从笔记本电脑或手机中不再可以访问互联网。现在是电视机,婴儿监视器,烤箱和汽车的一部分。它越来越嵌入医疗设备和其他关键装置中。互联网无处不在,事情互联网(物联网)是一个趋势将继续发展。

不幸的是,这种技术的增长是在安全问题中同样大的增长匹配。就在上个月的黑色帽子和Defcon安全会议上的多个演示介绍了各种IOT设备中的弱点。虽然有一些额外的关注物联网安全的挑战,如OWASP前10个用于安全保障,但未来仍将成为一个艰难的战斗。

缺乏更新将是IOT的阿基尔斯脚跟

部署安全更新的无效或不存在的计划将是对Internet Internet的安全性的最大障碍。现实是,漏洞不时出现在所有代码中。在整个设计和开发中考虑安全的稳固安全生命周期将略较较少的安全问题。但是,所有软件制造商都必须准备好快速响应漏洞并释放补丁以保护其用户。

我们必须从过去的失败中学习

目前可以通过查看iOS和Android,直接观察差修补计划的影响。这些操作系统都是有很多安全资源的有才华的组织制作的,而且它们的两者都在找到安全问题时快速制作补丁。但是,虽然Apple通过iOS更新将修补程序的分发直接​​向其用户进行了控制,但是对于Android设备的绑定绑定的修补程序必须通过设备制造商和网络运营商的众多延迟跳跃。因此,Android设备可能不会接收数月或数年的关键修补程序。在运行最新的Android版本的Android设备中不到18%,82%的设备缺少密钥安全更新和功能。

今天的激励模型伤害了物联网的补丁

让我们想象一下,您最近购买的互联网连接的烤箱,冰箱或婴儿监视器中发现了安全漏洞。补丁是否会发送以解决问题?让我们查看各方的激励模型,看看这将如何发挥作用。

制造商

顾客

犯罪组织

如果我们评估上述因素,我们会看到互联网连接设备上的修补漏洞将是制造商的非常低的优先级。刑事组织将利用漏洞,这些漏洞在广泛的过时的设备上。如果他们是聪明的话,他们是犯罪组织将在后台运行他们的恶意活动,而不会影响设备的整体性能。这意味着客户不会注意到恶意软件,安全漏洞对客户的意见或审查没有影响。因此,如果设备审查对安全漏洞产生负面影响,则制造商将很少的激励措施修补设备。

物联网漏洞有很多受害者

虽然制造商可能不会急于修复这些缺陷,但仍有很大的伤害将会导致。

支持互联网的设备

客户将失去隐私前线。没有他们的知识,他们将被监控和销售他们的私人数据。随着物联网的扩展,此数据将变得更加个性化,并将包括其房屋,儿童和更多的健康数据,位置和视频流。

在网上的应用程序

互联网上的Web应用程序也会有风险。易受攻击的Internet的设备将受到损害并添加到恶意僵尸网络中。这些受损的设备将发送垃圾邮件,参与拒绝服务攻击,甚至收获和测试跨网络的被盗凭据。针对目标的受害者网站将是无关的网站和Web应用程序,现在不仅必须防御恶意攻击者,而且不仅可以抵御恶意攻击者,而且是从事互联网的妥协设备的不断扩展的僵尸网络。

有效的补丁部署是一个大问题

绝大多数设备黑客将不会受到忽视,而不会影响设备所有者。然而,一些漏洞将被发现,并且公众将需要修补程序。但这会怎么发挥作用?

在这些情况下,制造商可能会争抢发出补丁。但那是什么?修补程序实际上是如何交付给设备的?所有客户是否会被要求重新启动烤箱,汽车或起搏器并通过更新过程导航?或者更新的软件只能在下一次发布物理产品中提供吗?这将意味着客户将被淘汰,直到他们购买了一个新的烤面包机,婴儿监视器等。不幸的是,我们目前与IOT的挑战之一是,即使发出补丁,也没有有效的渠道来达到大多数设备及时的时尚。

我们怎样才能做得更好?

情况有两种情况会变得更好。

首先,我们需要作为消费者改变激励模型,因此制造商倾向于迅速补丁漏洞。这可以通过通过负责任的披露来通过IOT安全性缺点的广泛出版来实现。它也可以通过清除物联网安全弱点数据来实现。重复违法者应持有责任,消费者应该用钱包投票。我们还应促进积极的安全方法,可以帮助构建强大和安全的支持互联网的设备。

其次,必须为其产品中不可避免的安全漏洞准备IOT设备的制造商。他们必须考虑设计和实施期间的安全性,以避免明显的安全弱点。但它们还必须在可用的修补模型中构建,因此在需要关键安全补丁时可以升级设备。这也需要对用户和一种方法达到非常高的设备的方法。

事情互联网将迅速包围我们的生活方式。如果我们从互联网和计算机安全的最后几十年中学到了任何东西,那么我们应该在我们的安全规划中积极主动。我们无法规划每个新的漏洞或弱点。但是,我们必须设计支持可互联网的设备,以便以较大的保护用户,数据和Web的名称快速部署新代码。否则,事情互联网可能会变成僵尸网络互联网。