六招破解物联网产品开发安全性困境
2017-03-27
尽管仍处于起步阶段,但物联网(IoT)似乎已经有了安全性差的头衔。经过2016年发生的DDoS攻击DNS提供商Dyn一事,安全专家已经开始关注如何更好地处理日益增长的不安全连接设备的接入。类似这样的攻击是供应商急于满足智能设备的尖峰需求而导致的现象,而在产品推向市场之后,虽然消费者热衷于物联网产品,但他们基本上不知道它们带来的相关安全风险。
保护连接设备的负担,以及在漏洞被利用时及时进行修复的责任,将完全落在产品制造商和软件开发人员身上。对于开发物联网技术的组织来说,确保其产品不会对最终用户的安全或隐私构成风险,这一点至关重要。以下必须关注的这几个方法,可以最大限度地降低用户风险和提高安全性:
1.物理安全:连接设备的物理安全至关重要。将防篡改措施集成到设备组件应该成为开发人员的首选,这可以确保设备不被解码。另外,如果设备被破坏,则需要确保与认证识别码和账户信息相关的设备数据被擦除,防止私人数据被恶意地使用。如果PII存储在设备上,则应实现远程擦除功能。
2.不要留后门:如今构建一个带有后门的设备很容易实现,以便在需要时用于监视。然而,这种做法会危及最终用户的安全性。制造商应确保不会引入恶意代码或后门,并且不会复制、监视或捕获设备的UDID。这将有助于确保当设备在线注册时,该过程不会被捕获或易受到监听、监控或非法监控。
3.安全編码:IoT开发人员应实施安全编码实践,并将其应用于设备作为软件构建过程的一部分。关注作为开发生命周期一部分的QA和漏洞识别/补救,将简化安全工作同时降低风险。
4.设备身份认证:使用单个设备标识实现正确和安全的身份验证,在设备本身与后端控制系统和管理控制台之间建立安全连接。 如果每个设备都有自己的唯一标识,企业将知道设备通信确实是它声称的设备。这需要基于诸如PKI等解决方案的单独设备识别。
5.加密:在使用IoT解决方案时,企业必须加密设备和后端服务器之间的流量。确保命令加密,并通过签名或强编码查看命令完整性至关重要。物联网设备收集的任何敏感用户数据也应加密。
6.简化更新过程:简化设备升级,以便以易于管理的方式部署错误和安全更新。如果固件没有从一开始就正确配置,它的更新可能很棘手。不幸的是,制造商有时构建没有固件更新能力的设备,选择使用一次写入存储器。尽管这种方法在过去几年中具有经济意义——制造商认为它是一种更具成本效益的方法,可以更容易集成,同时帮助他们避免在设备上覆盖或实现不同的操作系统——但是现在更重要的是他们要确保灵活的固件部署过程一致,允许开发人员创建新模型,同时跨产品线广泛分发安全修复程序。
IoT将很快渗入到我们生活的每一个角落,随着更多的IoT安全事件的发生,设备制造商将面临越来越大的压力,在未来会更注重加强他们产品的安全性。通过遵循以上步骤,连接技术提供商可以确保他们在日益拥挤的物联网市场中保持竞争优势,因为设备安全将会成为买家的首要考虑。