Интернет на нещата (IoT) е модна дума в индустрията от години, но бавното развитие и ограничената комерсиализация накараха някои наблюдатели в индустрията да започнат да го наричат ​​„Интернет на NoThings“.

Настрана двойни каламбури, развитието на IoT е в затруднение. Освен хвърлянето на хамски шеги, неподходящи за повечето социални поводи, ажиотажът не помогна; и всъщност вярвам, че всъщност е причинило много повече вреда, отколкото полза. Има няколко проблема с IoT, но всички положителни покрития и неоснователен шум са един, без който бихме могли да се справим. Плюсът на генерирането на повече внимание е ясен: повече инвестиции, повече VC финансиране, повече потребителски интерес.

Те обаче идват с допълнително ниво на контрол, което направи редица недостатъци болезнено очевидни. След няколко години бичи прогнози и големи обещания, сигурността на IoT изглежда е най-голямата грижа. Първите няколко седмици на 2015 г. не бяха благосклонни към тази нововъзникваща индустрия и повечето от негативната преса се въртяха около сигурността.

Беше ли оправдано? Дали това беше просто „страх, несигурност и съмнение“ (FUD), породено от дългогодишен шум? Беше малко и от двете; въпреки че някои проблеми може да са преувеличени, проблемите са наистина реални.

От „Година на IoT“ до Annus Horribilis за IoT

Много коментатори описаха 2015 г. като „годината на IoT“, но досега тя беше година на лоша преса. Разбира се, предстоят още десет месеца, но негативните доклади продължават да се трупат. Фирмата за сигурност Kaspersky наскоро направи критична критика на предизвикателствата пред сигурността на IoT с нелепо заглавие „ Интернет на скапаните неща ”.

Kaspersky не е непознат за IoT критиките и противоречията; фирмата бие алармени камбани от известно време, подкрепяйки ги с примери за хакнати интелигентни домове, автомивки и дори системи за полицейско наблюдение. Независимо дали хакер иска да измие пътуването си безплатно, или да преследва някого, използвайки неговия фитнес тракер - недостатъците в сигурността на IoT могат да го направят възможно.

Wind River публикува бяла книга за сигурността на IoT през януари 2015 г. и докладът започва с отрезвяващо въведение. Озаглавен Търсене на сребърния куршум , той обобщава проблема само в три абзаца, които ще обобщя в няколко точки:

• Сигурността трябва да бъде основният фактор за IoT.
• Понастоящем няма консенсус за това как да се приложи защитата в IoT на устройството.
• Преобладаващо и нереалистично очакване е, че е възможно по някакъв начин да се компресират 25-годишната еволюция на сигурността в нови устройства на IoT.
• Няма сребърен куршум, който може ефективно да смекчи заплахите.

Има обаче някои добри новини; знанията и опитът вече са тук, но те трябва да бъдат адаптирани, за да отговарят на уникалните ограничения на IoT устройствата.

За съжаление, тук сме ние разработчици на системна сигурност се натъкнете на друг проблем, хардуерен проблем.

Председателят на Федералната търговска комисия на САЩ, Едит Рамирес, се обърна към изложението за потребителска електроника в Лас Вегас по-рано тази година, като предупреди, че вграждането на сензори в ежедневните устройства и позволяването им да записват това, което правим, може да представлява огромен риск за сигурността.

- очерта Рамирес три ключови предизвикателства за бъдещето на IoT :

• Вездесъщо събиране на данни.
• Потенциал за неочаквано използване на потребителски данни.
• Повишени рискове за сигурността.

Тя призова компаниите да подобрят неприкосновеността на личния живот и да изградят сигурни IoT устройства, като възприемат подход, фокусиран върху сигурността, намалявайки количеството данни, събирани от IoT устройства, и увеличавайки прозрачността и предоставяйки на потребителите избор да се откажат от събирането на данни.

Рамирес продължи, че разработчиците на IoT устройства не са прекарвали време в мислене как да защитят своите устройства и услуги от кибератаки.

„Малкият размер и ограничената мощност на обработка на много свързани устройства могат да попречат на криптирането и други стабилни мерки за сигурност“, каза Рамирес. „Освен това някои свързани устройства са на ниска цена и по същество са за еднократна употреба. Ако на този тип устройство бъде открита уязвимост, може да е трудно да актуализирате софтуера или да приложите корекция - или дори да получите новини за поправка на потребителите. “

Въпреки че Рамирес е нащрек в повечето отношения, трябва да отбележа, че Интернет е преминал през подобна фаза преди две десетилетия. Имаше много опасения за сигурността и през деветдесетте се появи появата на интернет злонамерен софтуер, DDoS атаки, сложен фишинг и други. Въпреки че Холивуд изобразява дистопично бъдеще в някои филми, в крайна сметка сме се озовали с котенца в социалните мрежи и с пробив в сигурността тук и там.

Интернет все още не е защитен, така че не можем да очакваме и IoT да бъде защитен. Сигурността обаче непрекъснато се развива, за да отговори на нови предизвикателства, виждали сме го и отново, с IoT и последващите свързани технологии.

IoT хардуерът е и ще остане проблем

Някои от вас ще си помислят, че хардуерните проблеми, споменати от шефа на FTC, ще бъдат разгледани; да, някои от тях вероятно ще го направят.

С нарастването на пазара на IoT ще наблюдаваме повече инвестиции и с напредването на хардуера ще получаваме подобрена сигурност. Производителите на чипове като Intel и ARM ще се стремят да предлагат по-добра сигурност с всяко ново поколение, тъй като сигурността може да бъде пазарен диференциатор, който им позволява да спечелят повече печалби от дизайна и да спечелят по-голям дял.

Технологиите винаги напредват, така че защо не? Новите производствени процеси обикновено водят до по-бързи и ефективни процесори и рано или късно празнината ще се запълни, като по този начин ще осигури на разработчиците достатъчно процесорна мощ, за да внедрят по-добри функции за сигурност. Не съм сигурен обаче, че това е реалистичен сценарий.

На първо място IoT чиповете няма да бъдат големи производители на пари, тъй като те са малки и обикновено се основават на остарели архитектури. Например платформата Intel Edison от първо поколение се основава на процесори Quark, които по същество използват един и същ набор от инструкции на процесора и голяма част от дизайна на древния Pentium P54C. Въпреки това, следващото поколение микрокомпютър Edison е базиран на много по-бърз процесор, базиран на ядра Atom Silvermont, който е в много Windows и Android таблети, днес. (Intel достави ~ 46m Solutions на Bay Trail през 2014 г.)

На пръв поглед бихме могли да получим сравнително модерни 64-битови x86 процесорни ядра в IoT устройства, но те няма да излязат евтини, те все пак ще бъдат значително по-сложни от най-малките ARM ядра и следователно ще се нуждаят от повече батерия мощност.

Евтините носители за еднократна употреба, които изглежда са най-голямото притеснение на FTC, няма да се захранват от такива чипове, поне скоро. Потребителите може да се окажат с по-мощни процесори, като Intel Atoms или ARMv8 чипове, в някои интелигентни продукти, като интелигентни хладилници или перални с сензорни екрани, но те са непрактични за устройства за еднократна употреба без дисплеи и с ограничен капацитет на батерията.

Продажбата на цялостни платформи или референтни проекти за различни IoT устройства може да помогне на производителите на чипове да генерират повече приходи, като в същото време въведат повече стандартизация и сигурност. Последното нещо, от което се нуждае индустрията, е по-нестандартни устройства и повече фрагментация. Това може да звучи като логичен и солиден подход, тъй като разработчиците биха получили по-малко платформи и повече ресурси ще бъдат разпределени за сигурност, но нарушенията на сигурността също биха засегнали по-голям брой устройства.

Парите се изсипват, анализаторите остават бичи, какво може да се обърка?

Един от най-често срещаните начини за справяне с всеки проблем в технологичната индустрия е просто да се хвърлят пари за това. Така че, нека видим къде сме в момента по отношение на финансирането, а не на технологията.

Според изследователските фирми IDC и Gartner IoT ще се разрасне до такава степен, че ще трансформира индустрията на центровете за данни до края на десетилетието. Gartner очаква пазарът на IoT да има 26 милиарда инсталирани единици до 2020 г., създавайки огромни възможности за всички страни, от центрове за данни и производители на хардуер, до разработчици и дизайнери. IDC също така очаква IoT индустрията да завърши с „милиарди устройства и трилиони долари“ до края на десетилетието.

Последната прогноза за пазара на IoT на Gartner, публикувана през май 2014 г., също включва списък с потенциални предизвикателства, някои от които вече разгледах:

• Сигурност: Повишената автоматизация и цифровизацията създават нови проблеми със сигурността.
• Предприятие: Проблемите със сигурността могат да представляват риск за безопасността.
• Поверителност на потребителите: Потенциал за нарушаване на поверителността.
• Данни: Ще бъдат генерирани много данни, както за големи данни, така и за лични данни.
• Управление на съхранението: Индустрията трябва да измисли какво да прави с данните по рентабилен начин.
• Сървърни технологии: Ще са необходими повече инвестиции в сървъри.
• Мрежа на центъра за данни: WAN връзките са оптимизирани за приложения на човешки интерфейс, IoT се очаква да промени драстично моделите чрез автоматично предаване на данни.

Всички тези въпроси (и повече) трябва да бъдат разгледани рано или късно, често на значителна цена. Вече не говорим за малки IoT чипове и евтини играчки, базирани на такива чипове, това е инфраструктура. Това е много силиций в сървърните процесори, скъпата DDR4 ECC RAM и дори по-големите SSD, всички поместени в скъпи сървъри, в още по-големи центрове за данни.

Това е само върхът на айсберга; индустрията трябва да се справи с проблемите с честотната лента, управлението на данни и политиките за поверителност и сигурността. И така, колко пари оставя това за сигурност, която е на върха в списъка с предизвикателства на IoT на Gartner?

Много пари вече се вливат в индустрията, VC се качват на борда и темпът на инвестициите изглежда нараства. Имаше и редица придобивания, често включващи големи играчи като Google, Qualcomm, Samsung, Gemalto, Intel и други. Има списък с свързани с IoT инвестиции на Пощенски пейзажи . Проблемът с много от тези инвестиции, особено тези, които идват от VC, е, че те са склонни да се фокусират върху „лъскави“ неща, устройства, които могат да бъдат пуснати на пазара скоро, с потенциално грандиозна възвръщаемост на инвестициите. Тези инвестиции не допринасят много за сигурността или инфраструктурата, които по принцип трябва да проследят търсенето на IoT.

Големите играчи ще трябва да се справят с тежкия вдигане, а не стартиращи компании и производители на играчки с VC. Подвижните и иновативни стартиращи фирми със сигурност ще изиграят голяма роля, като засилят осиновяването и създадат търсене, но не могат да направят всичко.

Така че нека помислим по този начин, дори малка компания може да построи кола или десетки хиляди коли, но не може да изгради магистрали, пътища, бензиностанции и рафинерии. Същата тази малка компания може да изгради безопасно превозно средство, използвайки технология, която не е на разположение, за да отговори на основните стандарти за пътна безопасност, но не може да създаде подобно на Segway превозно средство, което да отговаря на същите стандарти за безопасност, нито някой друг. Стандартите за автомобилна безопасност никога не биха могли да се приложат за такива превозни средства, не виждаме хора, които пътуват до работа на Segways, така че не можем да очакваме традиционните стандарти за технологична сигурност да се прилагат и за устройства с недостатъчно захранване от IoT.

Да имаш пътуващи, които проверяват имейлите си или играят на Candy Crush, докато карат своите Segways през трафика в пиковите часове, не звучи много безопасно, нали? И така, защо да очакваме IoT устройствата да бъдат толкова безопасни, колкото другите свързани устройства, с значително по-мощен хардуер и зрели операционни системи? Може да е странна аналогия, но дъното е, че не може да се очаква устройствата на IoT да отговарят на същите стандарти за сигурност като пълноценните компютри.

Но изчакайте, нямаше толкова много дебакети на IoT сигурност ...

Вярно е, че не виждаме много заглавия за грандиозни нарушения на сигурността на IoT, но нека го кажа по следния начин: колко заглавия, свързани със сигурността, видяхте за Android Wear? Един? Две? Нито един? Смята се, че в природата има по-малко от милион устройства с Android Wear, така че те просто не са основна цел за хакери или обект за изследователи по сигурността.

Колко IoT устройства притежавате и използвате в момента? Колко използва вашият бизнес? Оттам идва шегата „Интернет на нищо“, която повечето хора нямат. Цифрите продължават да се увеличават, но средният потребител не купува много, така че откъде идва този растеж? IoT устройствата са там и броят им процъфтява, движени от предприятието, а не от потребителския пазар.

Verizon и ABI Research изчисляват, че през миналата година е имало 1,2 милиарда различни устройства, свързани към интернет, но до 2020 г. те очакват до 5,4 милиарда B2B IoT връзки.

Интелигентните китки, тостери и нашийници за кучета не представляват голяма грижа от гледна точка на сигурността, но Последният IoT доклад на Verizon се фокусира върху нещо малко по-интересно: предприятие.

Броят на връзките машина-машина (M2M) на Verizon в производствения сектор се е увеличил с 204% от 2013 до 2014 г., последван от финанси и застраховане, медии и развлечения, здравеопазване, търговия на дребно и транспорт. Докладът на Verizon включва разбивка на тенденциите в IoT в различни индустрии, така че предлага представа за бизнес страни на нещата.

Общият тон на доклада е оптимистичен, но той също така изброява редица проблеми със сигурността. Verizon описва пробивите в сигурността в енергийната индустрия като „немислими“, описва сигурността на IoT като „първостепенно“ в производството и дори да не повдигаме потенциални рискове в здравеопазването и транспорта.

Как и кога ще получим сигурен интернет на нещата?

Няма да се опитвам да предложа окончателен отговор за това как могат да бъдат разрешени предизвикателствата за сигурност на IoT и кога. Индустрията все още търси отговори и предстои дълъг път. Последните проучвания показват, че повечето от наличните в момента IoT устройства имат уязвимости в сигурността. HP установи, че 70% от IoT устройствата са уязвими за атаки.

Докато растежът предлага много възможности, IoT все още не е зрял или сигурен. Добавянето на милиони нови устройства, хардуерни крайни точки, милиарди редове код, заедно с повече инфраструктура за справяне с натоварването, създава широк набор от предизвикателства, несравними с нищо, което сме изпитали през последните две десетилетия.

Ето защо не съм оптимист.

Не вярвам, че индустрията може да приложи много уроци по сигурност към IoT, поне не достатъчно бързо, нито през следващите няколко години. Според мен аналогията с Интернет е заблуда, просто защото интернет от деветдесетте не трябваше да се справя с толкова много различни видове хардуер. Използването на криптиране и загуба на часовникови цикли за сигурност не е проблем за големи процесори x86 или ARM SoC, но няма да работи по същия начин с малки IoT устройства с част от процесорната мощност и много по-различна консумация на енергия.

По-сложните процесори с по-голяма матрица се нуждаят от по-големи опаковки и трябва да отделят повече топлина. Те се нуждаят и от повече мощност, което означава по-големи, по-тежки и по-скъпи батерии. За да се обръснат теглото и да се намали насипното състояние, производителите ще трябва да прибегнат до използването на екзотични материали и производствени техники. Всичко по-горе би довело до повече разходи за НИРД, по-дълго време за пускане на пазара и по-голяма сметка за материали. При значително по-високи цени и първокласно изграждане такива устройства едва ли биха могли да се считат за еднократни.

И така, какво трябва да се направи, за да бъде IoT защитен? Много. И всеки има роля, от технологични гиганти до индивидуални разработчици.

Нека да разгледаме няколко основни момента, като например какво може да се направи и какво се прави, за да се подобри сигурността на IoT сега:

• Наблегнете на сигурността от първия ден
• Жизнен цикъл, защита на бъдещето, актуализации
• Контрол на достъпа и удостоверяване на устройството
• Познавай врага си
• Подгответе се за пробиви в сигурността

Ясният акцент върху сигурността от първия ден винаги е нещо добро, особено когато се работи с незрели технологии и слабо развити пазари. Ако планирате да развиете своя собствена IoT инфраструктура или да внедрите съществуващо решение, направете проучване и останете възможно най-информирани. Това може да включва компромиси, тъй като може да ви бъде предложен избор за повишаване на сигурността с цената на компрометиране на потребителското изживяване, но си струва, стига да постигнете правилния баланс. Това не може да се направи в движение, трябва да планирате предварително и да планирате добре.

В бързането да предлагат нови продукти и услуги на пазара, много компании вероятно ще пренебрегнат дългосрочната подкрепа. Това се случва непрекъснато, дори и в големите лиги, така че винаги се оказваме с милиони незащитени и несигурни компютри и мобилни устройства. Те просто са твърде стари, за да може повечето компании да се занимават с тях, и със сигурност ще бъде още по-лошо с устройствата за еднократна употреба на IoT. Основните доставчици на телефони не актуализират своя софтуер на 2-3 годишни телефони, така че представете си какво ще се случи с устройства с IoT за $ 20, които може да са във вашата мрежа от години. Планираното остаряване може да е част от него, но истината е, че актуализирането на стари устройства няма голям финансов смисъл за производителя, тъй като те имат по-добри неща със своите ресурси. Сигурните IoT устройства или трябва да са защитени по дизайн и непроницаеми от самото начало, или да получават жизненоважни актуализации през целия си жизнен цикъл и съм сигурен, че ще се съгласите, че нито една от опциите не звучи реалистично, поне още не.

Внедряването на сигурен контрол на достъпа и удостоверяване на устройството звучи като очевидно нещо, което трябва да се изведе, но тук нямаме работа със средното ви свързано устройство. Създаването на контроли за достъп и методи за удостоверяване, които могат да бъдат внедрени на евтини и компактни IoT устройства, без да се компрометира потребителското изживяване или да се добави ненужен хардуер, е по-трудно, отколкото изглежда. Както споменах по-рано, липсата на процесорна мощност е друг проблем, тъй като най-модерните техники за криптиране просто няма да работят много добре, ако изобщо. В предишен пост , Разгледах една алтернатива, аутсорсинг криптиране чрез блокчейн технологията; Нямам предвид биткойн блокчейн, а подобни крипто технологии, които вече се изучават от няколко лидери в бранша.

Si vis pacem, para bellum - ако искате мир, подгответе се за война. Изключително важно е да проучите заплахите и потенциалните нападатели, преди да се заемете със сигурността на IoT. Нивото на заплаха не е еднакво за всички устройства и има безброй съображения, които трябва да се вземат предвид; някой по-скоро би хакнал мечето на дъщеря ви или нещо малко по-сериозно? Необходимо е да се намали рискът от данни, да се запазят колкото се може повече лични данни от устройствата на IoT, да се осигурят правилни необходими трансфери на данни и т.н. За да направите всичко това обаче, първо трябва да проучите заплахата.

Ако всичко друго се провали, поне бъдете готови за потенциални пробиви в сигурността. Рано или късно те ще се случат на вас или на някой друг (добре, за предпочитане конкурент). Винаги имайте стратегия за изход, начин за осигуряване на възможно най-много данни и превръщането на компрометирани данни в безполезни, без да разрушавате вашата IoT инфраструктура. Също така е необходимо да се обучават клиенти, служители и всички останали участници в процеса за рисковете от подобни нарушения. Инструктирайте ги какво да правят в случай на нарушение и какво да правят, за да го избегнат.

Разбира се, добрият отказ от отговорност и TOS също ще помогнат, ако в крайна сметка се справите с най-лошия сценарий.