通过莱斯利Langnau• 总编辑
围绕物联网的嗡嗡声(物联网)实际上是摧毁手中的手持式工程师。使用“一切”连接到互联网,您现在必须在创建可连接设备时考虑防守设计。
这就是为什么。医疗器械开发人员Medtronic创建了一系列胰岛素泵,在医生和患者之间无线传播,提供了帮助节省生命的潜在好处,并且由于即时访问数据。这些泵保持约300单位的胰岛素。患者的医生接受并监测胰岛素使用的数据,确保水平稳定,避免可能的胰岛素休克。
2011年10月,英国一家报纸报道称,McAfee的研究人员Barnaby Jack在黑客停止会议上展示了他如何侵入胰岛素泵,并使其将全部胰岛素库释放到毫无戒心的病人体内,这将是致命的。
侵入水泵并不难因为医生和设备的传输器之间没有任何加密。(自那次会议演示以来,美敦力的工程师一直在努力解决这个问题。)显然,加密是一种解决方案。设计者可能想要考虑如何防止胰岛素泵在给定时间内提供超过一剂的剂量。
2013年,据报道,许多报纸上,前美国副总裁迪克切尼的起搏器的无线通信被禁用,因为医生意识到有人可以破解它,悄悄地欺骗他。曾经被黑客攻击后,起搏器可以关闭,被迫提供致命的电击,或被迫提供心律失常的冲动等。
据报道,近几个月前,据报道,智能冰箱被攻击并变成了一个“僵尸网络”,这是一个可以被其他人秘密控制的互联网连接设备。黑客可以在最良性地向世界各地的公司和个人发送恶意的电子邮件中使用BOTNETS。
正在研发的新型“无人驾驶”汽车,在将乘客运送到目的地时,乘客只能被动地坐在车里,这种汽车有什么潜在的恶作剧?你能不能想象一下,如果黑客接管并命令汽车做谁知道会发生什么?(研究人员已经证明,他们可以侵入这些车辆。)这些车最好有手动控制安全协议和开关。
拥有一切和每个人的诱人的梦想与互联网相连并分享一切都可以迅速成为噩梦。首席执行官和其他人赞美将来的效率,我们将能够创造的新产品,我们将节省的成本,以及我们终于拥有的更好的生活。经常,我们听到并阅读了以下评论,如以下内容:“我们可以在灾难性和慢性健康事件中进行干预,远程。”“我们可以在大数据周围销售分析和服务,而不是制造东西(如机器)。”“我们可以获得数万亿美元的生产力和盈利能力。“在这十年结束时,我们可以看到超过50亿的”智能“对象,连接到互联网。
但是,它应该毫不奇怪,设计工程师可以确保无线医疗器械,无人驾驶汽车,智能手机以及设计用于连接到互联网的其他任何东西不能变成沉默和致命的东西。因为,随着最近关于各种汽车公司的新闻,老板可能不会在诉讼袭击之后思考这样的事情。
在制造工厂内部,关于如何保护所有连接到互联网的控制、传感器和组件不被接管的争论已经持续了20多年。许多董事和制造业高管没有认真对待安全访问的问题,因为“为什么会有人想黑进我们的工厂?”(这种想法意味着这些设备是黑客最容易找到的机会。)
“因为”,“艾萨省的产品营销经理Jim Toepper在2014年3月发表的一篇文章中(事物互联网:游戏更换者或重启?),”最大的威胁是知识产权盗窃。ICS-Cert(工业控制系统 - 网络应急响应小组),致力于保护工业控制系统,报告数十亿美元的知识产权盗窃去年仅发生了。“
标题为APT1的报告表明,从网络启用的工业控制系统中偷了大量的知识产权。在许多情况下,这些攻击下载了专业专利设计的CAD文件。一旦文件被盗,产品计划很容易复制,允许仿产品泛滥市场,并破坏利用创新公司从R&D的大量投资中获得。
根据最近一期《时代》杂志(TIME)报道,IBM的安全部门称,2013年,每家美国公司平均遭遇了近1.7万起黑客攻击。
窃取一家公司的知识产权不仅仅是为了获得竞争优势。在某些情况下,这就变成了敲诈勒索——给我们钱,或者我们发布一个漏洞来破坏你的数据,或者我们将信息发布给其他人(竞争对手),他们会为此付费,等等。这些公司,比如《时代》杂志文章中提到的Exodus Intelligence,就出售这种漏洞。bug通常被视为从其他来源(如竞争对手)收集数据的手段,而不是被视为编程错误。
一个严肃的设计问题 - 我们如何保护那些不会保护自己的人?例如,家庭安全系统的客户通常不会更改出厂默认密码,这使得黑客可以轻松接管该安全系统并在房主的每一个举动上间谍。
许多智能手机、平板电脑和笔记本电脑的用户拒绝更新软件,更不用说频繁地更改密码了。工程师是否需要在不通知用户的情况下自动更新?
工程师多年来已经使用“Idiot防范”机电装置。保护用户从不安全的数据中将会预期,如果没有除保护工程师以及他们为他们的工作公司的公司而言。
每一个连接到互联网的设备都是一个节点,因此是可访问的。下一个成长型行业——工程师需要精通的下一个技能——很可能是加密。
关于防御性设计的提示
一些已知的步骤可能必须成为设计中的标准实践。
- 设计128位加密的虚拟专用网络,以保护数据并管理对工业控制网络的访问。
- 禁用HTTP Web访问内置于以太网附件的Web服务器,然后使用HTTPS。
- 启用连接到网络的每个以太网交换机的MAC地址过滤,这确保只有特定的MAC地址可以连接到交换机上的特定端口。未授权的设备插入开关中将不允许通信。
- 启用802.1x身份验证。
- 在允许通过以太网交换机进行通信之前,必须使用身份验证服务器(RADIUS和TACAC是常见类型)进行凭证检查。
- 强制客户更改默认密码。
- 自动化软件更新。
- 强制定期修改密码
提交:•专家见解那所有行业
告诉我们你的想法!