据该研究人员介绍,与产品相关的所有元素建立有效的测试流程是确保物联网的关键
“最重要的一点是,当我们考虑物联网的安全性时,我们不要过分关注嵌入式技术硬件,这是研究人员,测试人员,公司和客户倾向于做的事情。”他告诉“计算机周刊”。
“包括产品的整个生态系统很重要。当我们考虑整体安全模型和产品的风险时,需要考虑制定IoT解决方案工作的所有部分,而不仅仅是设备硬件。“
这些元素通常包括诸如网络通信,射频通信,云API(应用程序接口),移动应用,云服务以及在移动和基于云的IoT系统中发现的命令和控制应用程序。
据Heiland介绍,构成物联网系统的这些元素中的每一个元素都有问题,但它们通常处于不同的严重程度。
Heiland说,设备制造商是在进入市场之前进行安全测试流程来评估产品和服务的最明显的组织,这可以缓解“大量的风险”。
制造商需要确保他们有有效的修补或软件更新机制和流程,所以问题可以在出现时被修复。
Heiland表示:“脆弱性永远不会消失,但像微软一样,这个问题可以通过有效的修补过程来大大降低风险,消费者,组织和个人都应该期望和制造商的需求。” 。
“在组织承诺使用特定设备和服务之前,他们应该要求证明产品已进行安全测试,以避免组织面临不必要的风险。
“在大型实施项目上开展工作的大型组织也应该确保他们有一个有效的测试过程,有些已经在采用这种方法。”
发现的安全问题
Heiland与几家组织合作测试了物联网系统,并帮助他们与制造商合作解决和披露发现的安全问题。
一个例子就是一个GPS样式的追踪装置,让父母在失踪时找到自己的孩子。
Heiland说:“绑定到这个产品中的云API有更多的安全问题,”他说,这意味着全部陌生人可以访问设备上的所有GPS跟踪数据,与设备相关的电话号码,其他联系信息,甚至是国际移动设备身份(IMEI)设备数量。
由于通过API从设备到关联的Web界面的通信安全性差,任何拥有系统帐户的人也可以访问其他帐户并更改或重新配置设备。
Heiland表示:“云API和网络服务遭遇了许多安全漏洞,几乎允许任何人访问数据,任何人都可以使用帐户来更改数据。”
虽然小型公司不太可能拥有进行安全测试所需的技能,但他表示,只要知道与物联网系统的所有组件相关的潜在风险,可以帮助他们以更安全的方式实施物联网系统。
Heiland说:“通过考虑构成生态系统的部分,小型公司可以通过遵循最佳实践并强制具体的政策和流程来确定适当的方式来减轻其特定环境的风险,”他补充说,有一个漏洞。
为了开展有效的测试过程,组织必须首先了解典型的物联网生态系统的结构,了解物联网系统的一般测试方法,并熟悉物联网系统中的常见漏洞。
虽然海南认为有效的安全测试过程是至关重要的,应该尽快实施,但他也认为物联网周围的安全恐惧已经被夸大了。
“在短期内,有些人认为生命和肢体的风险肯定是巨大的,但随着物联网系统变得越来越普遍,特别是在医疗保健和私人车辆方面,我们需要加强我们对安全的了解。”他说。
Heiland将目前在物联网系统中发现的许多安全问题描述为与任何新技术相关的“典型的成长痛苦”。
然而,与物联网的巨大差异在于,涉及的数量比以往任何时候都大得多。预计随着时间的推移,物联网设备和系统的数量将迅速增长,物联网很可能在不久的将来几乎处于生活的各个方面。
Heiland说:“存在安全挑战,就像任何技术一样,但并不是世界的尽头,因为在这个行业正在开展工作的角落里有解决方案。”
有效的修补机制
他认为有效的补丁机制和流程可能是解决物联网系统中许多安全风险的最佳和最快捷的方式,特别是一旦系统得到实施。
他说:“我和其他人发现的大多数漏洞都是几乎相同的模式。” “他们通常可以很容易解决的问题,应该在测试中得到回应,以至于它们从未在市场上首先出现。”