有人擔心物聯網引申新一輪資料外泄風暴,新增的設備并不是傳統個人計算機或智能裝置般具有一定防護功能,可能意味著為攻擊者提供更多潛在切入點來入侵企業。
很多這些設備都屬于嵌入式系統范疇,該領域的專家擔心,從嵌入式技術令人擔憂的歷史來看,這種技術可能給企業帶來最嚴重的安全風險。
物聯網令Stuxnet惡夢隨時翻生傳統嵌入式設備包含很小的芯片組,并通常有「精簡版」的Linux操作系統。
日常見的嵌入式設備例子有USB閃儲記憶裝置,而令伊朗核電廠受感染的Stuxnet正是利用USB記憶裝置潛入內部系統。其他諸如聯網打印機,甚至還有現在的硬盤驅動器固件與Equation間諜軟件就有密切關系。物聯網的出現讓該類別的設備正迅速增加,將網絡功能擴展到廣泛的設備中,這些設備以前從沒有過這種功能,例如恒溫器和雪柜等辦公設備。這樣一來,企業可能很快就會發現他們網絡中出現更多新的攻擊點,令企業資料在危機之下,專家并不確定這些新一代嵌入式設備是否已經解決了傳統的安全漏洞。
更新慢成最大隱憂嵌入式系統歷來都會使用大量專有組件,并沒有與其他系統共享太多共同電路,這意味著當發現漏洞時,由于成本或資源限制,漏洞不太可能得到修復。
現代嵌入式系統開始與其他流行移動設備共享一些相同的內部系統組件(例如ARM芯片),但嵌入式設備通常必須在幾年甚至幾十年受到支持,這又會導致一些新的問題。手機更新迅速,但嵌入式系統應用周期會較長,手機快速迭代的過程并沒有出現在持續使用10年到20年的嵌入式設備中,調試這些設備的團隊會繼續向前發展,所以安全過程很有限。除了嵌入式系統需要的支持水平,即使有可用的軟件更新,企業可能都會忽視這些設備,例如打印機或者智能溫控器這些被認為很低生產價值的東西,管理層愿意花多少成本來確保其安全性?最常被忽略的嵌入式威脅之一是VoIP會議電話和其他有錄音設備,因為可以在不被察覺的情況下打開來記錄敏感信息。物聯網的普及意味著企業將面對更廣泛類型設備帶來的安全問題,可穿戴設備和其他設備都可能會進入企業網絡,而且通常它們沒有內置安全控制。
智慧空調或咖啡機等設備將為企業及家居帶來新風險,這些設備的支持責任可能很模糊,因為它們可能屬于物業管理者,而不在企業IT部門的職權范圍。統一安全設計專家指出目前還不知道在長期來看新的嵌入式設備是否將比過去得到更好的支持,但保護嵌入式設備的關鍵是在一開始就安全地設計設備。
企業必須在一開始設計硬件和固件時,就確保它們可以防止惡意軟件訪問或物理篡改,硬件可以在現場進行升級來修復漏洞和安全漏洞,這非常常見,但在你進行這個過程時如果沒有全面思考,你將制造更多問題。安全的設計包括防止對設備的物理篡改、加密以及硬件數字簽名。這些硬件不僅在安裝之前會檢查安全性,在第一次運行之前也會進行檢查。
但這可能很困難,所以企業可能需要改變嵌入式設備政策。從企業的角度來看,這是關于允許什么連接到網絡,使用端點保護來阻止除白名單產品以外的設備,這應該會讓企業非常嚴格地明確哪些可以連接到網絡,我認為我們將會看到企業開始限定允許聯網的設備。
Wind River Systems公司物聯網解決方案高級主管Alexander Damisch同意這種說法。Damisch建議企業安全地設計自己的基礎設施,這可能包括在發送或接收企業網絡的數據之前對設備進行身份驗證;因為很難檢測嵌入式固件中的惡意軟件,監控流量是關鍵。這就是說,企業需要在一定程度上管理個人設備,這是使用者不喜歡的事情,但另一種選擇是,讓用戶根本就沒有訪問權限。最關鍵的不是阻止個人設備,而是讓用戶知道系統被設計成這樣,這可以幫助員工更容易地接受這種做法。
對網關背后或虛擬系統中的易受攻擊嵌入式系統進行隔離,這通常是更具成本效益的做法,并允許更新網關規則來阻止新的威脅,畢竟嵌入式系統可能會變化,因為它們沒有被設計為經常更新。找到安全薄弱的地方,然后把它放在虛擬系統,或者在前面部署網關,從而監控和加密其中的所有流量,安全應該是從開發過程就開始考慮的因素。
-
嵌入式系統
+關注
關注
41文章
3587瀏覽量
129436 -
物聯網
+關注
關注
2909文章
44561瀏覽量
372800
原文標題:物聯網嵌入式系統居安思危
文章出處:【微信號:iot12345,微信公眾號:物聯之家網】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論