物聯網安全只有最薄弱的環節才有保障

Podcast: IoT Security is only as good as its weakest link

在新產品開發中提供有效的物聯網（IoT）安全性不僅涉及硬件設計，還需要對設備在整個產品生命周期中可能遇到的風險和漏洞進行建模，直至過時。

在播客，embedded edge with Nitin中，探討了有關實現安全性、理解安全性、脆弱性、威脅建模以及產品開發中物聯網安全規劃的整體生態系統方法。也在互聯醫療設備安全的背景下看待這一點。

在這個人人都想把設備連接到監控系統、收集數據并利用這些信息做些事情的世界里，存在著許多挑戰。如果系統受到黑客攻擊或通過無線方式更新可能會危害系統、竊取數據或對其做一些邪惡的事情，會發生什么情況。如果壞人通過互聯網絡控制了局面并帶來了世界末日呢？

問題是，芯片開發的重點是獲得最小的硅尺寸、最低的功耗和最低的成本。經常被告知，給設備增加安全性只會增加成本，毫無意義。當然，直到系統被破壞。

通常被稱為“通過設計實現安全”的開發，大多數安全專家都主張在設計階段解決產品的安全問題被證明可以確保更低的成本，并且比在部署產品或發生安全漏洞后嘗試安裝安全性所需的努力要少。未來規劃需要與業務模型、責任水平和風險管理相關的決策，以及預期的技術考慮因素，如架構、設計特性、實現、測試、配置和維護。

在播客中，將與物聯網安全基金會（IoT Security Foundation）常務董事約翰·穆爾（John Moor）、硅谷實驗室首席安全官莎倫·哈吉（Sharon Hagi）和硅谷實驗室消費者業務營銷總監艾曼紐爾·桑布伊斯（Emmanuel Sambuis）交談。

Moor向介紹了2015年IoT安全基金會（IoTSF）成立的背景，以及其在為行業提供物聯網安全宣傳和框架方面的作用如何演變。告訴，“很快就發現，it（物聯網安全）幾乎支撐了所知道的每一個工業部門的所有信息，無論是消費者、工業部門、交通、醫療保健、娛樂，能說的都是。這將發揮重要作用?！?/p>

說IoTSF有三個基本價值觀：安全第一、目標的適用性和適應力。彈性方面是最重要的，因為安全是一場“流動的盛宴”。“產品一旦出廠出廠，就必須在運行過程中進行維護。這是因為現在的產品非常復雜，而系統又是如此復雜，所以在產品的使用壽命期間，漏洞就會出現。正因為如此，安全性需要在現場進行修復。”補充道，“能做的最明顯的事情就是確保有可以進行安全更新的流程。但這本身就成了攻擊的媒介。因此，必須在執行更新等操作時考慮安全性。”

穆爾還表示，物聯網安全監管即將出臺，因此設計師不需要等待，現在就可以計劃。還描述了基金會脆弱性披露報告的背景。

同時，Silicon Labs的Sharon Hagi解釋了將硅安全地運到云端的現實，以及工程技術人員需要如何全面看待物聯網生態系統，而不僅僅是設備。解釋說，“在安全方面，經常使用一個原則。也就是說，安全真的只和最薄弱的環節一樣好。對手總是傾向于設計中最薄弱的環節，并利用這一環節實質上破壞或擊敗網絡或系統。所以作為防守隊員，真的希望能減少或減少系統的弱點。這意味著到處尋找薄弱環節。確保通過適當的控制和機制解決這些問題?！?/p>

以醫療器械為例：“需要考慮如何保護真正的醫療器械，例如胰島素泵，不被病人附近的攻擊者破壞。也許連接到同一個無線網絡，也許是Wi-Fi網絡，也許是某種簡單的連接？或者說，不能通過網絡來確保攻擊者與設備的物理聯系？是否可以占有設備，以某種方式修改，篡改電子設備，然后在不知情的情況下將其歸還給患者，從而造成傷害。有沒有辦法讓攻擊者截獲與移動設備的通信并對其進行篡改？有沒有一種方法可以讓數據在傳送到負責收集遙測數據的云應用程序的途中被修改或竊聽？”

為了在物聯網設備中建立安全性，這種級別的威脅建模將是必不可少的。

接著，Emmanuel Sambuis接著解釋了醫療設備的相關法規，特別是Silicon Labs正在與DTSec合作的工作，DTSec是糖尿病技術協會的一個研究糖尿病聯網設備網絡安全標準的組織。Sambuis說，“其中一個關鍵的要求是通過空中傳送（OTA）更新或者能夠遠程升級這些醫療產品的內容。這可以在后臺完成，在稱之為“安全保險庫”的內部，即執行“信任的安全根源”的能力，當然，還有BLE連接，因為是通過空中傳送的。”

總結

以上是生活随笔為你收集整理的物联网安全只有最薄弱的环节才有保障的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。