欢迎光临第五届中国汽车网络信息安全峰会2020!

在5G世界中保护IoT

发布日期:2020-04-08

GRCCIoVSecurity

2020-04-08 13:23:26

手机阅读


询问十位行业专家,5G将如何影响他们的生活,您会得到十个不同的答案,因为他们每个人都以不同的方式使用该技术。对于汽车制造商来说,一切都与互联汽车技术有关。电信公司正在为下一代移动设备做准备,而医疗保健行业正在准备接受诸如远程医疗之类的新技术。但是,即使有不同的目标,也可以肯定的是:它们都与快速发展的物联网(IoT)连接在一起。


对连接和启用5G网络的IoT设备的需求不断增长,导致设备供应商争先抢先进入市场,争夺在一个相对较新的,尚未开发的市场中的主导地位。这种竞争浪潮可能迫使一些供应商牺牲安全性测试来提高速度,从而使潜在的漏洞隐藏在设备的后端。尽管我们希望供应商能花些时间并确保对安全漏洞进行测试,但增加数千种新设备为恶意的在线聚会和威胁行为者提供了更大的力量渗透市场的机会。


威胁参与者访问设备后,他们可以使用横向移动来访问通常无法访问的其他设备。5G网络的扩展将允许更多的访问选项,并且由于该技术太新了,因此设备供应商需要花费一些时间来确定他们如何应对已利用的漏洞并保护网络安全。


例如,渗透测试人员十年前在4G LTE中进行了第一次协议降级攻击。在**级别上,这些攻击会带来严重的后果并暴露出漏洞,从而使威胁参与者可以轻松访问网络。尽管5G网络将比4G具有更强的安全协议,但仍然有可能继承缺陷,甚至简单的攻击也可能产生重大影响。


随着企业进入5G时代,最重要的要了解的是,连接到网络的任何IoT设备都可能容易受到网络攻击。这不仅包括手机和笔记本电脑,还扩展到了更简单的设备,例如支持Wi-Fi的相框或其他智能家居设备,例如电视。不幸的是,像相框这样的简单设备通常会在较旧版本的操作系统上运行,这些操作系统具有众所周知的缺陷和可利用的漏洞。这些设备坐在同事的桌子上看似无辜,但如果连接到网络,则成为易受攻击的端点。


随着设备复杂度的增加,其攻击表面积可能会减小。例如,笔记本电脑可以运行简单的IoT小工具无法运行的威胁防护软件。虽然没有哪种设备比其他设备更容易受到攻击的黄金法则,但**的防御方法是了解特定设备可能承受的风险并注意其环境。


对于制造物联网设备的供应商来说,至关重要的是,将低级别的安全模块集成到开发中,并贯穿生产过程的所有步骤。这些公司还应将常规渗透测试和漏洞扫描功能集成到其新的和当前的IoT设备的流程中。**于威胁参与者的唯一方法是不断更新IoT设备,并确保固件不会变旧或过时。不幸的是,软件解决方案的开发在物联网产品或服务的整个开发过程中都缺乏安全性,从而导致了开发初期的初期缺陷,而缺乏频繁的更新仍然困扰着物联网领域。重点放在监控,渗透测试和持续漏洞分析上,将大大减少这些进入和驻留在5G生态系统中的新设备的威胁面。


即使他们不参与开发过程,企业仍然可以并应该采取许多步骤来保护其网络。例如:


设置连续监视以确保在威胁行为者有机会利用所有关键网络连接节点之前对其进行漏洞扫描。设置警报阈值以确保警报被实时触发。许多公司都可以使用安全信息和事件管理(SIEM)软件,并且可以设置特定规则来识别网络流量和日志数据中的恶意活动。审查这些警报和规则应成为监控5G IoT设备的标准步骤。


鼓励您的员工采取简单的步骤来保护自己,例如避免使用相同的用户名和密码组合并启用两因素身份验证。对于员工或客户可访问的任何门户,默认为两因素身份验证。就在去年,OWASP发布了有关IoT十大漏洞的指南,不足为奇的密码也就不足为奇了。如今,暴力仍然是一种有效(但耗时)的访问方法。如果Ring默认情况下为用户启用了2FA,并且为用户帐户启用了暴力保护,那么黑客就不会轻易访问其门户。


5G网络令人兴奋,它将为新技术和设备带来许多新的可能性,但请务必记住,没有什么是100%安全的。通过了解网络上连接的设备的种类,用途以及使用的人,完全有可能创建一个由支持5G的设备组成的安全生态系统,并以最小的风险发挥其潜力。



作者:约瑟夫·科塞斯,A-LIGN的研发总监

约瑟夫的职业生涯始于一家技术创业公司,巩固了他对技术,奉献精神和团队合作的热情。一位出色的网络安全***,在开发,网络安全和零时差探索方面拥有独特而广泛的背景。移动,嵌入式,无线和支持Web的设备的合格道德黑客。在国防,医疗保健和零售行业拥有超过12年的专业网络经验。在项目,可交付成果的设计,生产和执行方面具有很高的技能。战略创新小组的主要成员专注于逆向工程工作,这些工作导致了长期资助的政府合同。使用RaspberryPi和Arduino嵌入式板创建适销对路的功能,撰写白皮书,并为客户和同事提供培训。





END





点击上方蓝字关注我们



  • 电话咨询
  • 15021948198
  • 021-22306692
None