2015年に直面する4つのIoTセキュリティの課題

モノのインターネット（IoT）と接続されたデバイスが急速に人気と牽引力を獲得するにつれて、セキュリティが脚光を浴びています。 「スマート」デバイスのセキュリティが後から考えられていた時代は過ぎ去りました。今日、セキュリティの問題は開発者の心の最前線にあります。開発者はIoTセキュリティの課題を処理するように訓練されており、これらのタイプのデバイスの悪用についてBlackhatコミュニティでさらに多くのことが公表されています。 Blackhat 2015には、IoTセキュリティの脆弱性を防ぐ方法を開発者にトレーニングする目的で、IoTデバイスの抽出、分析、およびハッキングを目的としたサブカンファレンスもあります。

Link Labsでは、 2015年にIoTコミュニティが直面する4つの重要なセキュリティ上の課題があると感じています。 、ここにまとめました。

関連項目： IoTセキュリティの2つの方法

1。 Wi-Fi対応デバイスは、適切なセキュリティなしでローカルエリアネットワーク（LAN）に追加されています。

これは、IoTセキュリティに対する最大の脅威です。 TCP / IPベースのエンドポイントがエンタープライズレベルのセキュリティプロトコルが設定されていないLANで許可されている場合、多大なリスクが伴います。

これがIoT製品でどのように発生する可能性があるか（そして実際に発生するか）を説明するために、誰かが通常の水槽を「スマート」な水槽にするWi-Fiモジュールを備えたデバイスを購入したと想像してください。誰かがこの製品を購入してLANで許可した場合、ファイアウォールの背後で潜在的に悪意のあるエンドポイントを許可するようになりました。

問題は次のとおりです。ファイアウォールとNATは、直接的なホスト攻撃に対するネットワークの最前線の防御であり、LAN内に何かを追加すると、すでにファイアウォールの背後にあります。このスマートフィッシュタンクデバイスをインストールすると、悪意のあるサーバーにアクセスして接続できます。このプロセスは「リバーストンネリング」と呼ばれます。これは、ファイアウォール内のデバイスがファイアウォールを介してアウトバウンド接続を確立し、インバウンド接続よりも簡単にソケット接続を開くことができるためです。ほとんどのアプリケーションを使用するのは難しいため、ファイアウォールはほとんどの送信リクエストをブロックしません。

ここでの課題は、悪いソフトウェアだけではありません。悪い人たちも参加している可能性があります。言い換えれば、スマート水槽の作成者は悪意を持っている可能性があり、手に入れることができるすべてのネットワークを悪用したいと思うかもしれません。 IoT製品には、堅牢なオペレーティングシステム（OS）セキュリティのメリットがありません。 AppleやMicrosoftによって作成されたものなど、ほとんどの主要なオペレーティングシステムでは、LAN内からでも、誰かがシステムを悪用することは非常に困難です。それは定期的に起こることができないという意味ではありませんが、それはもっと難しいです。しかし、IoT製品では、ほとんどがそれほど洗練されていないオペレーティングシステムを実行しているため、消費者が信頼しなければならないのは、Wi-Fi対応デバイスを販売した人々が善意で販売したことだけです。

2。 IoTエンドポイントのアップグレード可能性とパッチ適用可能性に問題があります。

MacとWindowsOSの優れた点の1つは、完全に構成され、定期的に更新されることです。どちらも自動アップグレード機能を備えているため、セキュリティの脆弱性のためにコンピュータのOSを修復する必要がある場合、コンピュータは自動的に連絡を取り、更新または「パッチ」を適用できます。

IoTデバイスの場合、パッチに関連するあらゆる種類のセキュリティの脆弱性に対するメカニズムを導入するのは、それらを販売した企業次第です。問題は、それが起こるかもしれないし、起こらないかもしれないということです。これは新しい問題ではありませんが、それでも問題です。 （実際、ネットワーク機器業界はこれまで取り組んできましたが、まだ 対処—ルーターなどと同じ問題に、セキュリティの問題が発生する前にパッチが適用されない脆弱性があります。）

このVentureBeatの記事で、著者のMichael Coatesは、IoTにとって「効果的なパッチの展開は大きな問題です」と述べています。彼は、一部のセキュリティ違反は見過ごされますが、他の違反は発見され、消費者は解決策を要求すると説明しています。彼はさらに、このようなシナリオがどのように展開する可能性があるのか​​、そしてなぜそれが厄介なのかを説明します：

「このような状況では、メーカーがスクランブルしてパッチを発行する場合があります。しかし、それでは何ですか？パッチは実際にどのようにデバイスに配信されますか？すべてのお客様は、オーブン、車、またはペースメーカーを再起動して、更新プロセスをナビゲートするように求められますか？または、更新されたソフトウェアは、物理製品の次のリリースでのみ利用可能になりますか？これは、新しいトースターやベビーモニターなどを購入するまで、顧客にパッチが適用されないことを意味します。残念ながら、IoTに関する現在の課題の1つは、パッチが発行されたとしても、大多数のデバイスに到達するための効果的なチャネルがないことです。タイムリーに。」

つまり、LANに追加されるものが多いほど、セキュリティ上の懸念は大きくなります。業界がIoTデバイスのセキュリティパッチの期待に基づいて何らかの標準を作成することを期待しています。

3。物理的なアクセスの保護に関して問題が発生しています。

スマート水槽アプリの例に戻りましょう。消費者はこれを考慮しないことがよくありますが、物理的なデバイスを使用すると、ハッカーがそれを操作して、公開されたUSBポートまたはデバッガーインターフェイスに侵入する可能性があります。誰かが組み込みレベルでIoTデバイスのメモリに正常にハッキングでき、暗号化キーを読み取ることができる場合、出荷された、または出荷されたすべてのデバイスが脆弱になります。これは、消費者にとっても業界全体にとっても大きな問題です。

4。開発者や消費者からはたくさんの誇大宣伝があります。

モノのインターネットの周りには非常に頻繁で激しい報道があるため、企業の間では、IoTデバイスをより迅速に市場に投入することが急務となっています。現在の誇大宣伝は、一方ではイノベーションを推進している一方で、開発者を厳しいスケジュールに追いやっています。時間が重要であり、すべての努力が迅速な展開に集中している場合、セキュリティは後付けになる可能性があります。これが発生すると、IoTデバイスは、不十分な暗号化、パッチが適用されていないオペレーティングシステムなどで市場に出る可能性があります。

IoTセキュリティがどのように独自の分野になり、標準のネットワークセキュリティと同じくらい重要な問題になっているのかがわかります。 IoTは開発の「初期段階」を去り、その主流の人気とともに、消費者情報を安全に保つ責任が生じています。製品の開発者と消費者は、これらの問題を真剣に受け止めており、またそうする必要があります。