專題報導-物聯網的資安問題不可忽視

物聯網(IoT)為現在的網路環境帶來了極大的改變,尤其是在商業應用上,使用和與智能設備交互連接的方式是愈來愈多。互聯網連接的虛擬助手,設備,安全系統等都可以相互通信和協調合作,讓業者能夠自動化和簡化過去耗時的活動。
但是,儘管物聯網設備為我們提供了很大的便利,用戶仍需要考慮一個主要問題:安全性。任何與聯網相關的東西都有被黑客入侵和濫用的可能性。考慮到物聯網設備收集和使用的個人數據量,這尤其令人不安。在以下幾個方面目前都存在不小的威脅。
物聯網面臨更多資料洩露方面的威脅,因為越來越多的設備加入網路並共享資料。當設備跟踪我們的每一個行為時(例如從我們醒來到打開冰箱門的次數),將收集數百萬個資料點,並且這些資料可以在許多不同的網路參與者之間共享。與過去資料主要由像facebook這樣的網路商所持有,但物聯網將會看到各種主要參與者。管理(和保護)用戶的私人資料對該行業來說將是一項新挑戰。
物聯網設備的安全性普遍不高,軟體安全是物聯網的基本問題。在物聯網之前,企業不得不擔心更新伺服器,內容管理系統和個人主機。今天,他們不得不擔心更新從連接咖啡機到安全監控攝影機等所有東西。企業正在將不安全的設備引入其網路,然後無法更新軟件。未能應用安全修補並不是一個新現象,但與開放網路連接的不安全物聯網設備,可能會是未來一個即將發生的災難。例如,犯罪分子可以攻擊不安全的安全監控攝影機,並將其用作存取公司網路其餘部分的灘頭堡,或將數千個設備合併到殭屍網路中以發動毀滅性的DDOS攻擊。
物聯網設備缺乏更新或更新困難,如果沒有經過一定時間的驗證週期,大多數物聯網設備最終都會被黑客入侵。它可能不會在一年內,但它可能會發生在設備使用的前幾年。在辦公室和家中使用五到七年的設備並不罕見。多年後,原始製造商可能會倒閉。即使仍在營運中,他們的團隊也可能轉移到其他專案並且缺乏對產品的支持。因此,未來更新的可靠性將受到威脅。在購買物聯網設備時,我們應該嘗試查明我們的製造商確認未來幾年內會持續更新設備的安全問題,並且在出現問題時已經確定可以更新舊有產品。
物聯網的興起意味著有大量的互聯網連接運算能力,以前根本就不存在。如果黑客可以訪問不安全的設備,他們可以通過簡單地使用來自數千或數百萬個連接設備(DDoS或分佈式拒絕服務)的無情請求來破壞伺服器的大部分內容。即使您不是物聯網公司,您也可能依賴於將成為目標的雲端服務商 - 亞馬遜AWS,Google,Github或Facebook,所有這些服務商都是一個很大的目標,現在所有這些服務都是為企業提供關鍵基礎設施。如果您失去對軟體設置關鍵技術元件的存取權限,您應該思考要擁有方案 B,或者至少是有適當的備援設計。
也因為物聯網的安全性日益重要,密碼學專家在美國國家標準與技術研究所(NIST)開始努力保護無數細小的網路設備上的資料,這將需要一個新的密碼防禦cyberattac。
創建這些防禦是NIST的輕量級密碼倡議的目標,其目的是開發可以在簡單電子設備的範圍內工作的密碼算法標準。所有這些物聯網設備,很多都很便宜,幾乎在任何地方都能安裝,但常見的加密方法可能需要比它們擁有更多的電子資源。
今天,NIST正在努力創造一種有價值的解決方案來解決這種受限環境中的數據安全問題。作為一個初步的步驟,它尋求幫助開發這些解決方案的要求和指南。現在NIST網站已公佈"NIST輕量級密碼標準化流程草案"文件。聯邦登記公告將很快公佈一個公眾意見徵詢期,以便社群可以權衡草案提交指南。最終目標是開發有利於整個市場的輕量級加密標準,提供物聯網業者一個更安全的應用環境。