博客

物联网安全: 不要忽视基本原则

Lori MacVittie 缩略图
洛里·麦克维蒂
2016 年 3 月 7 日发布
泰迪熊_241113

物联网 (IoT) 无疑是一个备受关注的话题,但对许多人来说,它仍然是一种以消费者为导向的时尚,尚未对企业产生真正的影响。

当然,除非你是一家利用这些事物作为商业战略一部分的企业。

有时我们会忘记,除了那些成为头条新闻的消费电子产品之外,还有一个由传感器、家电、控制系统甚至玩具组成的整个世界,它们都已经成为物联网的一部分。

这意味着安全问题已经存在。

最近的一个问题涉及费雪牌的一款联网泰迪熊。 安全问题? 与泰迪熊进行通信的网络应用显然存在漏洞,可导致儿童身份信息暴露。  此前,人们发现联网的 Hello Barbie 娃娃存在多个缺陷,可能被改造成监视设备

沒有孩子嗎? 尝试阅读普林斯顿对 Belkin WeMo 开关、Nest 恒温器、Ubi 智能扬声器、Sharx 安全摄像头、PixStar 数码相框和 SmartThings 集线器的安全测试。 报道称,“Ubi 使用未加密的通信方式,会泄露敏感信息,例如用户是否在家,或者房子内是否有任何动静。” Sharx 和 PixStar 都传输了未加密的数据。

物联网是 boa

现在,我们可能过于关注“事物”的一面,因为它是新事物,每个连接到网络的新事物都会带来大量必须解决的新安全风险,天哪,它是新的,令人兴奋的。 但现实情况是,当您考虑将“事物”纳入您的商业模式时 - 无论是为了提高运营效率还是开拓新市场 - 我们都应该回归基础并确保我们也涵盖了等式的这一边。

加密流量是一件简单的事情。 互联网已经有 15 多年的历史,有时甚至是经过艰苦努力才学到正确的密钥和证书管理的重要性。 然而数百万的设备正在重复使用证书和共享密钥。 并保护网络应用程序的安全? 自从电子商务被冠以“e”字并开始被开发以来,我们一直在敲响面鼓。

事情会发生,对此毫无疑问。 许多人已经来到这里,其中一些人似乎“大多无害”,正如道格拉斯·亚当斯所说。 但这不仅仅与事物有关。 它还涉及这些事物几乎总是与之通信的应用和系统,无论是注册、激活、获取新内容、共享数据还是进行管理。

即使为您的产品提供后端功能的应用程序没有被宣传为可公开访问,但根据定义,它必须是可公开访问的,以便外界可以通过互联网访问它。 这意味着您应该坚持对您所构建的东西访问的每个应用程序进行安全测试。 无论是在云端还是在数据中心,它都需要测试和保护。 

物联网是应用s的业务。 这意味着物联网的安全不仅在于保护事物的安全,还在于保护支持它们的应用系统的安全。