【導語】每天都有物聯網(IoT)設備被破壞或被黑客利用發起大規模攻擊的新聞。以下簡單十步讓 IoT 開發更安全。
絕大多數情況下,得益于傳感器和無線電技術,IoT 設備的組裝和投放市場幾乎過于易如反掌了。想象員工用樓下咖啡館 Wi-Fi 使用筆記本電腦,還將公司內網設置為自動登錄,恐怕 IT 部門要集體犯心臟病了吧——很多人對待 IoT 設備就是這么掉以輕心。
IoT 設備其實跟筆記本電腦或任何聯網設備一樣,是知識產權的載體,應充分重視“安全”二字。以下十步,讓 IoT 開發更安全。
IoT 開發大的安全問題恐怕是“事后”才考慮安全問題。在產品/服務設計階段就應將安全作為其功能和賣點之一,越早解決技術和產品問題越好,防患于未然好過亡羊補牢。
很多開發者自以為產品/服務的部署范圍小或不足以引起黑客興趣而忽略安全問題。這一隱患在 IoT 設備能夠連接非公共網絡獲取私人信息,以及連接關鍵基礎設施(大到醫療器械、工業控制,小到孩子臥室的設備)之后愈發嚴重。就算只部署幾十個 IoT 設備,也不能掉以輕心,犯下設置“abc123”為密碼的低級錯誤。
很多 IoT 設備不會詳細說明產品中包含某個有發熱問題的組件,雖然使用該組件省了錢,但長遠可能有大問題,甚至不得不采取成本高昂的補救措施,如產品召回或者訴訟費用等。IoT 安全也是一樣,安全防護措施不力導致日后付出更大代價的例子不在少數,一次又一次提醒我們,在設計階段就考慮安全問題是省錢的“保險”,如果產品已經“放出去”了,就太晚了。
“變成”黑客的意思是說在設計階段就充分考慮 IoT 部署有哪些方面會讓黑客趁虛而入。舉幾個例子,聯網汽車會引來想要遠程(非法)啟動別人汽車的人;而聯網照相機會招來有意竊取他人視頻和相片的人。切記一點,IoT 設備本質上是微型計算機,如果黑客能接觸到設備,是否會破壞安全網絡?是否會利用千臺設備發起“拒絕服務”的攻擊?是否會威脅到開發者的知識產權?這些都考慮到,逐個找出解決方案。
IoT 設備并不是收集和記錄越多數據越好。劣質傳感器往往會過度收集信息,使得設備受到攻擊的風險大大增加。就算能夠收集大量信息,也不代表應該這么做。
如果你的應用“刀槍不入”,經過了大量測試,考慮了所有風險,當然再好不過。但是若設備運行著老舊的操作系統,可能存在諸多攻擊漏洞,搞不好之前的努力一不留神就會付諸東流了。還是那句話,IoT 設備就是微型電腦,網絡、操作系統和應用都可能成為攻擊目標。另外,開發過程中使用的數據庫,工具包等等都會把自身的弱點帶進來,要時刻監督,及時補救。
世界上沒有絕對安全的系統,連接著公共網絡的系統更是如此;即使產品上市很久,也會不可避免地出現新風險。因此,產品能夠無需人為干預,自動定期推送必要的安全更新很重要。但安全更新本身可能被黑客利用,所以也要考慮設備因此被攻擊的風險因素。
理想情況下,IoT 產品本身的硬件就有安全防護,比如防破壞包裝,增加芯片安全性的可信平臺模塊等等;如果因為成本或技術限制,這些都沒有的話,那么調查一下核心組件供應商對安全問題的反應和處理能力,主要看如果核心硬件出現問題,用戶能否用應用代碼或更新固件來解決呢?如果不行,那么需要更新硬件的時候怎么辦?
IoT 安全問題不止于設備,作為安全防護的一部分,加強其平臺和應用也尤為重要。給所有版本的相關操作系統和硬件做一個圖示,好理清思路,看看是不是全部都有相應基礎設施的支持;若沒有,就抓緊時間行動,就當做是進軍 IoT 界的過路費吧。除此之外,定期追蹤“IoT 存貨”的缺陷,采取相應措施。
沒人愿意去想生命終結的那一天,而 IoT 設備確有終止使用的時候。大多數公司認為給用戶發送一兩封郵件,告知對方不再為某款產品提供支持了,就不用再監督或者更新了。當產品接近使用期限或公司不再支持該產品時,要及時告知用戶;甚至可以考慮禁用不再受支持的設備,或請用戶“再啟用”該設備(無需公司支持),但需了解響應的安全風險。在將大量產品投放市場之前,仔細研究下微軟淘汰 Windows XP 的例子,就對如何進行“遺產規劃”有比較充分的了解了。
本站文章版權歸原作者及原出處所有 。內容為作者個人觀點, 并不代表本站贊同其觀點和對其真實性負責,本站只提供參考并不構成任何投資及應用建議。本站是一個個人學習交流的平臺,網站上部分文章為轉載,并不用于任何商業目的,我們已經盡可能的對作者和來源進行了通告,但是能力有限或疏忽,造成漏登,請及時聯系我們,我們將根據著作權人的要求,立即更正或者刪除有關內容。本站擁有對此聲明的最終解釋權。
