16.06.21 14:03

Новости

Автор:

Администратор

Безопасность Интернета вещей: IoT не обязательно должен быть Интернетом угроз

 Согласно отчету Palo Alto Networks за 2020 год, 98% трафика данных Интернета вещей не зашифрованы. Эта статистика ошеломляет, учитывая то, что мы знаем о рисках. Чтобы оценить масштабы этой...

Согласно отчету Palo Alto Networks за 2020 год, 98% трафика данных Интернета вещей не зашифрованы. Эта статистика ошеломляет, учитывая то, что мы знаем о рисках. Чтобы оценить масштабы этой проблемы, жизненно важно понять, что шифрование – это всего лишь одно звено в длинной цепочке, необходимое для защиты Интернета вещей, данных и нашего мира.


Автор: Хатем Уэслати, генеральный директор и соучредитель IoTerop

 

Комплексная безопасность Интернета вещей требует интегрированной группы служб управления устройствами, включая безопасный ввод в эксплуатацию устройств, управление сертификатами, механизм предоставления обновлений микропрограммного обеспечения по воздуху (OTA) и надежные возможности аутентификации и авторизации. И знаете, что? Если 98% данных не зашифрованы, большинство людей также не имеют доступа к этим сервисам.

 

Плохие новости

 

С чего начать? IoT коренным образом меняет стоимость сбора и обработки данных в мире, который все больше ориентируется на данные. Однако большинство людей сосредоточено на этой возможности, игнорируя безопасность. Безопасность вторична, это центр затрат с трудноизмеримой рентабельностью инвестиций, но Интернет вещей представляет собой реальные, растущие, системные и ужасающие опасности.

 

Атака ботнета Mirai в 2016 году, нацеленная на камеры видеонаблюдения, почти обрушила Интернет, и это была работа подростков. Код, лежащий в основе атаки, находится в свободном доступе в Интернете.

 

Дела не улучшаются. Недавно Avast описал угрозы Интернета вещей, используя такие термины, как «всплеск» и «глаза разбегаются», заявив, что ситуация будет еще хуже.

Уязвимости существуют от устройств до сетей и облака. Устройства содержат дефектный код и библиотеки, такие как уязвимость Ripple 20.

 

Существующие подходы к шифрованию ограничены. Данные устройства шифруются только до следующей остановки в сети, поэтому, если сеть скомпрометирована, то и данные потенциально могут быть взломаны.

 

В 2020 году в Великобритании, США и Европе было введено законодательство о безопасности Интернета вещей. Несмотря на благие намерения и нежелание чрезмерно регулировать, они сосредоточились на основах и руководящих принципах.

 

Даже жесткие законодательные требования, такие как обновление встроенного программного обеспечения по воздуху, могут быть проблематичными. Обновления прошивки могут исправлять устройства, устраняя недостатки, подобные ранее упомянутой Ripple 20. Тем не менее, механизм прошивки должен быть безопасным. Слишком часто это не так.

 

Говоря о внутреннем ПО, многие проприетарные маломощные широкополосные сети, такие как LoRaWAN и Sigfox, не имеют пропускной способности для доставки обновлений прошивки.

Сегодня многие решения Интернета вещей являются проприетарными или частными разработками так называемого «черного ящика». Нам неизвестен код внутри устройства. И оно часто содержит случайные уязвимости, такие как Ripple 20, или предполагаемые уязвимости бэкдора.

 

Дополнительная проблема заключается в том, что многим предприятиям не хватает знаний, возможностей и ресурсов, необходимых для решения этих проблем. Часто это работа по защите Интернета вещей, но это только в общих чертах. ИТ ориентированы на Интернет, централизованны, имеют почти неограниченные вычислительные ресурсы, но рядом с большинством компьютеров находятся пользователи.

Устройства Интернета вещей являются удаленными, физически уязвимыми, с другими ограничениями, такими как пропускная способность, мощность процессора и энергия. Все более распространенные примеры использования не поддерживают экономику человеческого вмешательства.

 

И, наконец, мутят воду спорные юридические вопросы. Недавно 30 000 компаний потеряли данные из-за взлома электронной почты. Поставщик взломанных технологий несет ответственность лишь частично. Какую именно? Потребуются миллионы долларов, годы и множество юристов, чтобы это выяснить.

 

Решения Интернета вещей также сложны, и возникает вопрос о том, кто будет тратить деньги на исправление того, что они могут или не могут разделить ответственность. Как и производители автомобилей, некоторые могут решить, что дешевле бороться и урегулировать дела или переложить вину на другую сторону, чем поступать правильно.

 

Хорошие новости

 

Это не обязательно должно быть так. И при некоторой удаче, некоторой макроэкономике, невидимой руке Адама Смита и здравом смысле IoT можно будет защитить.

 

Внедрение интернета вещей не оправдало ранних ожиданий. Почему? Возможно, рынок и технология не были готовы, но две серьезные проблемы заключались в плохих возможностях подключения и низкой безопасности. Это меняется.

 

В настоящее время в мире существует два глобальных решения для подключения, ориентированных на телекоммуникации, которые идеально подходят для большинства решений Интернета вещей. NB-IoT идеально подходит, например, для приложений интеллектуальных измерений, которым необходимо отправлять небольшие объемы данных, в то время как LTE-M лучше подходит для решений, требующих большего объема данных и пропускной способности. Сети LPWA, которые используют телекоммуникационные компании, обеспечивают существенные преимущества безопасности, включая надежные механизмы аутентификации, более длинные ключи шифрования и достаточную пропускную способность для доставки обновлений встроенного ПО.

 

Многие решения Интернета вещей будут иметь срок службы от десяти лет и более, что делает обновления встроенного ПО ключом к поддержанию безопасности.

Телекоммуникации также внесли значительный вклад, о чем говорит разработанный Open Mobile Alliance стандарт Lightweight M2M (межмашинное взаимодействие).

LwM2M предоставляет решения IoT со стандартизированной структурой для управления подключением, отчетными данными, безопасными решениями IoT и обновлением встроенного ПО. 

 

LwM2M обеспечивает структуру сквозной безопасности, оптимизированную для задач Интернета вещей.

Особо следует отметить OSCORE – стандарт шифрования только для IoT и часть LwM2M. OSCORE экономит энергию, что является важным фактором рентабельности инвестиций для решений IoT, работающих на батарейках. Что еще более важно, OSCORE обеспечивает сквозное шифрование данных, поэтому даже в случае взлома сети данные остаются в безопасности.

 

Наконец, LwM2M – это стандарт. Многие эксперты внесли свой вклад в обеспечение максимальной безопасности таких вещей, как механизм FOTA, но по мере обнаружения недостатков, а они будут обнаружены, многие внесут свой вклад в решение этой проблемы. Этого нельзя сказать о проприетарных нестандартизированных подходах.

 

Вывод

 

Через несколько лет IoT и искусственный интеллект будут повсюду. 20-й век работал за счет нефти. 21-й век принадлежит знаниям и данным. Значение IoT увеличивается по мере увеличения скорости передачи данных. Новые возможности повышения эффективности создаются по мере того, как данные в одной экосистеме, такой как транспорт, используются другой системой, например, такой как умные города.

 

Представьте себе беспилотный летательный аппарат, запрашивающий разрешение на посадку у вашего дома, и сразу же загорается городской свет. Данные, IoT и искусственный интеллект должны будут работать вместе, чтобы это произошло.

 

Мы недалеко от этого, но сначала мы должны ответить на насущные вопросы о том, как мы защищаем эти решения и безопасно делимся данными, соблюдая конфиденциальность данных.

Возможности и опасности реальны.

            

Что вы можете сделать, чтобы защитить свои устройства, данные и мир? Начинать нужно с осведомленности, приоритизации безопасности и требований стандартов.

 

Ссылка на источник