- Reptes per assegurar l’Internet de les coses
- Què han de fer els usuaris per protegir els dispositius IoT?
- Estratègies de seguretat de l’IoT
- Funcions de seguretat de dispositius IoT
Internet de les coses (IoT) és un terme que descriu milions de dispositius equipats amb sensors i connectats per Internet. La revolució IoT ha creat una revolució de l’estil de vida que proporciona comoditat. És a causa de l’IdT que tenim ciutats intel·ligents, tecnologia portable, cotxes sense conductor, electrodomèstics intel·ligents, dispositius mèdics intel·ligents, entre molts altres dispositius intel·ligents. Segons Gartner, 20.000 milions de dispositius estaran interconnectats el 2020. Però, malgrat els immensos avantatges que aporta IoT, l’augment de la interconnexió comporta molts riscos de ciberseguretat. L’augment de la demanda de dispositius IoT i la cerca de comoditat han deixat la privadesa i la seguretat de les dades com a segona prioritat. La seguretat dels dispositius IoT requereix l’entrada d’usuaris, fabricants de dispositius i agències reguladores governamentals.
Abans d’explorar els riscos associats a la tecnologia IoT, també podeu consultar diversos articles d’IoT útils:
- Les principals plataformes de maquinari per a Internet de les coses (IoT)
- Selecció de la plataforma adequada per a la vostra solució IoT
- Les principals plataformes IoT de codi obert per reduir el cost de desenvolupament de l'IoT
I per començar a construir algunes aplicacions Iot del món real, hi ha molts projectes basats en IoT que utilitzen Arduino, Raspberry Pi, ESP8266 i altres plataformes.
Reptes per assegurar l’Internet de les coses
La reproducció de dispositius és un repte important a l’hora de protegir dispositius IoT. Un cop es fabrica un dispositiu IoT, es reprodueix i es produeix en sèrie. La replicació significa que, si s’identifica una vulnerabilitat de seguretat en un dels dispositius, es poden aprofitar la resta de dispositius. Això fa que les incidències de ciberseguretat de l’IoT siguin catastròfiques. El 2016, Hangzhou Xiongmai Technology; una empresa xinesa es va veure obligada a recordar milions de dispositius de vigilància després que una vulnerabilitat de seguretat causés un atac als servidors de Dyn que contenen Twitter i Netflix.
Negligència per part dels enginyers de seguretat. La majoria de la gent creu que els pirates informàtics no s’orienten als sistemes incrustats. La ciberseguretat es percep com un problema per a les grans empreses. Com a resultat, els detalls de seguretat no són una prioritat quan es tracta de fabricar dispositius fa uns anys. No obstant això, els desenvolupaments recents indiquen que els fabricants de dispositius prioritzen la seguretat en el cicle de vida de la fabricació de dispositius IoT.
Els dispositius IoT no es pedaquen fàcilment. Els dispositius IoT es publiquen en milions i, a mesura que els consumidors s’afanyen a comprar aquests dispositius, molt pocs clients segueixen els fabricants de dispositius per instal·lar actualitzacions de programari. A més, bona part d’aquests dispositius utilitzen programari específic per a dispositius amb baixa usabilitat, cosa que dificulta l’actualització del programari sense un expert.
Els dispositius IoT utilitzen protocols industrials específics que altres no són compatibles ni són compatibles amb les eines de seguretat empresarials existents. Com a resultat, les eines de seguretat empresarial com els tallafocs i els IDS no protegeixen aquests protocols específics industrials. A causa de la interconnexió d’aquests dispositius, un compromís amb el protocol de dispositius IoT fa que tota la xarxa sigui vulnerable.
Manca d’estàndards de seguretat estandarditzats. A causa de l'especialització, diferents fabricants s'especialitzen en la fabricació d'un component específic d'un IoT. La majoria d'aquests fabricants es troben a diferents països, seguint així les normes industrials establertes en aquests països. Com a resultat, els components que s’utilitzen per fabricar un sol dispositiu IoT poden acabar tenint diferents estàndards de seguretat. Aquesta diferència en els estàndards de seguretat pot provocar incompatibilitat o induir vulnerabilitat.
Funcionalitat crítica: amb l’aparició de les ciutats intel·ligents, les principals infraestructures governamentals depenen de l’IoT. Actualment, la infraestructura de transport, els sistemes de comunicacions intel·ligents, els sistemes de vigilància de seguretat intel·ligents i les xarxes de serveis intel·ligents depenen de l'IoT. A causa del paper crucial que tenen aquestes infraestructures, el risc de seguretat que suposa també és elevat a causa de l’alt interès dels pirates informàtics.
Què han de fer els usuaris per protegir els dispositius IoT?
Els usuaris tenen un paper crític a l’hora de millorar la seguretat dels dispositius IoT. Algunes d’aquestes responsabilitats inclouen;
Canvia les contrasenyes predeterminades: la majoria dels usuaris no es molesten a canviar la contrasenya predeterminada establerta pel fabricant. Si no canvieu la contrasenya predeterminada, els intrusos poden accedir fàcilment a la xarxa. Les tecnologies positives van publicar un informe que indica que el 15% dels usuaris utilitzen contrasenyes predeterminades. El que molts usuaris no saben és que es pot accedir a la majoria d’aquestes contrasenyes mitjançant qualsevol motor de cerca. Els usuaris haurien d’implementar contrasenyes segures i segures per autenticar els seus dispositius.
Actualitzeu el programari del dispositiu: la majoria dels ciberatacs IoT es produeixen a causa dels usuaris que no actualitzen el firmware del dispositiu regularment. En altres llocs on hi ha dispositius que s’actualitzen automàticament, altres dispositius necessiten una actualització manual. L'actualització de programari ajuda a corregir les vulnerabilitats de seguretat i a obtenir un millor rendiment del programari actualitzat.
Eviteu connectar-vos a una connexió desconeguda a Internet: la majoria de dispositius intel·ligents estan dissenyats per cercar i connectar-se a qualsevol xarxa automàticament. La connexió a una xarxa oberta, especialment en llocs públics, no és segura i pot exposar el vostre dispositiu a ciberatacs. La millor solució és desactivar la connexió automàtica a Internet. Els usuaris també haurien d’apagar Universal plug and play. UPnP ajuda els dispositius IoT a connectar-se automàticament entre si. Els pirates informàtics poden explotar UPnP descobrint aquests dispositius i connectant-s’hi.
Implementar xarxes de convidats: la segregació de xarxes és molt crucial fins i tot en una organització. Donar accés als visitants a la vostra xarxa els permet accedir i compartir recursos amb els dispositius connectats. Per tant, per evitar exposar els vostres dispositius a amenaces privilegiades i amics poc fiables, és essencial crear una xarxa independent per als vostres convidats.
Estratègies de seguretat de l’IoT
Seguretat de l'API: els desenvolupadors i els fabricants de dispositius han d'adoptar indicadors de rendiment de les aplicacions (API) com a estratègia per garantir la comunicació i l'intercanvi de dades entre dispositius i servidors IoT.
Incorporació de la seguretat IoT al cicle de vida del desenvolupament: els desenvolupadors i fabricants de dispositius i programari IoT haurien de convertir la seguretat en una part integral del procés de disseny i desenvolupament. El factor de seguretat durant el procés de desenvolupament inicial garanteix un maquinari i un programari segurs.
Millora de la gestió del maquinari: els fabricants de dispositius han d’adoptar estratègies per garantir que els dispositius no siguin manipulats. L'enduriment del punt final garanteix que els dispositius que funcionen en condicions meteorològiques dures poden funcionar fins i tot amb un control mínim.
Ús de certificats digitals i infraestructures de claus públiques: una estratègia per millorar la seguretat de l’IoT és mitjançant l’ús de certificats digitals PKI i 509. Establir confiança i control entre els dispositius de connexió és crucial per a la seguretat de la xarxa. Els certificats digitals i PKI garanteixen la distribució segura de claus de xifratge, l'intercanvi de dades i la verificació d'identitat a la xarxa.
Implementar un sistema de gestió d’identitats per supervisar cada dispositiu connectat. Els sistemes de gestió d’identitats assignen un identificador únic a cada dispositiu IoT que facilita el control del comportament del dispositiu, cosa que facilita l’aplicació de les mesures de seguretat adequades.
Implementar passarel·les de seguretat: els dispositius IoT no tenen prou memòria ni potència de processament per oferir la seguretat necessària. L’ús de passarel·les de seguretat com els sistemes de detecció d’intrusos i tallafocs pot ajudar a oferir funcions de seguretat avançades.
Integració i formació d’equips: l’ IoT és un camp emergent i, en conseqüència, és essencial una formació constant de l’equip de seguretat. Cal formar l'equip de desenvolupament i seguretat sobre llenguatges de programació i mesures de seguretat emergents. Els equips de seguretat i desenvolupament han de treballar junts i harmonitzar les seves activitats i garantir la integració de les mesures de seguretat durant el desenvolupament.
Funcions de seguretat de dispositius IoT
Actualment, no hi ha cap mida de totes les funcions de seguretat que puguin adoptar els fabricants de dispositius. Tot i això, les funcions de seguretat següents poden facilitar la seguretat dels dispositius IoT;
Mecanisme d’autenticació segur: els desenvolupadors han d’implementar un mecanisme d’inici de sessió que utilitzi protocols segurs com X.509 o Kerberos per a l’autenticació.
Milloreu la seguretat de les dades: implementeu el xifratge de dades i comunicacions per evitar un accés autoritzat.
Utilitzeu sistemes de detecció d’intrusos: els dispositius IoT actuals no estan equipats amb IDS que poden controlar els intents d’inici de sessió. Fins i tot si un hacker intenta un atac de força bruta als dispositius, no hi haurà alertes. La integració d’un IDS assegurarà que es reportin incidències d’inicis de sessió o altres atacs maliciosos posteriors.
Integra els dispositius IoT amb sensors de manipulació de dispositius: els dispositius IoT manipulats, especialment els que estan sota supervisió mínima, són vulnerables als ciberatacs. Els darrers dissenys de processadors s’integren amb sensors de detecció de manipulacions. Aquests sensors poden detectar quan es trenquen els segells originals.
Ús de tallafocs per evitar ciberatacs: la integració d’un tallafoc afegeix una capa addicional de protecció. Un tallafoc ajuda a contrarestar els ciberatacs limitant l'accés a la xarxa només als amfitrions coneguts. Un tallafoc afegeix una capa addicional de protecció contra el desbordament de memòria intermèdia i els atacs de força bruta.
Xarxa de comunicació segura: la comunicació entre dispositius IoT s’ha de xifrar mitjançant protocols SSL o SSH. La xifrada de la comunicació ajuda a prevenir l’espionatge i l’ensumament de paquets.
El ciberatac és un dels principals obstacles per a l’èxit de la tecnologia IoT. La millora de la seguretat requereix que totes les parts interessades treballin en harmonia per garantir que s’implementin i s’adhereixin als estàndards establerts. Els organismes pertinents haurien d’introduir estàndards industrials específics de l’IoT que siguin compatibles i que siguin compatibles amb altres estàndards de la indústria per millorar l’operativitat dels dispositius IoT de manera general. S’haurien d’aplicar les regulacions internacionals de l’IoT que s’estenguin a tots els països per garantir la qualitat dels dispositius IoT fabricats. Les parts interessades haurien de sensibilitzar els usuaris sobre la necessitat i les formes de protegir els seus dispositius i xarxes contra els ciberatacs.