Bảo mật IoT – Điều quan trọng trong tất cả các thiết kế và triển khai thiết bị IoT
Cách tiếp cận của bạn để bảo mật các thiết bị IoT là gì?
Lịch sử của Internet có thể đã rất ngắn ngủi nếu chúng ta không có khả năng giải quyết các vấn đề bảo mật một cách có hệ thống và an toàn khỏi những kẻ có ý định tấn công bảo mật. Các trình duyệt web đầu tiên giao tiếp với máy chủ bằng cách sử dụng các luồng dữ liệu không được mã hóa, không có khả năng bảo vệ. Ban đầu, hầu hết các máy tính đều có địa chỉ internet riêng mà không có bất kỳ bức tường lửa hay biện pháp bảo vệ nào chống lại tin tặc. Nó được ví như một thành phố khổng lồ đầy những ngôi nhà không khóa.
Sẽ không có Thương mại điện tử nếu thông tin liên lạc, thông tin đăng nhập của người dùng không được bảo vệ SSL (TLS) và các biện pháp bảo mật khác không được kích hoạt. Tất cả chúng ta đều quen thuộc với biểu tượng ổ khóa trên thanh trình duyệt, nó cho biết một chứng chỉ hợp lệ đang bảo vệ dữ liệu được truyền đến; người dùng cần phải nhập tên và mật khẩu để nhận dạng và đối với điện thoại thông minh, nhiều người dùng thường có thói quen lưu mật khẩu của mình vào bộ nhớ nhưng khi sử dụng thì lại thích nhận dạng bằng vân tay hoặc khuôn mặt hơn là mật khẩu đã lưu trước đó.
Bất kỳ thiết bị nào có thể kết nối với Internet đều có khả năng xảy đối mặt với các vấn đề bảo mật. Có những trường hợp bộ điều nhiệt thông minh được nhắm tới để gây ra thiệt hại cho máy tính và những hình ảnh hoặc video liên quan đến trẻ em – cái mà có khả năng bảo mật hạn chế sẽ trở thành mục tiêu cho những kẻ xấu khai thác. Chúng tôi đã thấy có rất nhiều thiết bị với khả năng bảo mật và tính toán hạn chế kết hợp tạo ra các cuộc tấn công DdoS và các phương tiện được kết nối có thể bị tấn công từ xa kể cả khi đang di chuyển.
Bảo mật là điều tối quan trọng trong tất cả các thiết kế và triển khai thiết bị IoT.
Chúng ta có thể giải quyết vấn đề này bằng cơ chế bảo mật nhiều tầng, không giống như trình duyệt web, với các biện pháp bổ sung sau:
- Điện thoại thông minh, thiết bị quét và các nút truyền thông khác có thể truy cập vào thiết bị của chúng tôi bằng cách sử dụng các kỹ thuật mã hóa SSL mới nhất để giao tiếp với máy chủ của chúng tôi.
- Người dùng có quyền truy cập và quyền “chỉ đọc” vào các thiết bị mà không cần nhập thông tin đăng nhập, nhưng tất cả các quyền truy cập nhạy cảm và ghi đều yêu cầu nhận dạng.
- Tất cả các thiết bị có thể tương tác với các thiết bị IoT phải sử dụng Mô-đun bảo mật được chứng nhận, với thông tin xác thực nhúng được chỉ định cho nhà phát triển phần mềm đã đăng ký của các ứng dụng đó.
- Tất cả dữ liệu nhạy cảm, bao gồm cả giấy khai sinh kỹ thuật số được gán cho mỗi chip IoT riêng lẻ, được mã hóa bằng cách sử dụng các thiết bị cấp chứng. Đây hiện là cơ chế nội bộ để duy trì các khóa mật mã được sử dụng để mã hóa dữ liệu này.
- Trong tương lai, có thể sử dụng một quy trình đã được cấp bằng sáng chế để ghi nhận dạng vật lý được mã hóa lên chính các chip theo cách có thể được sử dụng như một cấp bảo vệ khác.
Các yếu tố quan trọng nhất của bảo mật IoT là gì?
Bảo mật các thiết bị IoT phải là một phần của kiến trúc của kế hoạch triển khai tổng thể, điều mà nên được ưu tiên được xem xét ngay từ đầu. Đồng thời nó phải là một giải pháp có thể thích ứng được. Việc cập nhật các chương trình cơ sở hoặc thông tin xác thực bảo mật trên hàng trăm thiết bị là một chuyện, hàng trăm nghìn hoặc hàng triệu thiết bị lại là chuyện khác. Ngoài ra, trong quá trình cập nhật cần được triển khai an toàn vì đây là một điểm yếu bảo mật tiềm ẩn khác.
Bảo mật của các thiết bị IoT đã thay đổi như thế nào và các vấn đề phổ biến nhất mà bạn thấy với bảo mật IoT là gì?
Có hàng chục kiến trúc bảo mật IoT độc quyền khác nhau đến từ mỗi nhà cung cấp. Nhưng chúng tôi không thấy các nhà cung cấp này thiết kế các cấu trúc có khả năng tương tác. Trong thế giới IoT, nhiều thiết bị có rất ít hoặc không có bảo mật. LocatorX đang thiết kế một kiến trúc bảo mật vừa mở vừa an toàn và sử dụng cơ quan cấp chứng chỉ tiêu chuẩn ngành cho phép người dùng tương tác. Với công nghệ LocatorX, bất kỳ người dùng nào sở hữu thiết bị hoặc sản phẩm đều có thể truy cập một cách an toàn.
Một số vấn đề trong thế giới thực mà bạn hoặc khách hàng của bạn đang giải quyết bằng cách bảo mật các thiết bị IoT là gì?
Việc sử dụng các thiết bị để theo dõi một mặt hàng, một tình huống hoặc pallet riêng lẻ ở hiện tại là điều phổ biến. Bất kỳ ai tiếp xúc với sản phẩm đều có thể quét mặt hàng bằng điện thoại thông minh của họ và xác thực nó, vì vậy bạn có thể tin tưởng và hoàn toàn yên tâm về thông tin đến từ sản phẩm đó. Thông tin này được xác thực bởi một cơ quan cấp giấy chứng nhận sản phẩm cá nhân.
Bạn có bất kỳ mối quan tâm nào về tình trạng bảo mật IoT hiện tại không
Những hoạt động được coi là tốt nhất của ngày hôm nay có thể được coi là những điểm yếu tiềm ẩn của ngày mai. Ví dụ: nếu bạn theo dõi sự thay đổi của các phiên bản và mật mã TLS, bạn sẽ nhận ra rằng bất kỳ bản sửa lỗi nào cũng có thể mang tính tạm thời như thế nào. SSL là tiêu chuẩn ban đầu cho đến khi các lỗ hổng được phát hiện / khai thác. Sau đó, TLS 1.0, 1.1, 1.2 và bây giờ là 1.3 sẽ sớm trở thành tiêu chuẩn. Internet chính là một phần lý do cho sự phát triển này. Bất kỳ vi phạm thành công hoặc phương pháp xâm nhập hệ thống có thể được chia sẻ trên toàn thế giới trong vài phút. Lý do khác là quyền truy cập vào các nền tảng máy tính mạnh mẽ tiếp tục giảm chi phí và tăng tính khả dụng. Các phương pháp và mật mã TLS chỉ là các thuật toán toán học phức tạp, vì vậy các công cụ để bẻ khóa các thuật toán đó dễ dàng truy cập hơn.
Thách thức khác là ngăn chặn các cuộc tấn công “Trojan Horse”, nơi một phần cứng hoặc phần mềm được cài đặt bên trong phạm vi bảo mật của người dùng. Đây không phải là vấn đề với các thiết bị IoT nhưng có thể đến từ một nguồn khác đang cố gắng giành quyền truy cập vào dữ liệu nhạy cảm và có thể được sử dụng trong các cuộc tấn công IoT bên ngoài.
Hằng số duy nhất là có rất nhiều kẻ tấn công đang cố gắng vượt qua các bức tường bảo mật – và các dữ liệu bạn đang cố gắng bảo vệ càng nhạy cảm hoặc có giá trị thì các nỗ lực giành quyền kiểm soát hoặc truy cập sẽ càng xảy ra hơn.
Tương lai cho bảo mật IoT theo quan điểm của bạn là gì – những cơ hội lớn nhất nằm ở đâu?
Các hệ thống thông tin IoT để phục vụ ứng dụng đo lường, điều khiển trực tuyến thiết bị máy móc qua Internet ngày càng phổ biến. Bên cạnh sự phát triển mạnh mẽ của IoT, vấn đề an ninh và bảo mật thông tin ngày càng đóng vai trò quan trọng, nhằm đảm bảo an toàn cho thông tin quan trọng của khách hàng cũng như ngăn chặn việc truy cập điều khiển trái phép thiết bị. Để chống lại các thách thức vốn có của bảo mật IoT, ngoài việc tuân thủ các nguyên tắc chính ở các lớp trong hệ thống, cần tiếp tục tìm kiếm và trao đổi những kỹ thuật bảo mật đơn giản, hiệu quả giúp giảm nguy cơ trong hiện tại và tương lai, đặc biệt là bù đắp cho bản chất thiết kế IoT đa dạng và bảo mật không đầy đủ.