Bảo mật IoT (internet of things security) là gì?

Bảo mật IoT (internet of things security) là phân khúc công nghệ tập trung vào việc bảo vệ các thiết bị và mạng được kết nối trong IOT. IoT liên quan đến việc thêm kết nối internet vào một hệ thống gồm các thiết bị máy tính, máy cơ khí và kỹ thuật số, đồ vật, động vật và con người có liên quan với nhau. Mỗi điều có một định danh duy nhất và khả năng tự động truyền dữ liệu qua mạng. Tuy nhiên, việc cho phép các thiết bị kết nối với internet sẽ khiến chúng dễ bị tổn thương nghiêm trọng nếu chúng không được bảo vệ đúng cách.

Thuật ngữ IOT là cực kỳ rộng và khi công nghệ này tiếp tục phát triển, thuật ngữ này chỉ trở nên rộng hơn. Từ đồng hồ đến máy điều nhiệt đến máy chơi game video, gần như mọi thiết bị công nghệ đều có thể tương tác với internet hoặc các thiết bị khác ở một mức độ nào đó.

Bảo mật IoT thậm chí còn rộng hơn IoT, dẫn đến nhiều phương pháp khác nhau nằm trong phạm vi bảo mật đó. Giao diện lập trình ứng dụng (API) bảo mật, cơ sở hạ tầng khóa công khai (PKI) xác thực và bảo mật mạng chỉ là một số phương pháp mà CNTT có thể sử dụng để chống lại mối đe dọa ngày càng tăng của tội phạm mạng và khủng bố mạng bắt nguồn từ các thiết bị IoT dễ bị tấn công.

Tại sao bảo mật IoT lại quan trọng?

Do việc sản xuất các thiết bị IoT không theo quy chuẩn và lượng dữ liệu khổng lồ mà chúng xử lý nên luôn có mối đe dọa về các cuộc tấn công mạng. Một số sự cố nghiêm trọng trong đó một thiết bị IoT phổ biến được sử dụng để xâm nhập và tấn công mạng lớn hơn đã thu hút sự chú ý về nhu cầu bảo mật IoT.

Khả năng dễ bị tổn thương luôn xuất hiện, vi phạm dữ liệu và các rủi ro khác liên quan đến việc sử dụng thiết bị IoT nhấn mạnh nhu cầu cấp thiết về bảo mật IoT mạnh mẽ. Bảo mật IoT rất quan trọng đối với các doanh nghiệp, vì nó bao gồm một loạt các kỹ thuật, chiến lược, giao thức và hành động nhằm giảm thiểu các lỗ hổng IoT ngày càng tăng của các doanh nghiệp hiện đại.

[Nhúng nội dung]

Các vấn đề và thách thức bảo mật IoT

Càng có nhiều cách để các thiết bị kết nối với nhau, thì càng có nhiều cơ hội để các tác nhân đe dọa chặn chúng. Giao thức truyền siêu văn bản và API chỉ là hai trong số các kênh mà các thiết bị IoT dựa vào đó mà tin tặc có thể chặn được.

Chiếc ô IoT cũng không hoàn toàn bao gồm các thiết bị dựa trên internet. Các thiết bị sử dụng công nghệ Bluetooth cũng được tính là thiết bị IoT và do đó, yêu cầu bảo mật IoT.

Các thách thức bảo mật IoT sau đây tiếp tục đe dọa sự an toàn tài chính của cả cá nhân và tổ chức:

• phơi sáng từ xa. Không giống như các công nghệ khác, các thiết bị IoT có một bề mặt tấn công do kết nối hỗ trợ internet của họ. Mặc dù khả năng truy cập này cực kỳ có giá trị nhưng nó cũng mang đến cho tin tặc cơ hội tương tác với các thiết bị từ xa. Đây là lý do tại sao các chiến dịch hack, chẳng hạn như Lừa đảo, đặc biệt hiệu quả. Bảo mật IoT, bao gồm bảo mật đám mây, phải chiếm một số lượng lớn các điểm vào để bảo vệ tài sản.
• Thiếu tầm nhìn xa về ngành. Khi các tổ chức tiếp tục với chuyển đổi kỹ thuật sốmột số ngành công nghiệp và sản phẩm của họ cũng vậy. Các ngành công nghiệp ô tô và chăm sóc sức khỏe đã mở rộng lựa chọn thiết bị IoT để trở nên hiệu quả hơn và tiết kiệm chi phí hơn. Tuy nhiên, cuộc cách mạng kỹ thuật số này cũng dẫn đến sự phụ thuộc vào công nghệ lớn hơn bao giờ hết. Mặc dù thông thường không phải là vấn đề, nhưng sự phụ thuộc vào công nghệ có thể khuếch đại hậu quả của việc vi phạm dữ liệu thành công. Điều khiến điều này trở nên đáng lo ngại là các ngành này hiện đang dựa vào các phần công nghệ vốn dễ bị tổn thương hơn: các thiết bị IoT. Không chỉ vậy, nhiều công ty chăm sóc sức khỏe và ô tô đã không sẵn sàng đầu tư số tiền và nguồn lực cần thiết để bảo mật các thiết bị này. Việc thiếu tầm nhìn xa trong ngành này đã khiến nhiều tổ chức và nhà sản xuất phải đối mặt với nguy cơ gia tăng các mối đe dọa an ninh mạng.
• Ràng buộc tài nguyên. Không phải tất cả các thiết bị IoT đều có khả năng tính toán để tích hợp tường lửa hoặc phần mềm chống vi-rút tinh vi. Trên thực tế, một số thiết bị hầu như không thể kết nối với các thiết bị khác. Ví dụ, các thiết bị IoT đã áp dụng công nghệ Bluetooth đã phải chịu một làn sóng vi phạm dữ liệu gần đây. Ngành công nghiệp ô tô, một lần nữa, là một trong những thị trường bị ảnh hưởng nặng nề nhất.
• Mật khẩu mặc định yếu. Các thiết bị IoT thường đi kèm với mật khẩu yếu và hầu hết người tiêu dùng có thể không biết rằng chúng cần được thay thế bằng mật khẩu an toàn hơn. Nếu mật khẩu mặc định không được thay đổi trên các thiết bị IoT, điều đó có thể khiến chúng dễ bị tấn công brute-force và các cuộc tấn công hack khác.
• Nhiều thiết bị được kết nối. Hầu hết các hộ gia đình ngày nay có nhiều thiết bị được kết nối với nhau. Hạn chế của sự tiện lợi này là nếu một thiết bị bị lỗi do cấu hình bảo mật sai, các thiết bị được kết nối còn lại trong cùng một hộ gia đình cũng bị hỏng.
• Thiếu mã hóa. Hầu hết lưu lượng truy cập mạng bắt nguồn từ các thiết bị IoT đều không được mã hóa, điều này làm tăng khả năng xảy ra các mối đe dọa bảo mật và vi phạm dữ liệu. Có thể tránh được những mối đe dọa này bằng cách đảm bảo tất cả các thiết bị đều được bảo mật và mã hóa.

Vào năm 2020, một chuyên gia an ninh mạng đã hack một Tesla Model X trong vòng chưa đầy 90 giây bằng cách tận dụng lỗ hổng Bluetooth lớn. Những chiếc xe khác dựa vào chìa khóa điện tử không dây để mở và khởi động cũng từng bị tấn công tương tự. Những kẻ đe dọa đã tìm ra cách quét và sao chép giao diện của những chiếc fob này để đánh cắp phương tiện mà không cần kích hoạt báo động. Nếu máy móc công nghệ tiên tiến, chẳng hạn như xe Tesla, dễ bị vi phạm dữ liệu IoT, thì bất kỳ thiết bị thông minh nào khác cũng vậy.

Cách bảo vệ các hệ thống và thiết bị IoT

Doanh nghiệp có thể sử dụng các công cụ và công nghệ sau để cải thiện các giao thức bảo vệ dữ liệu và trạng thái bảo mật của mình:

1. Giới thiệu bảo mật IoT trong giai đoạn thiết kế. Trong số các vấn đề và rủi ro bảo mật IoT được thảo luận, hầu hết có thể được khắc phục bằng sự chuẩn bị tốt hơn, đặc biệt là trong quá trình nghiên cứu và phát triển khi bắt đầu bất kỳ IoT dựa trên người tiêu dùng, doanh nghiệp hoặc công nghiệp nào (IIoT) phát triển thiết bị. Kích hoạt bảo mật theo mặc định là rất quan trọng, cùng với việc cung cấp các hệ điều hành mới nhất và sử dụng phần cứng bảo mật.

   Các nhà phát triển IoT nên lưu tâm đến các lỗ hổng bảo mật mạng trong từng giai đoạn phát triển — không chỉ giai đoạn thiết kế. Chẳng hạn, việc đánh cắp chìa khóa ô tô có thể được giảm thiểu bằng cách người lái xe đặt chìa khóa của họ vào hộp kim loại hoặc cách xa cửa sổ và hành lang trong nhà của họ.

2. PKI và chứng chỉ số. PKI có thể bảo mật các kết nối máy khách-máy chủ giữa nhiều thiết bị được nối mạng. Sử dụng hệ thống mật mã bất đối xứng hai khóa, PKI có thể tạo thuận lợi cho việc mã hóa và giải mã các tin nhắn và tương tác riêng tư bằng cách sử dụng chứng chỉ số. Các hệ thống này giúp bảo vệ thông tin văn bản rõ ràng do người dùng nhập vào các trang web để hoàn tất các giao dịch cá nhân. Thương mại điện tử sẽ không thể hoạt động nếu không có sự bảo mật của PKI.
3. An ninh mạng. Mạng cung cấp cơ hội lớn cho các tác nhân đe dọa điều khiển từ xa các thiết bị IoT. Vì các mạng liên quan đến cả thành phần kỹ thuật số và vật lý, nên bảo mật IoT tại chỗ sẽ giải quyết cả hai loại điểm truy cập. Bảo vệ mạng IoT bao gồm đảm bảo an ninh cổng, vô hiệu hóa chuyển tiếp cổng và không bao giờ mở cổng khi không cần thiết; sử dụng phần mềm chống phần mềm độc hại, tường lửa, hệ thống phát hiện xâm nhập và hệ thống ngăn chặn xâm nhập; chặn địa chỉ IP trái phép; và đảm bảo các hệ thống được vá lỗi và cập nhật.
   

4. Bảo mật API. API là xương sống của hầu hết các trang web phức tạp. Ví dụ, chúng cho phép các đại lý du lịch tổng hợp thông tin chuyến bay từ nhiều hãng hàng không vào một địa điểm. Thật không may, tin tặc có thể xâm phạm các kênh liên lạc này, khiến Bảo mật API cần thiết để bảo vệ tính toàn vẹn của dữ liệu được gửi từ thiết bị IoT đến hệ thống phụ trợ và đảm bảo chỉ những thiết bị, nhà phát triển và ứng dụng được ủy quyền mới giao tiếp với API. Vi phạm dữ liệu năm 2018 của T-Mobile đã phơi bày hậu quả của việc bảo mật API kém. Do API bị rò rỉ, gã khổng lồ di động đã để lộ dữ liệu cá nhân của hơn 2 triệu khách hàng, bao gồm mã ZIP thanh toán, số điện thoại và số tài khoản.

Các phương pháp bảo mật IoT bổ sung

Các cách khác để giới thiệu bảo mật IoT bao gồm:

• Kiểm soát truy cập mạng (NAC). NAC có thể giúp xác định và kiểm kê các thiết bị IoT kết nối với mạng. Điều này cung cấp một đường cơ sở cho các thiết bị theo dõi và giám sát.
• Phân khúc. Các thiết bị IoT cần kết nối trực tiếp với internet phải được phân đoạn thành các mạng riêng và có quyền truy cập hạn chế vào mạng doanh nghiệp. Các phân đoạn mạng phải theo dõi hoạt động bất thường, thực hiện hành động nếu phát hiện thấy sự cố.
• Cổng an ninh. Hoạt động như một trung gian giữa các thiết bị IoT và mạng, cổng an ninh có nhiều sức mạnh xử lý, bộ nhớ và khả năng hơn so với chính các thiết bị IoT, cho phép chúng thêm các tính năng như tường lửa để đảm bảo tin tặc không thể truy cập vào các thiết bị IoT mà chúng kết nối.
• Quản lý bản vá và cập nhật phần mềm liên tục. Điều quan trọng là cung cấp cách cập nhật thiết bị và phần mềm qua kết nối mạng hoặc thông qua tự động hóa. Việc phối hợp tiết lộ các lỗ hổng cũng rất quan trọng để cập nhật thiết bị càng sớm càng tốt. Cũng nên xem xét các chiến lược cuối đời.
• Đào tạo. IoT và bảo mật hệ thống vận hành là điều mới mẻ đối với nhiều nhóm bảo mật hiện có. Nhân viên bảo mật phải cập nhật các hệ thống mới hoặc chưa biết, tìm hiểu các kiến ​​trúc và ngôn ngữ lập trình mới, đồng thời sẵn sàng cho những thách thức bảo mật mới. Các nhóm cấp độ C và an ninh mạng sẽ nhận được thường xuyên đào tạo an ninh mạng để theo kịp các mối đe dọa hiện đại và các biện pháp an ninh.
• Hội nhập nhóm. Cùng với đào tạo, tích hợp các nhóm khác nhau và thường xuyên im lặng có thể hữu ích. Ví dụ: để các nhà phát triển lập trình làm việc với các chuyên gia bảo mật có thể giúp đảm bảo các biện pháp kiểm soát thích hợp được thêm vào thiết bị trong giai đoạn phát triển.
• Giáo dục người tiêu dùng. Người tiêu dùng phải nhận thức được sự nguy hiểm của các hệ thống IoT và cung cấp các bước để giữ an toàn, chẳng hạn như cập nhật thông tin xác thực mặc định và áp dụng các bản cập nhật phần mềm. Người tiêu dùng cũng có thể đóng một vai trò trong việc yêu cầu các nhà sản xuất thiết bị tạo ra các thiết bị an toàn và từ chối sử dụng những thiết bị không đáp ứng các tiêu chuẩn bảo mật cao.
• Thực thi và tự động hóa zero-chính sách ủy thác. Sản phẩm mô hình không tin cậy quy định rằng tất cả người dùng — dù ở bên trong hay bên ngoài mạng của tổ chức — phải được xác minh, ủy quyền và đánh giá liên tục về cấu hình và tư thế bảo mật trước khi được cấp quyền truy cập vào các ứng dụng và dữ liệu. Tự động hóa các chính sách không tin tưởng và thực thi chúng trên toàn bộ hệ thống có thể giúp giảm thiểu các mối đe dọa bảo mật đối với các thiết bị IoT.
• Đayếu tố xác thực (MFA). MFA thêm một lớp bảo mật bổ sung bằng cách yêu cầu nhiều hơn một hình thức nhận dạng khi yêu cầu quyền truy cập vào thiết bị hoặc mạng. Bằng cách thực thi các chính sách MFA, cả doanh nghiệp và người dùng gia đình đều có thể cải thiện tính bảo mật của thiết bị IoT.
• học máy (ML). Công nghệ ML có thể được sử dụng để bảo mật các thiết bị IoT bằng cách tự động hóa việc quản lý và quét các thiết bị trên toàn bộ mạng. Vì mọi thiết bị được kết nối với mạng đều được quét nên nó sẽ tự động dừng các cuộc tấn công trước khi các nhóm CNTT được cảnh báo. Đó là những gì đã xảy ra vào năm 2018 khi phần mềm Microsoft Windows Defender dừng một phần mềm độc hại Trojan tấn công trong 30 phút.

Những ngành nào dễ bị tổn thương nhất trước các mối đe dọa bảo mật IoT?

Các vụ hack bảo mật IoT có thể xảy ra ở bất cứ đâu — từ một nhà thông minh đến một nhà máy sản xuất đến một chiếc ô tô được kết nối. Mức độ nghiêm trọng của cuộc tấn công phụ thuộc rất nhiều vào từng hệ thống, dữ liệu được thu thập và thông tin chứa trong đó.

Ví dụ: một cuộc tấn công vô hiệu hóa hệ thống phanh của ô tô được kết nối hoặc hack thiết bị y tế được kết nối, chẳng hạn như máy bơm insulin, có thể đe dọa đến tính mạng. Tương tự như vậy, một cuộc tấn công vào hệ thống làm lạnh chứa thuốc được giám sát bởi hệ thống IoT có thể làm hỏng khả năng tồn tại của thuốc nếu nhiệt độ dao động. Tương tự, một cuộc tấn công vào cơ sở hạ tầng quan trọng, chẳng hạn như giếng dầu, mạng lưới năng lượng hoặc nguồn cung cấp nước, có thể là một thảm họa.

Tuy nhiên, các cuộc tấn công khác không thể được đánh giá thấp. Ví dụ, một cuộc tấn công vào khóa cửa thông minh có khả năng cho phép kẻ trộm vào nhà. Hoặc, trong các vi phạm bảo mật khác, kẻ tấn công có thể chuyển phần mềm độc hại qua một hệ thống được kết nối để thu thập dữ liệu thông tin cá nhân, tàn phá cho những người bị ảnh hưởng.

Nói chung, các ngành và cơ quan dễ bị tổn thương nhất trước các mối đe dọa bảo mật IoT bao gồm nhưng không giới hạn ở những điều sau:

• Các công ty bán lẻ.
• Ngành vận tải đường bộ.
• điện tử dân dụng.
• Tiện ích và cơ sở hạ tầng quan trọng.
• Chăm sóc sức khỏe.
• Giáo dục.
• Cơ quan chính phủ.
• Học viện Tài chính.
• Các công ty năng lượng và tiện ích.

Những thiết bị IoT nào dễ bị vi phạm bảo mật nhất?

Thông thường, trong môi trường tại nhà, các thiết bị IoT như TV thông minh, tủ lạnh, máy pha cà phê và màn hình trẻ em được biết là dễ bị tấn công bảo mật.

Trong cài đặt doanh nghiệp, thiết bị y tế và thiết bị cơ sở hạ tầng mạng, chẳng hạn như máy quay video và máy in, có thể là mục tiêu tiềm năng. Theo nghiên cứu từ nhà cung cấp bảo mật IoT Armis, 59% Camera IP nền tảng của họ được theo dõi trong môi trường lâm sàng có mức độ nghiêm trọng nghiêm trọng, trong khi thiết bị IoT nguy hiểm thứ hai tại các địa điểm lâm sàng là máy in, có 37% chưa được vá Các lỗ hổng và tiếp xúc thường gặp, 30% trong số đó là nghiêm trọng nghiêm trọng.

Các vi phạm bảo mật IoT đáng chú ý và các vụ hack IoT

Các chuyên gia bảo mật đã cảnh báo về nguy cơ tiềm ẩn của một số lượng lớn các thiết bị không an toàn được kết nối với internet kể từ khi khái niệm IoT lần đầu tiên xuất hiện vào cuối những năm 1990. Nhiều cuộc tấn công sau đó đã trở thành tiêu điểm — từ việc sử dụng tủ lạnh và TV để gửi thư rác cho đến việc tin tặc xâm nhập vào màn hình trẻ em và nói chuyện với trẻ em. Nhiều vụ hack IoT không nhắm mục tiêu vào chính các thiết bị mà sử dụng các thiết bị IoT làm điểm truy cập vào mạng lớn hơn.

Các cuộc tấn công bảo mật IoT đáng chú ý bao gồm:

• Năm 2010, các nhà nghiên cứu tiết lộ rằng virus Stuxnet đã được sử dụng để gây thiệt hại vật lý cho các máy ly tâm của Iran, với các cuộc tấn công bắt đầu từ năm 2006 nhưng cuộc tấn công chính xảy ra vào năm 2009. Stuxnet thường được coi là một trong những ví dụ sớm nhất về cuộc tấn công IoT. điều khiển giám sát và thu thập dữ liệu các hệ thống trong hệ thống điều khiển công nghiệp, sử dụng phần mềm độc hại để lây nhiễm các lệnh được gửi bởi bộ điều khiển logic khả trình. Các cuộc tấn công vào các mạng công nghiệp vẫn tiếp tục, với phần mềm độc hại như CrashOverride — còn được gọi là Industroyer — Triton và VPNFilter nhắm mục tiêu vào các hệ thống IIoT và công nghệ vận hành dễ bị tấn công.
• Vào tháng 2013 năm 25, một nhà nghiên cứu tại công ty bảo mật doanh nghiệp Proofpoint Inc. đã phát hiện ra mạng botnet IoT đầu tiên. Theo nhà nghiên cứu, hơn XNUMX% mạng botnet được tạo thành từ các thiết bị khác ngoài máy tính, bao gồm TV thông minh, màn hình trẻ em và thiết bị gia dụng.
• Vào năm 2015, các nhà nghiên cứu bảo mật Charlie Miller và Chris Valasek đã thực hiện một vụ hack không dây trên một chiếc xe Jeep, thay đổi đài phát thanh trên trung tâm truyền thông của ô tô, bật cần gạt nước kính chắn gió và điều hòa không khí, đồng thời ngăn chân ga hoạt động. Họ nói rằng họ cũng có thể tắt động cơ, gài phanh và vô hiệu hóa phanh hoàn toàn. Miller và Valasek đã có thể xâm nhập vào mạng của ô tô thông qua hệ thống kết nối trên ô tô của Chrysler, Uconnect.
• Mirai, một trong những botnet IoT lớn nhất cho đến nay, lần đầu tiên tấn công trang web của nhà báo Brian Krebs và máy chủ web OVH của Pháp vào tháng 2016 năm 630; các cuộc tấn công đạt tốc độ tương ứng là 1.1 gigabit mỗi giây và XNUMX terabit mỗi giây. Tháng sau, Hệ Thống Tên Miền mạng của nhà cung cấp dịch vụ Dyn đã bị nhắm mục tiêu, khiến một số trang web, bao gồm Amazon, Netflix, Twitter và The New York Times, không khả dụng trong nhiều giờ. Các cuộc tấn công đã xâm nhập vào mạng thông qua các thiết bị IoT tiêu dùng, bao gồm cả camera IP và bộ định tuyến. Kể từ đó, một số biến thể của Mirai đã xuất hiện, bao gồm Hajime, Hide 'N Seek, Masuta, PureMasuta, Wicked và Okiru.
• Trong một thông báo vào tháng 2017 năm XNUMX, Cục Quản lý Thực phẩm và Dược phẩm đã cảnh báo rằng các hệ thống nhúng trong các thiết bị tim cấy ghép có tần số vô tuyến của St. Jude Medical — bao gồm máy tạo nhịp tim, máy khử rung tim và thiết bị tái đồng bộ hóa — có thể dễ bị tấn công và xâm nhập an ninh.
• Vào tháng 2020 năm XNUMX, Trend Micro đã phát hiện ra một Trình tải xuống botnet IoT Mirai có thể thích ứng với các biến thể phần mềm độc hại mới, giúp phân phối các trọng tải độc hại đến các hộp Big-IP bị lộ. Các mẫu được tìm thấy cũng bị khai thác các lỗ hổng được tiết lộ gần đây hoặc chưa được vá trong các thiết bị và phần mềm IoT phổ biến.
• Vào tháng 2021 năm 150,000, công ty khởi nghiệp camera an ninh Verkada đã có XNUMX nguồn cấp dữ liệu camera trực tiếp bị hack bởi một nhóm hacker Thụy Sĩ. Những camera này giám sát hoạt động bên trong trường học, nhà tù, bệnh viện và các cơ sở của công ty tư nhân, chẳng hạn như Tesla.
• Vào cuối năm 2022, tin tặc bắt đầu khai thác một loạt 13 lỗ hổng IoT liên quan đến thực thi mã từ xa. Họ đã cài đặt phiên bản sửa đổi của phần mềm độc hại Mirai trên các thiết bị bị xâm nhập, cho phép họ kiểm soát trái phép các hệ thống bị ảnh hưởng.
• Vào tháng 2023 năm XNUMX, hệ thống liên lạc nội bộ thông minh của Akuvox bị phát hiện có lỗ hổng zero-day cho phép nghe lén và giám sát từ xa.
• Cũng trong tháng 2023 năm XNUMX, các lỗ hổng trong Trusted Platform Module 2.0 liên quan đến tràn bộ đệm đã được tìm thấy, khiến hàng tỷ thiết bị IoT gặp rủi ro.

Các tiêu chuẩn và luật bảo mật IoT

Nhiều khung bảo mật IoT tồn tại, nhưng cho đến nay vẫn chưa có tiêu chuẩn duy nhất được ngành công nghiệp chấp nhận. Tuy nhiên, chỉ cần áp dụng khung bảo mật IoT có thể hữu ích; họ cung cấp các công cụ và danh sách kiểm tra để giúp các công ty đang tạo và triển khai các thiết bị IoT. Các khuôn khổ như vậy đã được phát hành bởi Hiệp hội GSM phi lợi nhuận, Tổ chức bảo mật IoT, Hiệp hội IoT công nghiệp và các tổ chức khác.

Các tiêu chuẩn và quy định bảo mật IoT khác bao gồm:

• Vào tháng 2015 năm 091015, Cục Điều tra Liên bang đã phát hành một thông báo dịch vụ công cộng, Số cảnh báo FBI I-XNUMX-PSA, cảnh báo về các lỗ hổng tiềm ẩn của thiết bị IoT và đưa ra các khuyến nghị bảo vệ và bảo vệ người tiêu dùng.
• Vào tháng 2017 năm XNUMX, Quốc hội đã giới thiệu Đạo luật cải thiện an ninh mạng IoT, yêu cầu mọi thiết bị IoT được bán cho chính phủ Hoa Kỳ không được sử dụng mật khẩu mặc định, không có các lỗ hổng đã biết và đưa ra cơ chế để vá các thiết bị. Mặc dù nhắm đến những nhà sản xuất tạo ra thiết bị được bán cho chính phủ, nhưng nó đặt cơ sở cho các biện pháp bảo mật mà tất cả các nhà sản xuất nên áp dụng.
• Mặc dù không dành riêng cho IoT, Quy định về bảo vệ dữ liệu chung, được phát hành vào tháng 2018 năm XNUMX, thống nhất các luật về quyền riêng tư dữ liệu trên toàn Liên minh Châu Âu. Các biện pháp bảo vệ này mở rộng đến các thiết bị IoT và mạng của chúng.
• Vào tháng 2018 năm XNUMX, Quốc hội đã giới thiệu Đạo luật về tình trạng ứng dụng, nghiên cứu và xu hướng của IoT hiện đại (Đạo luật SMART IoT) để đề xuất Bộ Thương mại tiến hành nghiên cứu về ngành IoT và đưa ra các khuyến nghị cho sự phát triển an toàn của các thiết bị IoT. Mặc dù SMART IoT ACT chưa được thông qua thành luật, nhưng nó đã được giới thiệu trong nhiều phiên họp của Quốc hội.
• Vào tháng 2018 năm 327, cơ quan lập pháp bang California đã phê chuẩn Dự luật Thượng viện XNUMX Quyền riêng tư thông tin: các thiết bị được kết nối, một luật đưa ra các yêu cầu bảo mật đối với các thiết bị IoT được bán ở Hoa Kỳ
• Vào tháng 2019 năm XNUMX, Viện Tiêu chuẩn Viễn thông Châu Âu đã phát hành tiêu chuẩn áp dụng toàn cầu đầu tiên cho bảo mật IoT dành cho người tiêu dùng — một lĩnh vực trước đây chưa được giải quyết trên quy mô như vậy.
• Vào tháng 2020 năm XNUMX, Đạo luật Phát triển Đổi mới và Phát triển Internet vạn vật, hay Đạo luật DIGIT, đã được Thượng viện thông qua. Dự luật này yêu cầu Bộ Thương mại triệu tập một nhóm làm việc và tạo báo cáo về IoT, bao gồm cả bảo mật và quyền riêng tư.
• Vào tháng 2020 năm XNUMX, cựu Tổng thống Donald Trump đã ký Đạo luật cải thiện an ninh mạng IoT năm 2020, chỉ đạo Viện Tiêu chuẩn và Công nghệ để tạo ra các tiêu chuẩn an ninh mạng tối thiểu cho các thiết bị IoT do chính phủ Hoa Kỳ kiểm soát hoặc sở hữu.
• Vào năm 2022, Đạo luật về cơ sở hạ tầng viễn thông và bảo mật sản phẩm của Vương quốc Anh có hiệu lực. Luật này yêu cầu tất cả các thiết bị thông minh của người tiêu dùng phải có khả năng giảm thiểu và bảo vệ chống lại các cuộc tấn công mạng.

Các cuộc tấn công và bảo mật IoT khác nhau

Các phương pháp bảo mật IoT khác nhau tùy thuộc vào ứng dụng IoT cụ thể và vị trí của nó trong hệ sinh thái IoT. Ví dụ: các nhà sản xuất IoT — từ nhà sản xuất sản phẩm đến công ty bán dẫn — nên tập trung vào việc xây dựng bảo mật cho thiết bị của họ ngay từ đầu, làm cho phần cứng chống giả mạo, xây dựng phần cứng an toàn, đảm bảo nâng cấp an toàn, cung cấp các bản vá và cập nhật chương trình cơ sở cũng như thực hiện thử nghiệm động.

Các nhà phát triển thiết bị IoT nên tập trung vào phát triển phần mềm an toàn và tích hợp an toàn. Đối với những người triển khai hệ thống IoT, bảo mật và xác thực phần cứng là những biện pháp quan trọng. Tương tự như vậy, đối với các nhà khai thác, việc giữ cho hệ thống luôn cập nhật, giảm thiểu phần mềm độc hại, kiểm tra, bảo vệ cơ sở hạ tầng và bảo vệ thông tin đăng nhập là điều quan trọng. Tuy nhiên, với bất kỳ hoạt động triển khai IoT nào, điều quan trọng là phải cân nhắc chi phí bảo mật trước các rủi ro trước khi cài đặt.

Các điểm cuối IoT đã trở thành mục tiêu hàng đầu của tội phạm mạng. Khám phá 12 mối đe dọa bảo mật IoT hàng đầu và làm thế nào để ưu tiên chúng.