Fogyasztói IoT sebezhetőségek: Amikor az összekapcsolhatóság megosztott kockázatokat jelent
Fogyasztói IoT sebezhetőségek: Amikor az összekapcsolhatóság megosztott kockázatokat jelent
Fogyasztói IoT sebezhetőségek: Amikor az összekapcsolhatóság megosztott kockázatokat jelent
- Szerző:
- Július 5, 2023
Insight kiemeli
Miközben a tárgyak internete (IoT) iparága továbbra is innovációt folytat, jelentős kiberbiztonsági problémákkal küzd, mivel a fogyasztók elhanyagolják az alapértelmezett eszközjelszavak frissítését, és a gyártók nem tesztelt funkciókat vezetnek be. Ezeket a kihívásokat tetézi a sebezhetőségek nyilvános közzétételének hiánya, valamint az, hogy a vállalatok nem rendelkeznek egyértelmű tervvel ezek kezelésére. Bár kockázatkezelési stratégiaként alkalmazzák bizonyos mértékben a titoktartási megállapodásokat, a hibajavító programokat és a Coordinated Vulnerability Disclosure (CVD), a sebezhetőségek közzétételére vonatkozó irányelvek iparági szintű alkalmazása továbbra is alacsony.
Fogyasztói IoT sebezhetőségi környezet
Bár vannak előnyei az olyan eszközöknek, mint az otthoni asszisztensek és az intelligens biztonsági kamerák, az IoT-iparnak még mindig hosszú utat kell megtennie a kiberbiztonság terén. A tervezés és az infrastruktúra fejlődése ellenére ezek az eszközök továbbra is sebezhetőek a kibertámadásokkal szemben. Ezt a problémát tovább súlyosbítja az a tény, hogy sok fogyasztó nem ismeri eszközei operációs rendszerének frissítésére vonatkozó legjobb gyakorlatokat. Az IoT Magazine szerint az IoT-eszközök tulajdonosainak 15 százaléka nem változtatja meg alapértelmezett jelszavait, ami azt jelenti, hogy a hackerek az összes kapcsolódó eszköz 10 százalékához hozzáférhetnek mindössze öt felhasználónév és jelszó kombinációval.
Más biztonsági kihívások az eszközök beállításában vagy karbantartásában gyökereznek. Ha egy gépet vagy szoftvert nem biztosítanak – például nem lehet új biztonsági frissítésekkel javítani, vagy a végfelhasználók nem tudják megváltoztatni az alapértelmezett jelszót –, az könnyen kibertámadásnak teheti ki a fogyasztó otthoni hálózatát. Egy másik kihívás az, amikor egy fejlesztő bezár, és senki sem veszi át a szoftverét vagy a platformját.
Az Internet of Things támadások a géptől vagy az infrastruktúrától függően változnak. Például a szoftver- vagy firmware-sebezhetőségek lehetővé tehetik a hackerek számára, hogy megkerüljék az elektromos járművek (EV) biztonsági rendszereit. Eközben egyes IoT-gyártók gyakran új funkciókkal egészítik ki eszközeiket vagy interfészeiket anélkül, hogy alaposan tesztelnék azokat. Például egy látszólag egyszerű dolog, mint egy elektromos töltő, feltörhető alul- vagy túltöltésig, ami fizikai károsodáshoz vezethet.
Bomlasztó hatás
Az IoT Security Foundation 2020-as felmérése szerint az egyik olyan terület, ahol az IoT-gyártók nem tettek eleget, a sebezhetőségek nyilvános közzététele volt. Az IoT-hez csatlakoztatott eszközök biztonságának javításának egyik kulcsfontosságú módja, hogy a kutatók könnyebben jelentsék a talált sebezhetőségeket közvetlenül a gyártóknak. Ugyanakkor a vállalatoknak kommunikálniuk kell, hogyan reagálnak az aggályok azonosítása után, és milyen időkeretre lehet számítani a szoftverjavítások vagy egyéb javítások esetében.
Az újonnan megjelenő kiberbiztonsági fenyegetések leküzdése érdekében egyes vállalkozások titoktartási megállapodásokra támaszkodnak. Mások hibajavításokkal csábítják a kutatókat (azaz fizetnek a felfedezett sebezhetőségekért). Vannak olyan speciális szolgáltatások is, amelyeket a cégek megtarthatnak a közzétételek és a hibajavító programok kezelésére. A kockázatkezelés másik módszere a Coordinated Vulnerability Disclosure (CVD), ahol a gyártó és a kutató együtt dolgoznak a probléma kijavításán, majd egyidejűleg kiadják a javítást és a sebezhetőségi jelentést, hogy csökkentsék a felhasználókat érő lehetséges károkat.
Sajnos néhány vállalatnak nincs terve a közzétételek kezelésére. Míg a sebezhetőségre vonatkozó közzétételi politikával rendelkező cégek száma 13.3-ben 2019 százalékra nőtt a 9.7-as 2018 százalékról, az iparági elfogadottság általában alacsony maradt (2022). Szerencsére egyre több szabályozás írja elő a közzétételi politikát. 2020-ban az Egyesült Államok kormánya elfogadta a tárgyak internete kiberbiztonsági javításáról szóló törvényt, amely előírja, hogy az IoT-szolgáltatók sebezhető közzétételi szabályzattal rendelkezzenek, mielőtt eladnák a szövetségi ügynökségeknek.
A fogyasztói IoT sebezhetőségeinek következményei
A fogyasztói IoT sebezhetőségeinek szélesebb körű következményei lehetnek:
- Az IoT-gyártók számára közzétételi szabályzatot, valamint szigorú és átlátható tesztelést biztosító kormányok szabályozzák.
- Egyre több technológiai vállalat hoz létre egyesületeket, hogy megállapodjanak a közös szabványokban, és olyan egységes kiberbiztonsági protokollokat dolgozzanak ki, amelyek interoperábilissá és egyre biztonságosabbá tehetik az eszközöket.
- Okostelefonok és egyéb személyes fogyasztói eszközök, amelyek fejlett többtényezős hitelesítést és biometrikus azonosítást tesznek lehetővé a kiberbiztonság fokozása érdekében.
- Megnövekedett beruházások az elektromos és autonóm járművek kiberbiztonságába a digitális eltérítés megelőzése érdekében.
- Több lehallgató támadás, ahol a bűnözők titkosítatlan kommunikációs csatornákat vesznek át; ez a bűnözési trend azt eredményezheti, hogy több fogyasztó részesíti előnyben a titkosított üzenetküldő alkalmazásokat (EMA).
- Több olyan social engineering támadás, amely a gyenge jelszavas védelmet használja ki, különösen a régebbi eszközök felhasználói körében.
Kérdések, amelyekhez hozzászólni kell
- Hogyan biztosíthatja, hogy IoT-eszközei jól védettek legyenek?
- Milyen egyéb módokon javíthatják a fogyasztók IoT-eszközeik biztonságát?
Insight hivatkozások
A következő népszerű és intézményi hivatkozásokra hivatkoztunk ehhez a betekintéshez:
