Jaká je bezpečnost v IoT době?

Většina IoT zařízení je v současné době zajištěna podobně jako obyčejný e-mail. Tedy nijak. Zneužití dat se však může velmi citelně týkat konečných uživatelů zařízení.

Toto je archivní článek z 25.07.2018. Některé informace již nemusí být aktuální a ve shodě se současným stavem. V případě pochybností Vám rádi poskytneme aktuální informace.

Pravděpodobně nikdo nebude riskovat a krást údaje o ujetých kilometrech sousedova auta nebo množství součástek vyrobených v konkurenčním závodě. Cílem útoku však nemusí být samotný uživatel přístroje, ale společnost, jejíž údaje unikly.

Připojená zařízení v IoT přináší omezení, bezpečnostní výzvy, ale i různé přístupy k jejich řešení. Vývoj nových technologií s sebou přináší nová rizika a požadavky na bezpečnost a ochranu osobních údajů. Výrobci zařízení (dále jen OEM) rozšiřují existující systémy o inovativní technologie. Většinou např. o snímače, výpočetní a úložná zařízení pro velké datové aplikace a streaming edge analytiku pro cloud.

Podnikatelé se ve všech aspektech své činnosti stále více spoléhají na inteligentně propojená zařízení. Přechod ze soukromých do celopodnikových sítí přes veřejný internet odhaluje bezpečnostní rizika, která předtím nebyla pozorována.
Předpokládá se, že celosvětové přijetí IoT a cloud technologií do roku 2020 dosáhne více než 20 miliard zařízení. Více zařízení online znamená více zařízení, která potřebují ochranu.

Stará průmyslová zařízení a zařízení na bázi brownfieldů, která jsou podstatná pro infrastrukturu země, se tak stávají snadným cílem útoků. Hovoříme tu o elektrických sítích, komunikační infrastruktuře apod. Množství, různorodost a věk těchto zařízení značně zjednoduší možnosti potenciálních útoků.


Jak je tedy možné v komplexním ekologickém systému IoT zajistit, aby připojená zařízení zůstala bezpečná?

OEM, poskytovatelé řešení, systémoví integrátoři a koncoví uživatelé potřebují vytvořit komplexní vícevrstvou strategii, která zabezpečí koncovou ochranu jejich zavedených IoT zařízení. Tradiční řešení, která používají síťové firewally a protokoly, poskytují ochranu pouze proti vysoké úrovni internetového provozu.

První vrstva bezpečnostní strategie IoT začíná tím, že chrání hardware a software samotného připojeného zařízení

Jedna z nejčastěji přehlížených vrstev IoT je ŽIVOTNÍ CYKLUS. Zabezpečení se musí řešit:

  • od počátečního návrhu výrobce zařízení,
  • přes provozní prostředí užívané koncovým uživatelem nebo systémovým integrátorem,
  • až po konečné vyřazení z provozu.


Bezpečnostní problémy sdílené více stranami řeší technologie založené na hardwaru a antimalwaru. TRUSTED nebo SECUREBOOT vyžaduje od zařízení ověření firmwaru a softwarových balíků během bootování přes kryptografii. Když je připojené zařízení zapnuté, ověří se pravost a integrita softwaru v zařízení pomocí šifrovaných digitálních podpisů.

Tyto digitální podpisy jsou přiloženy k softwarovému image a potvrzeny zařízením, aby se zajistilo, že na zařízení budou spuštěny pouze autorizované softwary podepsané určenými entitami zařízení. Vestavěná zařízení by měla mít zabezpečená ukládání certifikátů, které jsou naprogramovány během výroby, aby se vytvořil důvěryhodný kořenový certifikát.

Jakmile vznikne důvěra, připojené zařízení stále potřebuje ochranu před různými hrozbami během provozu a škodlivými stranami. Mnozí výrobci zařízení IoT začali používat WHITELISTING APLIKACE na svých nových připojených produktech, aby zajistily, že zařízení nebudou na úrovni aplikací ohroženy. Namísto blacklisting (černé listiny) byly použity technologie whitelistingu (bílé listiny). Využívají se na zachování provozu starších zařízení v reálném čase, které nemohou spouštět běžné antivirové aplikace. Při centrálně spravovaném prostředí whitelisting aplikace zastavuje malware a jiný neautorizovaný software tím, že umožňuje běžet na zařízení pouze indexovaným aplikacím.
Na druhé straně, whitelisting aplikace považuje všechna data za nesprávná, dokud nejsou ověřena v nějakém kontrolním procesu dat, a tedy je blokuje.

Správná KONTROLA PŘÍSTUPU je založena na principu minimálního oprávnění. Ten stanoví, že by měl být přístup k provedení funkce povolen pouze minimálně. Omezí se tak vliv porušení bezpečnosti. Mechanismy kontroly přístupu založené na zařízeních jsou analogové s kontrolními systémy založenými na síti. Pokud dojde k narušení kteréhokoliv komponentu, kontrola přístupu zajišťuje, že narušitel má přístup pouze k omezeným částem systému.


OEM by si měli vybírat zařízení, která jim umožní konfigurovat více uživatelů a přiřadit jim granulární oprávnění k přístupu k různým funkcím zařízení.

ZABEZPEČNÍ SÍTĚ by mělo být na takové úrovni, aby se zařízení před přijímáním nebo odesíláním dat mohlo samo ověřit. Vestavěné zařízení musí často podporovat více způsobů ukládání svých pověření v síti do zabezpečeného úložiště. Správce sítě by je před uvedením měl předem poskytnout na centrálním místě. Zabudovaná a průmyslová IoT zařízení mají jedinečné protokoly, které se liší od tradičních IT protokolů. Brány firewall nebo hloubkové kontroly paketů jsou potřebné pro řízení provozu.

Například průmyslová zařízení používaná ve výrobě mají vlastní sadu protokolů, kterými se řídí komunikace mezi zařízeními a různými kontrolními systémy. Pokud by se malwaru podařilo dostat přes firewall, antivirové techniky založené na kontrole podpisu a černé listiny by identifikovaly a odstranili problém.

ZABEZPEČENÍ DAT a ochrana osobních údajů zůstává hlavním problémem. Bezpečnostní opatření, jako například virtuální privátní sítě (VPN) nebo šifrování fyzických médií, 802.11i (WPA2) nebo 802.1AE (MACsec), byla vyvinuta s cílem zajistit bezpečnost dat v pohybu.

Po uvedení zařízení a bezpečném zabezpečení na síti musí být do zařízení vkládány neustále opravy firmwaru a aktualizace softwaru.

Komplexní bezpečnostní rámec zařízení by měl obsahovat:

ŠIFROVÁNÍ – Důležité je šifrování dat v klidu, ale i na cestě mezi vysílajícím a přijímajícím zařízením, tedy v pohybu. Technologie šifrování dat například Secure Socket Layer (SSL), Transport Layer Security (TLS) a X.509 PKI (Public Key Infrastucture) pro šifrování dat v celé síti. PKI jsou certifikáty využívající autentizaci zařízení se zachováním jejich integrity.

AUTENTIFIKACE – Probíhá prostřednictvím hesla až po dvoufaktorové autentizace. Pro zajištění standardní a podnikové sítě Wi-Fi může vyhovovat např. PSK, Wi-Fi Protected Access 2 (WPA2)-Enterprise a Extensible Authentication Protocol (EAP).

VERIFIKACE - SecureBoot, (kryptograficky ověřuje firmwarové a softwarové balíky během bootování) a aktualizace SecureFirmware-Over-The-Air (FOTA) zabezpečuje, že pouze autorizovaný firmware dostane programem zabezpečené úložiště, které chrání kritické informace o klíči a heslu k zařízení.

OEM, kteří vědomě spolupracují se svými dodavateli, jsou schopni přinášet nový pohled na potřeby a řešení problémových oblastí.
Jedním z nich je i náš dodavatel, společnost Lantronix. Bloky, moduly, brány a IT síťová zařízení společnosti Lantronix poskytují různé integrované technologie, které pomáhají OEM vytvářet bezpečně připojená zařízení, jakož i řešení pro poskytovatele řešení, systémových integrátorů a koncových uživatelů, aby zajistili kompletní bezpečnost IoT pro své aplikace s naprostou bezpečností během celého životního cyklu zařízení.


REFERENCE
Gartner, Securing the Internet of Things ,
Forbes, Transforming Economic Growth with The Industrial Internet of Things
Wikipedia, Industrie 4.0

Zdroj: Lantronix.com 

Nezmeškejte takové články!

Líbí se Vám naše články? Nezmeškejte už ani jeden z nich! Nemusíte se o nic starat, my zajistíme doručení až k Vám.

Hlavní produkty


XPC240100B LANTRONIX  
XPC240100B

xPico 240 Emb GW, Wi-Fi, Eth, Dual U.FL, LGA, BULK

WiFi moduly

Obj. číslo : 236145
Výrobce: LANTRONIX
skladem 11 ks
1 ks+
50 ks+
100 ks+
250 ks+
875,00 Kč
808,00 Kč
762,00 Kč
729,00 Kč
Objednávám:
  • Vložit do košíku
  • Vyžádat cenu
  • Přidat k oblíbeným
  • Sledovat položku
  • Přidat produkt do porovnávače

Doplňující produkty

XPC240100S LANTRONIX
xPico 240 Emb IoT GW Wi-Fi Eth, Dual U.FL LGA
Obj.číslo
288128
Výrobce
Na objednávku
EOL
Objednávám:
  • Vložit do košíku
  • Vyžádat cenu
  • Přidat k oblíbeným
  • Sledovat položku
  • Přidat produkt do porovnávače
XPC240200B LANTRONIX
xPico 240 Emb GW, Wi-Fi, Eth, Module Ant, LGA, BULK
Obj.číslo
236147
Výrobce
skladem 21 ks
1 ks+ 875,00 Kč 50 ks+ 808,00 Kč 100 ks+ 762,00 Kč 250 ks+ 729,00 Kč
Objednávám:
  • Vložit do košíku
  • Vyžádat cenu
  • Přidat k oblíbeným
  • Sledovat položku
  • Přidat produkt do porovnávače
XPC240300EK LANTRONIX
xPico 240 Evalution Kit, Emb IoT GW Wi-Fi, Eth, Dual-band
Obj.číslo
288293
Výrobce
skladem 1 ks
1 ks+ 3 050,00 Kč 50 ks+ 2 820,00 Kč 100 ks+ 2 660,00 Kč 250 ks+ 2 540,00 Kč
Objednávám:
  • Vložit do košíku
  • Vyžádat cenu
  • Přidat k oblíbeným
  • Sledovat položku
  • Přidat produkt do porovnávače
XPC240400B LANTRONIX
xPico 240 Emb GW, Wi-Fi, Eth, Dual U.FL, Edge Conn.
Obj.číslo
288290
Výrobce
Na objednávku
EOL
Objednávám:
  • Vložit do košíku
  • Vyžádat cenu
  • Přidat k oblíbeným
  • Sledovat položku
  • Přidat produkt do porovnávače
Soubory cookie nám pomáhají poskytovat služby. Používáním našich služeb vyjadřujete souhlas s používáním souborů cookie.
OK Více informací