Создаем ли мы небезопасный Интернет вещей (IoT)? Проблемы и проблемы безопасности

Опубликовано: 2022-03-11

Интернет вещей (IoT) был модным словечком в отрасли в течение многих лет, но вялое развитие и ограниченная коммерциализация привели к тому, что некоторые отраслевые обозреватели начали называть его «Интернетом без вещей».

Двойной каламбур в сторону, развитие IoT находится в беде. Помимо порождения гиковских шуток, не подходящих для большинства социальных мероприятий, шумиха не помогла; и, на самом деле, я считаю, что на самом деле это принесло гораздо больше вреда, чем пользы. Есть несколько проблем с IoT, но все положительное освещение и беспочвенная шумиха — это то, без чего мы могли бы обойтись. Положительная сторона привлечения большего внимания очевидна: больше инвестиций, больше венчурного финансирования, больше потребительского интереса.

безопасность и интернет вещей

Тем не менее, они поставляются с дополнительным уровнем проверки, что сделало ряд недостатков до боли очевидными. После пары лет оптимистичных прогнозов и больших обещаний безопасность IoT, похоже, вызывает наибольшую озабоченность. Первые несколько недель 2015 года не были благоприятны для этой развивающейся отрасли, и большая часть негативной прессы была связана с безопасностью.

Было ли это оправдано? Были ли это просто «страх, неуверенность и сомнение» (FUD), вызванные годами ажиотажа? Это было и то, и другое; хотя некоторые проблемы, возможно, были преувеличены, проблемы действительно очень реальны.

От «Года Интернета вещей» до Annus Horribilis для Интернета вещей

Многие комментаторы назвали 2015 год «годом Интернета вещей», но до сих пор это был год негативных отзывов в прессе. Конечно, впереди еще десять месяцев, но негативные сообщения продолжают накапливаться. Охранная фирма «Лаборатория Касперского» недавно провела осуждающую критику проблем безопасности IoT с нелестным заголовком « Интернет дрянных вещей ».

Касперскому не привыкать к критике и спорам об IoT; фирма уже некоторое время бьет тревогу, подкрепляя ее примерами взлома умных домов, автомоек и даже полицейских систем наблюдения. Независимо от того, хочет ли хакер бесплатно помыть свою машину или преследовать кого-то с помощью своего фитнес-трекера, недостатки безопасности IoT могут сделать это возможным.

В январе 2015 года Wind River опубликовала информационный документ по безопасности IoT, и отчет начинается с отрезвляющего введения. Он называется «В поисках серебряной пули » и суммирует проблему всего в трех абзацах, которые я сведу к нескольким пунктам:

  • Безопасность должна быть основополагающим фактором для IoT.
  • В настоящее время нет единого мнения о том, как реализовать безопасность в IoT на устройстве.
  • Распространенное и нереалистичное ожидание состоит в том, что каким-то образом можно сжать 25-летнюю эволюцию безопасности в новые устройства IoT.
  • Не существует серебряной пули, которая могла бы эффективно смягчить угрозы.

Однако есть и хорошие новости; знания и опыт уже здесь, но их необходимо адаптировать, чтобы они соответствовали уникальным ограничениям устройств IoT.

К сожалению, именно здесь мы, как разработчики системной безопасности, сталкиваемся с другой проблемой, аппаратной проблемой.

Председатель Федеральной торговой комиссии США Эдит Рамирес выступила на выставке Consumer Electronics Show в Лас-Вегасе ранее в этом году, предупредив, что встраивание датчиков в повседневные устройства и предоставление им возможности записывать то, что мы делаем, может представлять серьезную угрозу безопасности.

Рамирес обозначил три ключевые задачи для будущего IoT:

  • Повсеместный сбор данных.
  • Возможность неожиданного использования потребительских данных.
  • Повышенные риски безопасности.

Она призвала компании повысить конфиденциальность и создать безопасные устройства IoT, приняв подход, ориентированный на безопасность, сократив объем данных, собираемых устройствами IoT, а также повысив прозрачность и предоставив потребителям возможность отказаться от сбора данных.

Далее Рамирес сказал, что разработчики устройств IoT не тратили время на размышления о том, как защитить свои устройства и услуги от кибератак.

«Небольшой размер и ограниченная вычислительная мощность многих подключенных устройств могут препятствовать шифрованию и другим надежным мерам безопасности», — сказал Рамирес. «Более того, некоторые подключенные устройства недороги и по сути являются одноразовыми. Если на устройстве такого типа будет обнаружена уязвимость, может быть сложно обновить программное обеспечение или применить исправление — или даже сообщить потребителям новости об исправлении».

Хотя Рамирес во многих отношениях прав, я должен отметить, что Интернет прошел через аналогичную фазу два десятилетия назад. Было много проблем с безопасностью, и в девяностые годы появилось вредоносное ПО в Интернете, DDoS-атаки, изощренный фишинг и многое другое. Несмотря на то, что Голливуд изображал антиутопическое будущее в некоторых фильмах, в итоге мы сталкивались с котятами в социальных сетях и громкими нарушениями безопасности то здесь, то там.

Интернет по-прежнему небезопасен, поэтому мы также не можем ожидать, что IoT будет безопасным. Тем не менее, безопасность постоянно развивается, чтобы отвечать на новые вызовы, мы видели это раньше и увидим снова, с IoT и последующими подключенными технологиями.

Оборудование IoT есть и останется проблемой

Некоторые из вас будут думать, что проблемы с оборудованием, упомянутые боссом FTC, будут решены; да, некоторые из них, вероятно, будут.

По мере роста рынка IoT мы будем видеть больше инвестиций, а по мере усовершенствования оборудования мы будем улучшать безопасность. Производители микросхем, такие как Intel и ARM, будут стремиться предлагать лучшую безопасность с каждым новым поколением, поскольку безопасность может стать отличительной чертой рынка, позволяющей им добиваться большего количества побед в дизайне и увеличивать свою долю.

Технологии всегда развиваются, так почему бы и нет? Новые производственные процессы обычно приводят к появлению более быстрых и эффективных процессоров, и рано или поздно этот разрыв сократится, что предоставит разработчикам достаточную вычислительную мощность для реализации более эффективных функций безопасности. Однако я не уверен, что это реалистичный сценарий.

небезопасный iot

Прежде всего, чипы IoT не принесут больших доходов, поскольку они крошечные и обычно основаны на устаревших архитектурах. Например, платформа Intel Edison первого поколения основана на процессорах Quark, которые, по сути, используют тот же набор инструкций ЦП и большую часть конструкции древнего Pentium P54C. Однако микрокомпьютер Edison следующего поколения базируется на гораздо более быстром процессоре, основанном на ядрах Atom Silvermont, который сегодня есть во многих планшетах Windows и Android. (В 2014 году Intel поставила около 46 млн SoC Bay Trail.)

На первый взгляд, мы могли бы получить относительно современные 64-битные процессорные ядра x86 в устройствах IoT, но они не будут дешевыми, они все равно будут значительно сложнее, чем самые маленькие ядра ARM, и поэтому им потребуется больше батареи. власть.

Дешевые и одноразовые носимые устройства, которые, по-видимому, вызывают наибольшую озабоченность FTC, не будут питаться от таких чипов, по крайней мере, в ближайшее время. Потребители могут получить более мощные процессоры, такие как Intel Atom или чипы ARMv8, в некоторых интеллектуальных продуктах, таких как интеллектуальные холодильники или стиральные машины с сенсорными экранами, но они непрактичны для одноразовых устройств без дисплеев и с ограниченной емкостью батареи.

Продажа полных платформ или эталонных проектов для различных устройств IoT может помочь производителям микросхем увеличить доход, в то же время внеся больше стандартизации и безопасности. Последнее, что нужно отрасли, — это больше нестандартизированных устройств и большая фрагментация. Это может показаться логичным и разумным подходом, поскольку у разработчиков будет меньше платформ и больше ресурсов будет выделено для безопасности, однако нарушения безопасности также затронут большее количество устройств.

Деньги текут рекой, аналитики настроены оптимистично, что может пойти не так?

Один из наиболее распространенных способов решения любой проблемы в технологической отрасли — просто вложить в нее деньги. Итак, давайте посмотрим, где мы сейчас находимся с точки зрения финансирования, а не технологий.

По данным исследовательских фирм IDC и Gartner, к концу десятилетия IoT будет расти до такой степени, что изменит индустрию центров обработки данных. Gartner ожидает, что к 2020 году на рынке IoT будет установлено 26 миллиардов устройств, что создаст огромные возможности для всех сторон, от центров обработки данных и производителей оборудования до разработчиков и проектировщиков. IDC также ожидает, что к концу десятилетия индустрия IoT будет иметь «миллиарды устройств и триллионы долларов».

Последний прогноз рынка IoT от Gartner, опубликованный в мае 2014 года, также включает в себя список потенциальных проблем, некоторые из которых я уже рассмотрел:

  • Безопасность: повышенная автоматизация и оцифровка создают новые проблемы безопасности.
  • Предприятие: Проблемы с безопасностью могут представлять угрозу безопасности.
  • Конфиденциальность потребителей: возможность нарушения конфиденциальности.
  • Данные: будет создано много данных, как для больших данных, так и для личных данных.
  • Управление хранением данных. Отрасли необходимо выяснить, что делать с данными экономически эффективным способом.
  • Серверные технологии: потребуются дополнительные инвестиции в серверы.
  • Сеть центра обработки данных: каналы WAN оптимизированы для приложений с интерфейсом пользователя, ожидается, что IoT кардинально изменит шаблоны за счет автоматической передачи данных.

Все эти моменты (и многие другие) рано или поздно необходимо решать, часто с существенными затратами. Мы уже не говорим о крошечных чипах IoT и дешевых игрушках на основе таких чипов, это инфраструктура. Это много кремния в серверных процессорах, дорогая оперативная память DDR4 ECC и еще более крупные твердотельные накопители, размещенные на дорогих серверах в еще более крупных центрах обработки данных.

Это только верхушка айсберга; отрасль должна решать проблемы пропускной способности, политики управления данными и конфиденциальности, а также безопасности. Итак, сколько денег остается на безопасность, которая находится в верхней части списка проблем IoT, составленного Gartner?

В отрасль уже вливается много денег, к ней присоединяются венчурные капиталисты, и темпы инвестиций, похоже, набирают обороты. Был также ряд приобретений, часто с участием крупных игроков, таких как Google, Qualcomm, Samsung, Gemalto, Intel и других. На Postscapes есть список инвестиций, связанных с IoT. Проблема многих из этих инвестиций, особенно тех, которые исходят от венчурных капиталистов, заключается в том, что они, как правило, сосредоточены на «блестящих» вещах, устройствах, которые могут быть проданы в ближайшее время, с потенциально впечатляющей рентабельностью инвестиций. Эти инвестиции мало что дают для безопасности или инфраструктуры, которые в основном должны следовать за спросом на IoT.

Тяжелую работу должны будут делать крупные игроки, а не стартапы и производители игрушек, поддерживаемые венчурным капиталом. Гибкие и инновационные стартапы, безусловно, будут играть большую роль, стимулируя принятие и создавая спрос, но они не могут делать все.

Итак, давайте подумаем об этом так: даже небольшая компания может построить автомобиль или десятки тысяч автомобилей, но она не может построить шоссе, дороги, заправочные станции и нефтеперерабатывающие заводы. Эта же небольшая компания может построить безопасный автомобиль, используя готовые технологии, отвечающие основным стандартам безопасности дорожного движения, но она не может построить автомобиль типа Segway, который бы соответствовал тем же стандартам безопасности, как и никто другой. Стандарты автомобильной безопасности никогда не могут применяться к таким транспортным средствам, мы не видим, чтобы люди добирались до работы на сегвеях, поэтому мы не можем ожидать, что традиционный стандарт технической безопасности будет применяться к устройствам IoT с недостаточной мощностью.

То, что пассажиры проверяют свою электронную почту или играют в Candy Crush во время езды на сегвеях в час пик, звучит не очень безопасно, не так ли? Так почему же мы должны ожидать, что устройства IoT будут такими же безопасными, как и другие подключенные устройства, с гораздо более мощным оборудованием и зрелыми операционными системами? Это может быть странная аналогия, но суть в том, что нельзя ожидать, что устройства IoT будут соответствовать тем же стандартам безопасности, что и полноценные компьютеры.

Но подождите, было не так много фиаско безопасности IoT…

Правда, мы не видим много заголовков о впечатляющих нарушениях безопасности IoT, но позвольте мне сказать так: сколько заголовков, связанных с безопасностью, вы видели об Android Wear? Один? Два? Никто? По оценкам, в дикой природе существует менее миллиона устройств Android Wear, поэтому они просто не являются главной целью для хакеров или объектом для исследователей безопасности.

Сколько устройств IoT у вас есть и вы используете прямо сейчас? Сколько использует ваш бизнес? Вот откуда взялась шутка про «Интернет ничего», у большинства людей его нет. Цифры продолжают расти, но средний потребитель не покупает много, так откуда же берется этот рост? Устройства Интернета вещей уже существуют, и их количество стремительно растет, что обусловлено скорее корпоративным, чем потребительским рынком.

По оценкам Verizon и ABI Research, в прошлом году к Интернету было подключено 1,2 миллиарда различных устройств, но к 2020 году они ожидают до 5,4 миллиарда подключений B2B IoT.

Смарт-браслеты, тостеры и ошейники для собак не представляют серьезной проблемы с точки зрения безопасности, но последний отчет Verizon по IoT фокусируется на чем-то более интересном: на предприятии.

Количество межмашинных соединений Verizon (M2M) в производственном секторе увеличилось на 204 процента с 2013 по 2014 год, за ними следуют финансы и страхование, СМИ и развлечения, здравоохранение, розничная торговля и транспорт. Отчет Verizon включает разбивку тенденций IoT в различных отраслях, поэтому он дает представление о деловой стороне вещей.

Общий тон отчета оптимистичен, но в нем также указан ряд проблем безопасности. Verizon описывает нарушения безопасности в энергетической отрасли как «немыслимые», описывает безопасность IoT как «первостепенную» в производстве, и давайте даже не будем упоминать о потенциальных рисках в здравоохранении и транспорте.

Как и когда мы получим безопасный Интернет вещей?

Я не буду пытаться дать окончательный ответ о том, как можно решить проблемы безопасности IoT или когда. Промышленность все еще ищет ответы, и впереди еще долгий путь. Недавние исследования показывают, что большинство доступных в настоящее время IoT-устройств имеют уязвимости в системе безопасности. HP обнаружила, что 70% устройств IoT уязвимы для атак.

Хотя рост открывает множество возможностей, IoT все еще не является зрелым или безопасным. Добавление миллионов новых устройств, аппаратных конечных точек, миллиардов строк кода, а также создание дополнительной инфраструктуры для обработки нагрузки создает огромный набор проблем, не имеющих себе равных ни в чем, с чем мы сталкивались за последние два десятилетия.

Вот почему я не оптимист.

Я не верю, что индустрия сможет применить много уроков безопасности к IoT, по крайней мере, достаточно быстро, не в течение следующих нескольких лет. На мой взгляд, аналогия с Интернетом ошибочна просто потому, что Интернету девяностых не приходилось иметь дело с такими совершенно разными типами оборудования. Использование шифрования и трата тактов на безопасность не является проблемой для больших процессоров x86 или ARM SoC, но это не будет работать так же с крошечными устройствами IoT с небольшой вычислительной мощностью и совершенно другим диапазоном энергопотребления.

Более сложные процессоры с большим кристаллом нуждаются в большей упаковке и должны рассеивать больше тепла. Им также нужно больше энергии, а это значит, что батареи крупнее, тяжелее и дороже. Чтобы снизить вес и уменьшить габариты, производителям пришлось бы прибегнуть к использованию экзотических материалов и технологий производства. Все вышеперечисленное повлечет за собой увеличение расходов на НИОКР, увеличение времени выхода на рынок и увеличение списка материалов. При существенно более высоких ценах и премиальной сборке такие устройства вряд ли можно считать одноразовыми.

Интернет вещей - iot

Итак, что нужно сделать, чтобы сделать IoT безопасным? Много. И каждый должен сыграть свою роль, от технологических гигантов до отдельных разработчиков.

Давайте рассмотрим несколько основных моментов, например, что можно сделать и что делается для повышения безопасности IoT уже сейчас:

  • Подчеркните безопасность с первого дня
  • Жизненный цикл, перспектива, обновления
  • Контроль доступа и аутентификация устройства
  • Знай своего врага
  • Будьте готовы к нарушениям безопасности

Четкий акцент на безопасности с первого дня — это всегда хорошо, особенно при работе с незрелыми технологиями и слаборазвитыми рынками. Если вы планируете разработать собственную инфраструктуру IoT или развернуть существующее решение, проведите исследование и будьте как можно более информированными. Это может включать в себя компромиссы, поскольку вам может быть предоставлен выбор повышения безопасности за счет нарушения взаимодействия с пользователем, но это того стоит, если вы соблюдаете правильный баланс. Это невозможно сделать на лету, вы должны планировать заранее, и планировать хорошо.

В спешке с выводом на рынок новых продуктов и услуг многие компании, скорее всего, упустят из виду долгосрочную поддержку. Это происходит постоянно, даже в высшей лиге, поэтому в итоге мы всегда получаем миллионы незащищенных компьютеров и мобильных устройств без исправлений. Они просто слишком стары для большинства компаний, и с одноразовыми IoT-устройствами дело обстоит еще хуже. Крупные поставщики телефонов не обновляют свое программное обеспечение на телефонах, которым 2-3 года, поэтому представьте, что произойдет с IoT-устройствами за 20 долларов, которые могут находиться в вашей сети годами. Запланированное устаревание может быть частью этого, но правда в том, что обновление старых устройств не имеет большого финансового смысла для производителя, поскольку у них есть более полезные способы использования своих ресурсов. Защищенные устройства IoT должны быть либо защищены по своей конструкции и непроницаемы с самого начала, либо получать жизненно важные обновления на протяжении всего жизненного цикла, и я уверен, вы согласитесь, что ни один из вариантов не кажется реалистичным, по крайней мере, пока.

Внедрение безопасного контроля доступа и аутентификации устройства кажется очевидным, но мы не имеем здесь дело с обычным подключенным устройством. Создание элементов управления доступом и методов аутентификации, которые можно реализовать на дешевых и компактных устройствах IoT без ущерба для удобства пользователей или добавления ненужного оборудования, сложнее, чем кажется. Как я упоминал ранее, еще одной проблемой является нехватка вычислительной мощности, поскольку самые передовые методы шифрования просто не будут работать очень хорошо, если вообще будут работать. В предыдущем посте я рассмотрел одну альтернативу — аутсорсинг шифрования с помощью технологии блокчейна; Я имею в виду не биткойн-блокчейн, а аналогичные криптотехнологии, которые уже изучаются несколькими лидерами отрасли.

Si vis Pacem, para bellum – Хочешь мира – готовься к войне. Крайне важно изучить угрозы и потенциальных злоумышленников, прежде чем заняться безопасностью IoT. Уровень угрозы не одинаков для всех устройств, и необходимо учитывать множество соображений; кто-то предпочел бы взломать плюшевого мишку вашей дочери или что-то более серьезное? Необходимо снизить риск данных, хранить как можно больше личных данных с устройств IoT, должным образом защищать необходимые передачи данных и т. д. Однако чтобы все это сделать, сначала нужно изучить угрозу.

Если ничего не помогает, по крайней мере, будьте готовы к потенциальным нарушениям безопасности. Рано или поздно они произойдут, с вами или с кем-то еще (ну, желательно с конкурентом). Всегда имейте стратегию выхода, способ защитить как можно больше данных и сделать скомпрометированные данные бесполезными, не разрушая вашу инфраструктуру IoT. Также необходимо информировать клиентов, сотрудников и всех остальных участников процесса о рисках таких нарушений. Проинструктируйте их, что делать в случае нарушения и что делать, чтобы его избежать.

Конечно, хороший отказ от ответственности и TOS также помогут, если вы в конечном итоге столкнетесь с наихудшим сценарием.