Vad är IoT-säkerhet (internet of things-säkerhet)?

IoT-säkerhet (internet of things security) är tekniksegmentet fokuserat på att skydda anslutna enheter och nätverk i IoT. IoT innebär att lägga till internetanslutning till ett system av sammankopplade datorenheter, mekaniska och digitala maskiner, föremål, djur och människor. Varje sak har en unik identifierare och möjligheten att automatiskt överföra data över ett nätverk. Men att tillåta enheter att ansluta till internet öppnar dem för allvarliga sårbarheter om de inte är ordentligt skyddade.

Uttrycket IoT är extremt brett, och när denna teknik fortsätter att utvecklas blir termen bara bredare. Från klockor till termostater till videospelskonsoler, nästan alla tekniska enheter kan interagera med internet eller andra enheter i viss kapacitet.

IoT-säkerhet är ännu bredare än IoT, vilket resulterar i en mängd olika metoder som faller under det paraplyet. Applikationsprogrammeringsgränssnitt (API) säkerhet, offentlig nyckelinfrastruktur (PKI) autentisering och nätverkssäkerhet är bara några av metoderna IT kan använda för att bekämpa det växande hotet från cyberbrottslighet och Cyber ​​terrorism rotade i sårbara IoT-enheter.

Varför är IoT-säkerhet viktig?

På grund av den okonventionella tillverkningen av IoT-enheter och den stora mängd data de hanterar, finns det ett konstant hot om cyberattacker. Flera uppmärksammade incidenter där en gemensam IoT-enhet användes för att infiltrera och attackera det större nätverket har uppmärksammat behovet av IoT-säkerhet.

Den ständigt överhängande möjligheten till sårbarheter, dataöverträdelser och andra risker förknippade med IoT-enhetsanvändning understryker det akuta behovet av stark IoT-säkerhet. IoT-säkerhet är avgörande för företag, eftersom det inkluderar ett brett utbud av tekniker, strategier, protokoll och åtgärder som syftar till att mildra den ökande IoT-sårbarheten hos moderna företag.

[Inbäddat innehåll]

IoT-säkerhetsfrågor och utmaningar

Ju fler sätt det finns för enheter att ansluta till varandra, desto fler möjligheter finns det för hotaktörer att avlyssna dem. Protokoll för hypertextöverföring och API:er är bara två av de kanaler som IoT-enheter förlitar sig på som hackare kan fånga upp.

IoT-paraplyet inkluderar inte strikt internetbaserade enheter heller. Apparater som använder Bluetooth-teknik räknas också som IoT-enheter och kräver därför IoT-säkerhet.

Följande IoT-säkerhetsutmaningar fortsätter att hota den ekonomiska säkerheten för både individer och organisationer:

• Exponering på avstånd. Till skillnad från andra tekniker har IoT-enheter en särskilt stor attackytan på grund av deras internetstödda anslutning. Även om denna tillgänglighet är extremt värdefull, ger den också hackare möjlighet att interagera med enheter på distans. Det är därför hackkampanjer, som t.ex Nätfiske, är särskilt effektiva. IoT-säkerhet, inklusive moln säkerhet, måste stå för ett stort antal ingångspunkter för att skydda tillgångar.
• Brist på branschförutseende. Som organisationer fortsätter med digitala transformationer, så även vissa industrier och deras produkter. Bil- och hälsovårdsindustrin har utökat sitt urval av IoT-enheter för att bli mer produktiva och kostnadseffektiva. Denna digitala revolution har dock också resulterat i ett större tekniskt beroende än någonsin tidigare. Även om det normalt inte är ett problem, kan ett beroende av teknik förstärka konsekvenserna av ett framgångsrikt dataintrång. Det som gör detta oroande är att dessa industrier nu förlitar sig på delar av teknik som i sig är mer sårbara: IoT-enheter. Inte nog med det, utan många hälsovårds- och bilföretag var inte beredda att investera den summa pengar och resurser som krävdes för att säkra dessa enheter. Denna brist på branschframsyn har i onödan utsatt många organisationer och tillverkare för ökad cybersäkerhetshot.
• Resurs begränsningar. Inte alla IoT-enheter har datorkraft för att integrera sofistikerade brandväggar eller antivirusprogram. Faktum är att vissa enheter knappt kan ansluta till andra enheter. IoT-enheter som har anammat Bluetooth-teknik har till exempel drabbats av en nyligen våg av dataintrång. Fordonsindustrin har återigen varit en av de marknader som drabbats hårdast.
• Svaga standardlösenord. IoT-enheter kommer ofta med svaga lösenord, och de flesta konsumenter kanske inte är medvetna om att de måste ersättas med säkrare. Om standardlösenord inte ändras på IoT-enheter kan det göra dem sårbara för brute-force och andra hackingattacker.
• Flera anslutna enheter. De flesta hushåll har idag flera sammankopplade enheter. Nackdelen med denna bekvämlighet är att om en enhet misslyckas på grund av en felkonfiguration av säkerheten, går resten av de anslutna enheterna i samma hushåll nere också.
• Brist på kryptering. Den mesta nätverkstrafiken som kommer från IoT-enheter är okrypterad, vilket ökar risken för säkerhetshot och dataintrång. Dessa hot kan undvikas genom att se till att alla enheter är säkrade och krypterade.

År 2020 hackade en cybersäkerhetsexpert en Tesla Modell X på mindre än 90 sekunder genom att dra fördel av en enorm Bluetooth-sårbarhet. Andra bilar som förlitar sig på trådlösa nyckelbrickor för att öppna och starta har upplevt liknande attacker. Hotaktörer har hittat ett sätt att skanna och replikera gränssnittet för dessa fobs för att stjäla fordon utan att så mycket som utlösa ett larm. Om tekniskt avancerade maskiner, som ett Tesla-fordon, är sårbara för ett IoT-dataintrång, så är alla andra smarta enheter det också.

Hur man skyddar IoT-system och enheter

Företag kan använda följande verktyg och tekniker för att förbättra sina dataskyddsprotokoll och säkerhetsställning:

1. Inför IoT-säkerhet under designfasen. Av de IoT-säkerhetsrisker och -frågor som diskuteras kan de flesta övervinnas med bättre förberedelser, särskilt under forsknings- och utvecklingsprocessen i början av varje konsument-, företags- eller industribaserad IoT (IIoT) enhetsutveckling. Att aktivera säkerhet som standard är avgörande, tillsammans med att tillhandahålla de senaste operativsystemen och använda säker hårdvara.

   IoT-utvecklare bör vara uppmärksamma på cybersäkerhetssårbarheter under varje utvecklingsstadium – inte bara designfasen. Bilnyckelhacken kan till exempel mildras genom att föraren placerar sin fob i en metalllåda eller bort från fönstren och korridorerna i sitt hem.

2. PKI och digitala certifikat. PKI kan säkra klient-server-anslutningar mellan flera nätverksanslutna enheter. Genom att använda ett tvånycklars asymmetriskt kryptosystem kan PKI underlätta kryptering och dekryptering av privata meddelanden och interaktioner med digitala certifikat. Dessa system hjälper till att skydda den klartextinformation som användarna matar in på webbplatser för att slutföra privata transaktioner. E-handel skulle inte kunna fungera utan säkerheten från PKI.
3. Nätverkssäkerhet. Nätverk ger en enorm möjlighet för hotaktörer att fjärrstyra IoT-enheter. Eftersom nätverk involverar både digitala och fysiska komponenter, bör IoT-säkerhet på plats adressera båda typerna av åtkomstpunkter. Att skydda ett IoT-nätverk inkluderar att säkerställa portsäkerhet, inaktivera portvidarebefordran och aldrig öppna portar när det inte behövs; använda antimalware, brandväggar, intrångsdetekteringssystem och intrångsförebyggande system; blockering av obehöriga IP-adresser; och se till att systemen är korrigerade och uppdaterade.
   

4. API-säkerhet. API:er är ryggraden i de flesta sofistikerade webbplatser. De gör det möjligt för resebyråer att till exempel samla flyginformation från flera flygbolag på en plats. Tyvärr kan hackare äventyra dessa kommunikationskanaler, vilket gör API-säkerhet nödvändigt för att skydda integriteten hos data som skickas från IoT-enheter till back-end-system och säkerställa att endast auktoriserade enheter, utvecklare och appar kommunicerar med API:er. T-Mobiles dataintrång 2018 avslöjade konsekvenserna av dålig API-säkerhet. På grund av ett läckande API avslöjade mobiljätten personuppgifter från mer än 2 miljoner kunder, inklusive faktureringspostnummer, telefonnummer och kontonummer.

Ytterligare IoT-säkerhetsmetoder

Andra sätt att introducera IoT-säkerhet inkluderar följande:

• Nätverksåtkomstkontroll (NAC). NAC kan hjälpa till att identifiera och inventera IoT-enheter som ansluter till ett nätverk. Detta ger en baslinje för spårnings- och övervakningsenheter.
• Segmentering. IoT-enheter som behöver ansluta direkt till internet bör segmenteras i sina egna nätverk och ha begränsad åtkomst till företagsnätverket. Nätverkssegment bör övervaka för onormal aktivitet och vidta åtgärder om ett problem upptäcks.
• Säkerhetsportar. Fungerar som en mellanhand mellan IoT-enheter och nätverket, säkerhetsportar har mer processorkraft, minne och kapacitet än IoT-enheterna själva, vilket låter dem lägga till funktioner som brandväggar för att säkerställa att hackare inte kan få tillgång till IoT-enheterna de ansluter.
• Patchhantering och kontinuerliga programuppdateringar. Det är viktigt att tillhandahålla ett sätt att uppdatera enheter och programvara antingen via nätverksanslutningar eller genom automatisering. Att ha en samordnad avslöjande av sårbarheter är också viktigt för att uppdatera enheter så snart som möjligt. Överväg även strategier för livets slut.
• Träning. IoT och operativ systemsäkerhet är nytt för många befintliga säkerhetsteam. Säkerhetspersonalen måste hålla sig uppdaterad med nya eller okända system, lära sig nya arkitekturer och programmeringsspråk och vara redo för nya säkerhetsutmaningar. C-nivå och cybersäkerhetsteam bör få regelbundna utbildning i cybersäkerhet att hålla jämna steg med moderna hot och säkerhetsåtgärder.
• Teamintegration. Tillsammans med träning kan det vara användbart att integrera olika och regelbundet silade lag. Till exempel kan programmeringsutvecklare arbeta med säkerhetsspecialister hjälpa till att säkerställa att rätt kontroller läggs till enheter under utvecklingsfasen.
• Konsumentutbildning. Konsumenter måste göras medvetna om farorna med IoT-system och tillhandahålla steg för att förbli säkra, som att uppdatera standardreferenser och tillämpa programuppdateringar. Konsumenter kan också spela en roll när det gäller att kräva att enhetstillverkare skapar säkra enheter och vägrar använda de som inte uppfyller höga säkerhetsstandarder.
• Genomförande och automatisering av noll-förtroendepolitik. Smakämnen nollförtroende-modell föreskriver att alla användare – oavsett om de är inom eller utanför organisationens nätverk – måste verifieras, auktoriseras och kontinuerligt utvärderas för säkerhetskonfiguration och ställning innan de ges åtkomst till applikationer och data. Att automatisera nollförtroendepolicyer och genomdriva dem över hela linjen kan hjälpa till att mildra säkerhetshot mot IoT-enheter.
• Flerfaktorautentisering (MFA). UD lägger till ett extra lager av säkerhet genom att kräva mer än en form av identifiering när du begär åtkomst till en enhet eller ett nätverk. Genom att upprätthålla MFA-policyer kan både företag och hemanvändare förbättra säkerheten för IoT-enheter.
• Maskininlärning (ML). ML-teknik kan användas för att säkra IoT-enheter genom att automatisera hanteringen och skanningen av enheter i hela nätverket. Eftersom varje enhet som är ansluten till nätverket skannas, stoppar den angrepp automatiskt innan IT-team larmas. Det var vad som hände 2018 när Microsoft Windows Defender-programvaran stoppade en Trojan skadlig kod attack på 30 minuter.

Vilka branscher är mest sårbara för IoT-säkerhetshot?

IoT-säkerhetshack kan hända var som helst – från en smarta hem till en tillverkningsanläggning till en ansluten bil. Attackens svårighetsgrad beror i hög grad på det enskilda systemet, den data som samlas in och den information som den innehåller.

Till exempel kan en attack som inaktiverar bromsarna på en ansluten bil eller hacka en ansluten hälsoenhet, som en insulinpump, vara livshotande. På samma sätt kan en attack på ett kylsystem som innehåller medicin som övervakas av ett IoT-system förstöra livskraften för en medicin om temperaturen fluktuerar. På samma sätt kan en attack mot kritisk infrastruktur, såsom en oljekälla, energinät eller vattenförsörjning, vara katastrofal.

Andra attacker kan dock inte underskattas. Till exempel kan en attack mot smarta dörrlås potentiellt tillåta en inbrottstjuv att ta sig in i ett hem. Eller, i andra säkerhetsöverträdelser, kan en angripare skicka skadlig programvara genom ett anslutet system för att skrapa personlig identifierbar information, orsakar förödelse för de drabbade.

Generellt sett inkluderar branscher och byråer som är mest sårbara för IoT-säkerhetshot, men är inte begränsade till, följande:

• Detaljhandelsföretag.
• Lastbilsindustrin.
• Hemelektronik.
• Verktyg och kritisk infrastruktur.
• Sjukvård.
• Utbildning.
• Statliga myndigheter.
• Finansiella institut.
• Energi- och energibolag.

Vilka IoT-enheter är mest sårbara för säkerhetsintrång?

I en hembaserad miljö är vanligtvis IoT-enheter som smarta TV-apparater, kylskåp, kaffemaskiner och babyvakter kända för att vara sårbara för säkerhetsattacker.

I företagsmiljöer kan medicinsk utrustning och nätverksinfrastrukturenheter, såsom videokameror och skrivare, vara potentiella mål. Enligt forskning från IoT-säkerhetsleverantören Armis, 59% av IP-kameror deras plattform som övervakas i kliniska miljöer har kritiska svårighetsgrader, medan den näst farligaste IoT-utrustningen på kliniska platser är skrivare, som har 37 % oparpade Vanliga sårbarheter och exponeringar, varav 30 % är av kritisk svårighetsgrad.

Anmärkningsvärda IoT-säkerhetsintrång och IoT-hack

Säkerhetsexperter har varnat för den potentiella risken med ett stort antal osäkra enheter anslutna till internet sedan IoT-konceptet först uppstod i slutet av 1990-talet. Många attacker har senare skapat rubriker - från kylskåp och TV-apparater som används för att skicka spam till hackare som infiltrerar babymonitorer och pratar med barn. Många IoT-hack riktar sig inte mot enheterna själva, utan använder snarare IoT-enheter som en ingångspunkt till det större nätverket.

Anmärkningsvärda IoT-säkerhetsattacker inkluderar följande:

• År 2010 avslöjade forskare att Stuxnet-viruset användes för att fysiskt skada iranska centrifuger, med attacker som började 2006 men den primära attacken inträffade 2009. Stuxnet ansåg ofta vara ett av de tidigaste exemplen på en IoT-attack. Översynskontroll och dataförvärvning system i industriella kontrollsystem som använder skadlig programvara för att infektera instruktioner som skickas av programmerbara logiska styrenheter. Attacker mot industriella nätverk har fortsatt, med skadlig programvara som CrashOverride – även känd som Industroyer – Triton och VPNFilter som riktar sig mot sårbar operativ teknik och IIoT-system.
• I december 2013 upptäckte en forskare på företagssäkerhetsföretaget Proofpoint Inc. det första IoT-botnätet. Enligt forskaren bestod mer än 25 % av botnätet av andra enheter än datorer, inklusive smarta TV-apparater, babyvakter och hushållsapparater.
• 2015 utförde säkerhetsforskarna Charlie Miller och Chris Valasek ett trådlöst hack på en jeep, bytte radiostation på bilens mediacenter, slog på vindrutetorkarna och luftkonditioneringen och stoppade gaspedalen från att fungera. De sa att de också kunde döda motorn, koppla in bromsarna och inaktivera bromsarna helt och hållet. Miller och Valasek kunde infiltrera bilens nätverk genom Chryslers anslutningssystem för fordon, Uconnect.
• Mirai, ett av de största IoT-botnäten hittills, attackerade först journalisten Brian Krebs hemsida och franska webbhotell OVH i september 2016; attackerna klockades in på 630 gigabit per sekund respektive 1.1 terabit per sekund. Följande månad, domännamnssystem tjänsteleverantören Dyns nätverk var inriktat på att skapa ett antal webbplatser, inklusive Amazon, Netflix, Twitter och The New York Times, otillgänglig i timmar. Attackerna infiltrerade nätverket genom konsumenternas IoT-enheter, inklusive IP-kameror och routrar. Ett antal Mirai-varianter har sedan dess dykt upp, inklusive Hajime, Hide 'N Seek, Masuta, PureMasuta, Wicked och Okiru.
• I ett meddelande från januari 2017 varnade Food and Drug Administration för att de inbyggda systemen i radiofrekvensaktiverade St. Jude Medicals implanterbara hjärtenheter – inklusive pacemakers, defibrillatorer och omsynkroniseringsenheter – kan vara sårbara för säkerhetsintrång och attacker.
• I juli 2020 upptäckte Trend Micro en IoT Mirai botnet-nedladdare som var anpassningsbar till nya malware-varianter, vilket skulle hjälpa till att leverera skadliga nyttolaster till exponerade Big-IP-boxar. De prover som hittades utnyttjade också nyligen avslöjade eller oparpade sårbarheter i vanliga IoT-enheter och mjukvara.
• I mars 2021 hade säkerhetskamerastarten Verkada 150,000 XNUMX av sina live kameraflöden hackade av en grupp schweiziska hackare. Dessa kameror övervakade aktivitet i skolor, fängelser, sjukhus och privata företagsanläggningar, som Tesla.
• I slutet av 2022 började hackare utnyttja en serie av 13 IoT-sårbarheter relaterade till fjärrkörning av kod. De installerade en modifierad version av Mirai malware på komprometterade enheter, vilket gav dem obehörig kontroll över de drabbade systemen.
• I mars 2023 visade sig Akuvox smarta intercom ha nolldagarsbrister som möjliggjorde fjärravlyssning och övervakning.
• Också i mars 2023, sårbarheter i Trusted Platform Module 2.0-protokoll relaterat till buffertspill hittades, vilket satte miljarder IoT-enheter i fara.

IoT-säkerhetsstandarder och lagstiftning

Många IoT-säkerhetsramverk finns, men det finns ingen enskild branschaccepterad standard till dags dato. Men att bara anta ett IoT-säkerhetsramverk kan hjälpa; de tillhandahåller verktyg och checklistor för att hjälpa företag som skapar och distribuerar IoT-enheter. Sådana ramverk har släppts av den ideella GSM Association, IoT Security Foundation, Industry IoT Consortium och andra organisationer.

Andra IoT-säkerhetsstandarder och -föreskrifter inkluderar följande:

• I september 2015 släppte Federal Bureau of Investigation ett public service-meddelande, FBI Alert Number I-091015-PSA, som varnade för potentiella sårbarheter hos IoT-enheter och erbjöd konsumentskydd och försvarsrekommendationer.
• I augusti 2017 införde kongressen IoT Cybersecurity Improvement Act, som skulle kräva att alla IoT-enheter som säljs till den amerikanska regeringen inte använder standardlösenord, inte har kända sårbarheter och erbjuder en mekanism för att patcha enheterna. Samtidigt som den syftar till att de tillverkare som skapar enheter som säljs till regeringen, satte den en baslinje för säkerhetsåtgärder som alla tillverkare bör vidta.
• Även om det inte är IoT-specifikt Allmän uppgiftsskyddsförordning, som släpptes i maj 2018, förenar dataskyddslagar i hela Europeiska unionen. Dessa skydd sträcker sig till IoT-enheter och deras nätverk.
• I juni 2018 introducerade kongressen State of Modern Application, Research and Trends of IoT Act (SMART IoT Act) för att föreslå handelsdepartementet att genomföra en studie av IoT-branschen och ge rekommendationer för säker tillväxt av IoT-enheter. Även om SMART IoT ACT inte har antagits i lag ännu, har den införts i flera sessioner av kongressen.
• I september 2018 godkände delstatens lagstiftande församling i Kalifornien Senate Bill 327 Information Privacy: Connected devices, en lag som införde säkerhetskrav för IoT-enheter som säljs i USA
• I februari 2019 släppte European Telecommunications Standards Institute den första globalt tillämpliga standarden för konsumenternas IoT-säkerhet – ett område som tidigare inte hade behandlats i en sådan skala.
• I januari 2020 antog Senatens Developing Innovation and Growing the Internet of Things Act, eller DIGIT Act. Detta lagförslag kräver att handelsdepartementet sammankallar en arbetsgrupp och skapar en rapport om IoT, inklusive säkerhet och integritet.
• I december 2020 undertecknade den tidigare presidenten Donald Trump IoT Cybersecurity Improvement Act 2020, regissera National Institute of Standards and Technology att skapa minimistandarder för cybersäkerhet för de IoT-enheter som kontrolleras eller ägs av den amerikanska regeringen.
• 2022 trädde Storbritanniens lag om produktsäkerhet och telekommunikationsinfrastruktur i kraft. Denna lag kräver att alla smarta konsumentenheter ska kunna mildra och skydda mot cyberattacker.

IoT-attacker och säkerhet varierar

IoT-säkerhetsmetoderna varierar beroende på den specifika IoT-applikationen och dess plats i IoT-ekosystemet. Till exempel bör IoT-tillverkare – från produkttillverkare till halvledarföretag – koncentrera sig på att bygga in säkerhet i sina enheter från början, göra hårdvara manipulationssäker, bygga säker hårdvara, säkerställa säkra uppgraderingar, tillhandahålla firmwareuppdateringar och patchar och utföra dynamiska tester.

Utvecklare av IoT-enheter bör fokusera på säker mjukvaruutveckling och säker integration. För dem som distribuerar IoT-system är hårdvarusäkerhet och autentisering kritiska åtgärder. Likaså för operatörer är det viktigt att hålla systemen uppdaterade, mildra skadlig programvara, revision, skydda infrastruktur och skydda referenser. Med all IoT-distribution är det dock viktigt att väga kostnaden för säkerhet mot riskerna innan installation.

IoT-slutpunkter har dykt upp som toppmål för cyberbrottslingar. Upptäck topp 12 IoT-säkerhetshot och hur man prioriterar dem.