Verbruikers IoT-kwesbaarhede: Wanneer interkonnektiwiteit gedeelde risiko's beteken
Verbruikers IoT-kwesbaarhede: Wanneer interkonnektiwiteit gedeelde risiko's beteken
Verbruikers IoT-kwesbaarhede: Wanneer interkonnektiwiteit gedeelde risiko's beteken
- Author:
- Julie 5, 2023
Insig hoogtepunte
Terwyl die Internet of Things (IoT)-industrie aanhou innoveer, worstel dit met noemenswaardige kuberveiligheidskwessies as gevolg van verbruikers wat nalaat om verstektoestelwagwoorde op te dateer en vervaardigers wat ongetoetste kenmerke bekendstel. Hierdie uitdagings word vererger deur die gebrek aan openbaarmaking van openbare kwesbaarheid en maatskappye wat nie 'n duidelike plan het om dit te hanteer nie. Alhoewel daar 'n mate van gebruik is van nie-openbaarmakingsooreenkomste, foutvryheidsprogramme en gekoördineerde kwesbaarheidsopenbaarmaking (CVD) as risikobestuurstrategieë, bly die industriewye aanvaarding van kwesbaarheidsopenbaarmakingsbeleide laag.
Verbruikers IoT kwesbaarhede konteks
Alhoewel daar voordele is aan toestelle soos huisassistente en slim sekuriteitskameras, het die IoT-industrie nog 'n lang pad om te stap in terme van kuberveiligheid. Ten spyte van vooruitgang in ontwerp en infrastruktuur, bly hierdie toestelle kwesbaar vir kuberaanvalle. Hierdie probleem word verder vererger deur die feit dat baie verbruikers nie die beste praktyke ken vir die opgradering van hul toestelle se bedryfstelsels nie. Volgens die IoT Magazine verander 15 persent van alle IoT-toesteleienaars nie verstekwagwoorde nie, wat beteken dat kuberkrakers toegang tot 10 persent van alle verwante toestelle kan kry met net vyf gebruikersnaam- en wagwoordkombinasies.
Ander sekuriteitsuitdagings is gewortel in hoe hierdie toestelle opgestel of onderhou word. As 'n masjien of sagteware onverseker gelaat word—byvoorbeeld, dit kan nie met nuwe sekuriteitsopdaterings gelap word nie of eindgebruikers kan nie die verstekwagwoord verander nie—kan dit maklik 'n verbruiker se tuisnetwerk aan 'n kuberaanval blootstel. Nog 'n uitdaging is wanneer 'n ontwikkelaar sluit, en niemand hul sagteware of platforms oorneem nie.
Internet of Things-aanvalle verskil, afhangende van die masjien of infrastruktuur. Sagte- of firmware-kwesbaarhede kan byvoorbeeld hackers toelaat om elektriese voertuie (EV's) se sekuriteitstelsels te omseil. Intussen voeg sommige IoT-vervaardigers dikwels nuwe kenmerke by hul toestelle of koppelvlakke sonder om dit deeglik te toets. Byvoorbeeld, iets wat oënskynlik eenvoudig is, soos 'n EV-laaier, kan gekap word om te onder- of oorlaai, wat lei tot fisiese skade.
Ontwrigtende impak
Volgens 'n 2020-opname wat deur die IoT Security Foundation gedoen is, was een van die gebiede waar IoT-vervaardigers nie genoeg gedoen het nie, die verskaffing van openbare kwesbaarheid. ’n Sleutelmanier om die sekuriteit van toestelle wat aan die IoT gekoppel is te verbeter, is om dit vir navorsers maklik te maak om kwesbaarhede wat hulle vind direk aan vervaardigers te rapporteer. Terselfdertyd moet maatskappye kommunikeer hoe hulle sal reageer sodra hierdie bekommernisse geïdentifiseer is en watter tydsraamwerk verwag kan word vir sagteware-patches of ander regstellings.
Om opkomende kuberveiligheidsbedreigings te bekamp, maak sommige besighede staat op nie-openbaarmakingsooreenkomste. Ander lok navorsers met foute (dit wil sê om te betaal vir ontdekte kwesbaarhede). Daar is ook gespesialiseerde dienste wat firmas kan behou om openbaarmakings en fout-oorvloedprogramme te bestuur. Nog 'n tegniek vir die bestuur van risiko's is Coordinated Vulnerability Disclosure (CVD), waar die vervaardiger en navorser saamwerk om 'n probleem op te los en dan beide die regstelling en kwesbaarheidsverslag gelyktydig vry te stel om moontlike skade aan gebruikers te verminder.
Ongelukkig het sommige maatskappye geen plan vir die hantering van openbaarmakings nie. Terwyl die aantal firmas met beleid vir die openbaarmaking van kwesbaarheid tot 13.3 persent in 2019 gestyg het van 9.7 persent in 2018, het die aanvaarding van die industrie oor die algemeen laag gebly (2022). Gelukkig is daar toenemende regulasies wat openbaarmakingsbeleide vereis. In 2020 het die Amerikaanse regering die Internet of Things Cybersecurity Improvement Act aanvaar, wat vereis dat IoT-verskaffers kwesbare openbaarmakingsbeleide moet hê voordat hulle aan federale agentskappe verkoop word.
Implikasies van verbruikers IoT-kwesbaarhede
Wyer implikasies van verbruikers IoT-kwesbaarhede kan die volgende insluit:
- Regerings wat IoT-vervaardigers reguleer om openbaarmakingsbeleide en streng en deursigtige toetsing te hê.
- Meer tegnologiemaatskappye wat verenigings vorm om in te stem tot algemene standaarde en verenigde kuberveiligheidsprotokolle te ontwikkel wat toestelle interoperabel en toenemend veilig kan maak.
- Slimfone en ander persoonlike verbruikerstoestelle wat gevorderde multi-faktor-verifikasie en biometriese identifikasie implementeer om kuberveiligheid te verbeter.
- Verhoogde beleggings in elektriese en outonome voertuig kuberveiligheid om digitale kaping te voorkom.
- Meer afluisteraanvalle, waar misdadigers ongeënkripteerde kommunikasiekanale oorneem; hierdie misdaadtendens kan daartoe lei dat meer verbruikers geënkripteerde boodskaptoepassings (EMA's) verkies.
- Meer voorvalle van sosiale ingenieursaanvalle wat voordeel trek uit swak wagwoordbeskerming, veral onder gebruikers van ouer toestelle.
Vrae om op kommentaar te lewer
- Hoe verseker jy dat jou IoT-toestelle goed beskerm word?
- Watter ander maniere kan verbruikers die sekuriteit van hul IoT-toestelle verbeter?
Insig verwysings
Die volgende gewilde en institusionele skakels is vir hierdie insig verwys:
