Com es pot desenvolupar la seguretat IoT en paral·lel a l'era d'Internet of Everything?

Com es pot desenvolupar la seguretat IoT en paral·lel a l'era d'Internet of Everything?

Internet de les coses és el suport bàsic de la tercera onada de la indústria de la informació i la quarta revolució industrial.

Ha generat moltes indústries i empreses mitjançant una profunda integració amb diverses indústries, com Internet de vehicles, Internet industrial, Xarxa intel·ligent, Smart City, i Agricultura Intel·ligent. , atenció mèdica intel·ligent, logística intel·ligent, casa intel·ligent, roba intel·ligent, etc., han canviat els estils de vida de les persones i han aportat una gran comoditat a la vida quotidiana de les persones. Actualment, la indústria global d'IoT s'està desenvolupant ràpidament.

Raspberry Pi 4a generació - IOT Raspberry Pi

L'economia mòbil 2022 publicat per GSMA preveu que arribarà el nombre de connexions IoT cel·lulars autoritzades a nivell mundial 2.5 mil milions en 2023, i s'estima que per 2030, arribarà al nombre de connexions IoT cel·lulars autoritzades a nivell mundial 5.3 mil milions. .

El desenvolupament de la indústria de l'Internet de les coses del meu país està a l'avantguarda del món, i la construcció de l'Internet de les coses mòbils és líder mundial. A partir de finals de 2022, ha arribat al nombre total de connexions de terminal a la xarxa mòbil del meu país 3.528 mil milions, dels quals 1.845 mil milions d'usuaris de terminals IoT cel·lulars representen el nombre de "cosa" connexions. Des de finals d'agost 2022, el nombre de "cosa" connexions ha superat el nombre de "persona" connexions Després d'això, la proporció de "cosa" connexions ha augmentat 52.3%. Internet of Everything apodera milers d'indústries. L'escala dels terminals mòbils IoT aplicats als serveis públics, Internet de Vehicles, minorista intel·ligent, i la casa intel·ligent ha arribat 496 milions, 375 milions, 250 milions, i 192 milions de llars, respectivament.

Amb l'arribada de l'era d'Internet of Everything, sentim la comoditat i la rapidesa que comporta una interconnexió extensa, consciència global, i control remot, però l'aplicació de la tecnologia d'Internet de les coses també comporta nous riscos per a la seguretat de la xarxa. En els darrers anys, ciberatacs contra dispositius IoT, sistemes, xarxes, i les plataformes han anat augmentant, que ha tingut un gran impacte en la privadesa personal, producció empresarial, operacions de la ciutat, i fins i tot seguretat nacional.

La seguretat IoT s'enfronta a noves situacions, nous riscos i nous reptes

Primer, els riscos de seguretat dels dispositius IoT són destacats. Els dispositius IoT s'enfronten a riscos de seguretat, com ara defectes de disseny de maquinari, vulnerabilitats de programari i microprogramari, i manca de mecanismes d'autenticació. Per tal de controlar el cost dels dispositius IoT, els fabricants solen triar maquinari i xips de baix consum i barats. El rendiment informàtic i les funcions de seguretat d'aquest maquinari sovint són febles, i no poden proporcionar un suport de seguretat sòlid, com ara xifratge i a prova de manipulació. disseny, etc. La qualitat del codi del programari dels dispositius IoT és desigual, resultant en un gran nombre de vulnerabilitats de programari. Les vulnerabilitats habituals inclouen les vulnerabilitats de desbordament de memòria intermèdia, vulnerabilitats d'injecció de comandaments, etc. Els atacants poden utilitzar aquestes vulnerabilitats per obtenir el control remot dels dispositius i després llançar atacs a la xarxa. Els mecanismes d'autenticació d'identitat i control d'accés dels dispositius IoT no són perfectes, resultant en un gran nombre de dispositius IoT que s'accedeix de manera anònima, o fins i tot ser craquejat per atacants per obtenir drets de control mitjançant simples contrasenyes.

Per exemple, Un gran nombre de càmeres IoT tenen actualment el problema d'accés no autoritzat després de trencar contrasenyes febles , pot conduir fàcilment a un control maliciós, Atacs DDoS, fuga de dades i altres incidents de seguretat, posant en perill el funcionament normal de la infraestructura clau de la xarxa.

Segon, la seguretat de la xarxa d'Internet de les coses és insuficient. El Internet de les coses is connected with the traditional fixed network and mobile Internet to form a new heterogeneous network with multi-network integration. En el procés de recollida i transmissió de dades, s'enfronta a riscos de seguretat com ara la intrusió de la xarxa i la fuga de dades. La capa de percepció és la base tècnica per a la percepció integral de l'Internet de les coses. It mainly collects various information of objects through various Sensors, and then transmits the data to the upper layer through NB-IoT, 3G, 4G, 5G i altres tecnologies d'accés. malgrat això, els nodes de la capa de percepció tenen dades enormes, protocols diversos, funcions individuals, i recursos de computació i emmagatzematge limitats. No poden proporcionar capacitats complexes de protecció de seguretat de la informació, i són vulnerables a atacs i danys maliciosos durant el procés de recollida de dades, afectant el funcionament normal del sistema. La capa de xarxa s'encarrega principalment de transmetre amb precisió les dades recollides per la capa de percepció. malgrat això, a causa del complex entorn de xarxa de l'Internet de les coses i els recursos limitats dels nodes d'Internet de les coses, les dades no tenen protecció de tecnologia de xifratge durant el procés de transmissió, i és extremadament vulnerable als atacs de l'home del mig. Els atacants poden obtenir paquets de dades il·legalment a la ruta de comunicació, llegir directament dades de text sense format o modificar paquets de dades per destruir la integritat de les dades. Aquest mètode d'atac és fàcil d'implementar però difícil de prevenir, que provocarà una gran quantitat de fuites de dades sensibles. Al mateix temps, a causa de la definició poc clara del límit de la xarxa d'Internet de les coses, els atacants poden accedir a la xarxa fent-se passar per passarel·la o node d'usuari, i llançar més atacs a components i dispositius de xarxa després d'obtenir els drets d'accés a la xarxa.

El tercer és el brot freqüent de problemes de seguretat de dades d'Internet de les coses. L'Internet de les coses generarà i compartirà quantitats massives de dades basades en les seves pròpies propietats d'interconnexió, i aquestes dades tindran molts riscos de seguretat en el procés d'emmagatzematge, utilitzar, i compartir. Quan les dades s'emmagatzemen en dispositius i plataformes amb una protecció de seguretat insuficient, serà robat directament pels atacants. Quan no hi ha un mecanisme estricte de control d'accés en el procés d'ús i intercanvi de dades, altres poden obtenir o fins i tot utilitzar dades sensibles de l'usuari sense permís, afectant la producció i la vida normal dels usuaris. L'Unit 42 equip d'intel·ligència d'amenaces supervisat 1.2 milions de dispositius IoT als Estats Units i ho van trobar 98% dels dispositius IoT no estan xifrats, comportant riscos de privadesa personal i fuga de dades. En els darrers anys, hi ha hagut molts incidents de seguretat de xarxa similars, com ara imatges recollides per un gran nombre de càmeres domèstiques que es venen en línia, i altaveus intel·ligents que filtren la privadesa dels usuaris.

Quart, S'ha de prestar atenció a la seguretat de la plataforma d'Internet de les coses. Dispositius IoT, plataformes en núvol, i les plataformes d'aplicacions estan interactuant amb les dades tot el temps. Un cop piratejades aquestes plataformes, tot el sistema IoT serà destruït. Quan hi ha vulnerabilitats de programari o errors de configuració a la plataforma del núvol i la plataforma d'aplicacions, és molt fàcil provocar atacs DDoS a la capa d'aplicació i provocar la interrupció del servei. Al mateix temps, la plataforma d'Internet de les coses també s'enfronta a riscos com la gestió insuficient de la seguretat dels agents i la contaminació de la cadena de subministrament. La cadena de subministrament de Dispositius IoT és complex. Si la plataforma té una gestió de control de seguretat insuficient per als proveïdors, és fàcil d'implantar amb a "porta del darrere" en procés de fabricació de maquinari i desenvolupament de programari. Això "porta del darrere" està extremadament amagat, i encara és difícil de trobar després de lliurar el dispositiu. , Un cop habilitat, provocarà riscos incommensurables. Per tant, Els gestors de la plataforma haurien de millorar els processos de control de la cadena de subministrament i gestió de la seguretat per reduir els riscos.

Avenç del treball de resposta al risc de seguretat d'Internet de les coses

En els darrers anys, sota el suport i orientació del Ministeri d'Indústria i Tecnologies de la Informació, L'Acadèmia de Tecnologia de la Informació i les Comunicacions de la Xina ha cooperat amb les unitats de la indústria rellevants per promoure de manera activa i constant la resposta als riscos de seguretat de l'Internet de les coses..

El primer és donar el màxim joc al paper de lideratge de les organitzacions del sector i promoure activament la preparació d'estàndards relacionats amb la seguretat de l'Internet de les coses.. Accelerar la construcció del sistema estàndard de monitorització de seguretat d'Internet de les coses, desenvolupar una sèrie d'estàndards per al control de la seguretat de l'Internet de les coses, i promoure el "Requisits tècnics i mètodes de prova per a la detecció de trànsit d'Internet de les coses", "Requisits tècnics per al sistema de control i gestió de la seguretat de la xarxa d'Internet de les coses", "Requisits tècnics de la interfície del sistema de supervisió i gestió de la seguretat de la xarxa d'Internet de les coses" i "Mètode d'avaluació i classificació del risc de seguretat de la xarxa de terminals IoT" S'han establert altres projectes estàndard de la indústria per crear requisits tècnics i mètodes de prova clars i clars per al sistema de control de seguretat de la xarxa d'Internet de les coses per ajudar al bon desenvolupament de la indústria de l'Internet de les coses..

El segon és confiar en els recursos de xarxa i els avantatges tecnològics de la indústria per construir inicialment un sistema de control de seguretat que cobreixi les bases de l'Internet de les coses de les empreses de telecomunicacions bàsiques.. S'ha construït una plataforma de supervisió bàsica d'accés a la seguretat de l'Internet de les coses d'enllaç entre el govern i l'empresa, que té les funcions de recaptació, seguiment, investigació i judici, i resposta. Centenars de milions de terminals es controlen per formar la consciència general de la situació de seguretat i les capacitats d'anàlisi de l'Internet de les coses.. Al mateix temps, la plataforma ha establert bases de dades d'intel·ligència d'amenaces com ara vulnerabilitats d'IoT, recursos de xarxa maliciosos, i normes de seguretat. Ha acumulat més de 10,000 regles d'esdeveniments de seguretat i recursos maliciosos, i té funcions com les tendències de desenvolupament d'IoT, tendències de seguretat, i temes especials.

El tercer és continuar realitzant investigacions especials per explorar i construir les capacitats tècniques de detecció i avaluació d'amenaces de seguretat d'IoT.. Centra't en els riscos de seguretat als quals s'enfronta la capa de percepció, capa de xarxa, i la capa d'aplicació de l'Internet de les coses, dur a terme investigacions sobre el sistema d'índex d'avaluació del rendiment del sistema de detecció d'amenaces a la seguretat d'Internet de les coses, consolidar les reserves teòriques relacionades amb les eines de detecció d'amenaces i els mètodes de detecció de l'Internet de les coses, i guiar activament les empreses rellevants per desenvolupar activitats d'avaluació de la capacitat avançada de productes de terminals d'Internet de les coses, millorar la seguretat del maquinari, seguretat del programari, seguretat de la xarxa, seguretat d'aplicacions i capacitats d'avaluació de seguretat de dades, i inicialment formen les capacitats tècniques de detecció i avaluació d'amenaces de seguretat d'IoT.

Pensaments i suggeriments basats en els riscos de seguretat d'IoT

El primer és accelerar el desenvolupament i la implementació d'estàndards relacionats amb la seguretat d'IoT. Realitzar la investigació i desenvolupament de la seguretat del terminal IoT, seguretat de la xarxa, seguretat de la plataforma i altres estàndards, promoure la revisió de Passarel·la domèstica IoT i estàndards de proves de seguretat de passarel·la, accelerar la construcció del sistema estàndard de supervisió de seguretat IoT, guiar el desenvolupament del treball d'avaluació de la seguretat dels productes IoT, i guiar la seguretat IoT Desenvolupar en una direcció més científica i sistemàtica.

Raspberry Pi 4 - 9-Caixa acrílica de capa amb ventilador de refrigeració - Funda protectora Raspberry Pi 4B en quatre colors

El segon és continuar millorant les capacitats tècniques de la vigilància de la seguretat de l'Internet de les coses. Crear un sistema bàsic de tecnologia de monitorització de seguretat d'Internet de les coses per a empreses de telecomunicacions, reforçar les capacitats de control del trànsit dels escenaris típics d'aplicació d'Internet de les coses, com ara Internet dels vehicles, Internet industrial, i ciutats intel·ligents, i millorar la qualitat dels informes de dades pel que fa a la cobertura del seguiment, completitud funcional, i maduresa empresarial. Promoure la construcció de pilots de monitoratge de seguretat de l'Internet de les coses 5G, millorar contínuament el sistema de control de seguretat de la xarxa privada d'Internet de les coses, i millorar les capacitats de suport tècnic integral, com ara la consciència de la situació de seguretat de la indústria IoT, advertència de risc, i resposta d'emergència.

El tercer és accelerar la construcció del sistema tecnològic de proves i avaluació de seguretat d'Internet de les coses. Creeu un entorn de simulació i verificació de seguretat per a escenaris típics, com ara cases intel·ligents i producció digital, i realitzar auditories de seguretat del codi, exploració de vulnerabilitats d'alt risc, verificació del mecanisme de control d'accés, proves de seguretat de transmissió de dades, avaluacions d'autenticació d'identitat de nodes de xarxa, etc. per a terminals IoT, xarxes, i plataformes de treball, crear capacitats tècniques com ara la mineria de vulnerabilitats, atacs simulats, i recollida d'intel·ligència, dur a terme periòdicament activitats d'avaluació i prova del compliment de la seguretat d'IoT, descobrir els riscos de seguretat de manera oportuna, i promoure empreses relacionades amb IoT per millorar les seves pròpies capacitats de protecció de seguretat.

Com es pot desenvolupar la seguretat IoT en paral·lel a l'era d'Internet of Everything

El quart és reforçar contínuament la innovació col·laborativa de les empreses de seguretat d'Internet de les coses. Centra't en el "mancances de capacitat" i direccions de desenvolupament tecnològic de la seguretat del terminal IoT, seguretat de la xarxa, i seguretat de la plataforma, augmentar la inversió en fons especials de seguretat IoT, dur a terme concursos i conferències d'innovació i emprenedoria en seguretat IoT, integrar els recursos aigües amunt i avall a la indústria, i reunir-se "govern-indústria Conrear i promoure una sèrie de productes i solucions de seguretat IoT, promoure la millora del nivell de protecció de seguretat dels terminals IoT, xarxes, plataformes i dades, i promoure el desenvolupament d'alta qualitat de la indústria de la seguretat IoT.

*Aquest article es va publicar a "Món de la Comunicació"
Assumpte 925 Agost 10, 2023 Assumpte 15
Títol original: "Anàlisi de riscos de seguretat d'IoT i investigació de contramesures a l'era d'Internet of Everything"