星期

2020年09月02日

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

2020-09-02 13:54:01 来源:互联网 阅读:-

当前,智能家庭解决方案正有充分的理由受到欢迎。它们使房主可以远程监控他们的房屋,提高能源效率,甚至协助进行健康跟踪。有了所有这些优势,房主们就抓住了机会来提高房屋的舒适度和安全性,从而改善生活质量。市场和市场研究机构Markets and Markets的数据显示,到2018年,智能家居市场规模将达到766亿美元,预计到2024年将达到1514亿美元。

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

负责开发和维护智能家居设备

随着智能设备数量的增加,其软件和硬件漏洞也会被恶意人员利用,这使得智能家居安全成为一个重要问题。例如,威斯康星州的一对夫妇在其智能家居遭到袭击时遭受了一次可怕的事件。黑客入侵了他们的智能家居网络,并在通过智能相机与他们交谈时播放了令人不安的响亮音乐。

好像还不够吓人,攻击者操纵了这对夫妇的恒温器,将房间温度改变到30摄氏度以上。这和其他类似事件创造了市场机会,厂商对于智能家居安防发布新的解决方案,使这个行业的预测到2022年,以19.6%的复合年增长率从2018上升。

保护智能家居设备是供应商和消费者的责任。随着消费者逐渐意识到风险,他们寻找在智能设备开发期间将安全性放在首位的供应商。

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

智能家居安全状况

就像任何其他智能电子设备一样,联网的智能家居设备也可能遭到黑客攻击。门铃和车库门之类的户外智能设备最容易受到攻击,因为开车经过的人都可以轻松访问它们。厨房电器不太可能成为目标,但这些设备也不安全。即使单个设备本身并没有带来太多价值,攻击者仍可以将其定位为闯入智能家居安全系统。

一旦进入内部,他们就可以访问个人信息或进行更复杂的攻击,例如构建僵尸网络。在一个奇怪的例子中,一家北美赌场通过一个智能鱼缸遭到破坏。黑客入侵后,他们迅速跨网络移动并窃取了10 GB的个人数据,然后才意识到有人在进行恶意活动。

安装智能相机可以使人们感到安全,同时还可以打开进入家庭的数字网关。一起臭名昭著的事件涉及Ring安全摄像机。攻击者入侵了Ring IoT系统,并发现用户密码以自由文本形式存储。

使用这些密码,攻击者可能会破坏无线安全系统并监视他人。Ring很快将这种安全漏洞归咎于用户,称他们使用了弱密码。但是,进一步的调查证明,Ring没有采取足够的预防措施来确保私有数据的安全性。

甚至智能灯泡也遭到破坏。在最近发生的飞利浦Hue智能灯泡事件中,黑客能够利用该公司实施Zigbee通信协议的方式利用此漏洞。犯罪分子可以在不超过100米的范围内访问房主的wi-fi网络,并安装恶意间谍软件和勒索软件。

几乎所有智能设备都可以成为攻击目标。即使是智能咖啡机,也可以用来访问其所有者的银行帐户详细信息。随着安全智能家居设备的趋势在消费者中传播,预计供应商会加紧努力并将安全性作为其开发过程的一部分。即使最看似无害的设备也需要加以保护。例如,Softeq Development开发了一款具有多种安全协议的户外照明遥控应用程序。

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

将安全性纳入开发过程的核心

在最近的一项研究中,北卡罗莱纳州立大学的一组研究人员检查了24种流行的智能家居设备,发现其中绝大多数存在缺陷,这可能会使房主面临风险。一个广泛存在的缺陷使黑客能够被动地聆听来自智能设备的信号,并且仅通过靠近房屋就可以收集和分析数据。例如,通过监视智能锁,攻击者可以找出所有者是否在家。

被分析设备中的另一个常见缺陷是可能在入侵之前将其停用。黑客可能会上传一个恶意软件,该恶意软件会阻止所有安全警报,例如智能门打开,同时让心跳消息通过以防止引起怀疑。要生产安全的设备,仅快速将一些安全功能整合到最终产品中是不够的。安全必须是开发过程每个阶段不可或缺的一部分。

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

设计阶段

在开发智能设备时,制造商必须在产品生命周期的早期阶段就注意安全性。

  • 与其他功能分开的安全功能在安全功能和非安全功能之间建立了有限的接口。这种分离缩小了专门从事安全性的开发人员的范围,使团队的其他成员可以处理非安全功能。
  • 对安全性要求做出明确的假设,记录在设计阶段所做的任何安全性假设,不要指望默认情况下其他所有人都具有相同的期望。这包括有关设备使用情况,环境等的假设。
  • 考虑邀请外部安全专家对完成的设计进行最终的安全检查,对于寻找不一致之处很有帮助。例如,可以安全地捕获和存储敏感数据,但同时又可以通过其他渠道(例如错误消息)泄漏敏感数据。
  • 采取分层的安全措施。请记住,您正在实施的安全措施很可能在某个时候受到损害。为了最大程度地降低暴露风险,请在设计中包括冗余的安全措施。
智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

开发阶段

在此阶段,开发人员将执行设计阶段中规定的安全规则。即使设计很强大,编程错误也可能会无意间引入新的漏洞。

  • 选择编程语言时请牢记安全性

某些编程语言(例如Rust)提供了内存管理功能,从安全角度考虑,使它们成为首选。但是,任何此类漏洞都将带来单点故障。例如,由于C和C ++可以有效利用系统资源,因此经常用于开发智能设备的软件。

但是,这些语言为程序员提供了执行破坏安全性的操作的机会。另一方面,尽管Ada是较旧的编程语言之一,但仍然是安全编程的不错选择。

  • 尽可能使用已建立的安全框架,请勿重新开发它们

现有用于不同安全方面的库,重新开发它们不是一个好习惯。尽管使用现有库是有利的,但它们也不免存在缺陷。在选择使用哪个库时,请调查其可靠性:检查该库是否被其他人广泛采用。是否实现标准的安全机制?是否经过审核?像这样的简单问题一开始就可以节省很多麻烦。

  • 确保您的固件是最新的

当开发固件,依赖于彻底安全专家调查,并提高了安全框架,始终他们时可用更新到最新版本。注意确保最新版本没有被“中间人”取代。数字签名可用作可靠的验证工具。数字签名从其原始内容并入固件,并由接收者使用私钥读取。

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

测试阶段

在此步骤中,您不仅要测试功能,而且要探索错误处理和容错的鲁棒性。

  • 邀请外部审核员进行安全测试

第三方专家会模拟不同的攻击,并试图削弱您的产品。此类外部测试包括渗透测试,网络扫描等。这些测试的数量和复杂性应与安全要求成比例。当安全级别很高时,攻击情形变得越来越复杂。

  • 执行隐私影响评估测试

该测试用于确保根据GDPR(适用时)或管理您所在国家/地区的任何等效法规(例如CCPA)来处理数据。请注意,您的国家安全机构可能已准备好隐私评估准则,可供所有人使用。

部署智能设备后的连续监控

即使在智能设备离开商店后,负责任的供应商仍将继续监视它的漏洞。收集来自智能设备的流量数据将有助于研究特定于设备的流量模式并改进未来的版本。智能设备生产商可以采取多种措施来为部署后的安全性做出贡献。

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

为消费者提供安全提示

对于供应商来说,许多安全提示似乎是常识。但是,它们对于最终用户可能并不那么明显。即使这些提示为消费者所熟知,它们也可能会低估它们可能产生的影响。为了避免容易避免的事件,请向客户提供有关如何保护其智能设备安全的提示。这些技巧应包括但不限于:

  • 更改默认密码并选择安全选项
  • 安装设备更新(如果可用)
  • 安装设备时检查权限
  • 给您的设备起个名字
  • 不使用时拔下设备的电源
  • 禁用不使用的功能
  • 保护您的Wi-Fi并避免连接到公共网络
  • 如果可能,请执行网络分段,以便并非所有设备都可以访问整个网络

设备发现

借助基于机器学习的技术,您可以准确地识别每个已连接的IoT设备,构建设备分类并分析网络流量。例如,能够区分冰箱和恒温器对于安全至关重要,因为它使您可以查看哪些数据流量模式属于哪个设备。

异常检测与分类

识别并配置智能家居设备后,您可以为每个配置文件建立增量行为模型。当设备的当前行为偏离已建立的规范(例如已发送/已接收的数据包数量)时,这可能表示存在攻击。

流量监控可在早期阶段提醒您注意受到威胁的设备,并采取预防措施。监视内部到外部的流量(以检测DDoS攻击)和内部到外部的流量(以检测家庭网络渗透攻击)。

可靠的数据存储供应

不安全的数据存储会引发数据泄露。物联网设备供应商Wyze在2019年承认,将200万暴露于互联网上的人们收集的数据留给了犯罪分子可以自由收集的数据。该数据包括电子邮件地址以及健康信息。

智能家居如何更健康的发展 智能家居安全是供应商和消费者的责任

对您的业务有什么影响?

有没有一个最好的智能家居安防系统。如果您在开发过程的所有阶段都采用全面的安全性方法并在部署后继续监视智能设备,那么您将在交付安全智能设备方面更加成功。这不仅使您成为值得信赖的供应商,而且还将开辟新的商机。例如,您可以通过以下方式出售您收集的数据(在获得同意,隐私等情况下):

  • 与值得信赖的供应商的交叉销售计划
  • 预测供需并销售见解

随着对智能设备需求的增加,供应商无法提供适当的安全性,并最终以不良宣传成为头条新闻。为消费者提供安全的智能设备是一项挑战,因为它需要严格的开发流程,持续监控和可靠的数据存储。但是那些将安全性放在其优先事项清单上的供应商将获得消费者的信任和新的选择,以促进他们的业务发展。


推荐阅读:大创网