中,我們沒有把财務算進來。長期以來,犯罪分子都以金融系統為最明顯的竊取目标,而手機銀行應用程式和自動取款機被視為物聯網的組成部分,這些終端應用程式應該定期測試安全問題。
安全測試必不可少
測試網絡或雲是有必要的,因為系統太複雜了,任何人都很難分析和預測所有可能形式的漏洞。除了大型網絡的實體複雜性,從網絡上的硬體和不同的作業系統開始,有許多不同的層次可以分析。
網絡上應用程式使用人數不斷變化,并且有着不同的協定和安全系統。蜂窩網可以在SIM卡上接入安全服務,WiFi接入需要一個密碼,藍牙可以使用密碼或預共享應用程式密鑰。
也有像一些特定安全功能的人或機器使用者的認證,在他們被授權接入網絡時,确定是什麼樣的互動級别。最後有一些實體安全的問題:端點和實際網絡是否足夠牢固?他們是否容易被篡改?
許多想法将進入該領域的各個方面,但當涉及到确定整體端到端的安全性,隻有一個方法可行,那就是測試。在實驗室條件下,網絡可以被精确模拟,進行詳盡的功能測試。可以在正常的操作環境下測試它的性能是否可靠。也可以持續監測網絡的故障迹象。
物聯網在一個極端或壓力條件下如何執行?這種極端條件都會以明顯或不明顯的形式呈現。舉一個入侵大都會區的報警系統的例子:通常情況下,這些報警器通過本地WiFi保持與總部的聯系,隻在WiFi連接配接失敗時才轉到3G網絡。如果整個地區出現停電,大量的報警系統同時連接配接到移動網絡,将會給網絡造成什麼樣的影響?這将對網絡上的其他簡單系統造成嚴重的影響,更不用說實時的報警相應了。
測試需要對涉及到的許多因素有足夠經驗和深入的了解,能夠預見到這樣的問題,并做出合适的測試。但是,目前已經有可程式設計測試解決方案來模拟每一個這樣的情況。雖然一般都要建立一個真實交通測試參數,但這并不是必要的。相反,系統可以記錄現實生活中的交通資料,然後乘以它的許多倍,以模拟交通風暴--應對緊急事件導緻活動激增。
在測試性能的同一時間,統計該網絡可以受到任何已知的惡意軟體攻擊的數量。如果它是一個基于雲的測試解決方案,它将保持最新的惡意軟體攻擊記錄。“模糊測試”不僅可以測試已知的攻擊,也會測出錯誤的資料被意外或故意注入系統的邊界錯誤。
總結
通過物聯網機器與機器的連接配接,有着無盡的機會,但我們對這樣一個複雜的系統可能出現的風險要有足夠的了解--特别是故意的犯罪意圖所帶來的風險。包括汽車業,醫療保健、工業和公用事業控制系統等關鍵領域,則需要非常謹慎和全面的安全措施。
盡管物聯網增加了許多新的因素和風險的組合,但是複雜測試的基礎技術、多協定網絡已經很好地建立。複雜的測試解決方案已經可用,并在長時間證明他們的能力,預見問題并確定在每一個正常和極端的操作條件下的安全性。
物聯網的發展過程可能是艱辛的,但在安全測試等多種解決方案的加持下,許多專業知識都可為物聯網的發展提供輔助。
原文出處:物聯網智庫
<a href="http://www.iot101.com/kpwl/2016-08-17/12013.html" target="_blank">原文連結</a>
轉載請與作者聯系,同時請務必标明文章原始出處和原文連結及本聲明。
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)