home 製造技術 製造設備
工業製造
産業用モノのインターネット | 工業材料 | 機器のメンテナンスと修理 | 産業プログラミング |
home  MfgRobots >> 工業製造 >  >> Industrial Internet of Things >> モノのインターネットテクノロジー

誇大広告を信じないでください:IoTが停滞している理由

ペンテストパートナーのKenMunro

誇大広告のサイクルがうまくいくとすれば、私たちはほぼ間違いなく、IoTに対する幻滅の谷の瀬戸際にいじめています。最近の調査によると、テスト展開の60%が失敗しました。ただし、一部のパイロットプロジェクトは停滞している可能性がありますが、ピークに達したことを示唆する展開中のデバイスの重みはまだありません。むしろ、採用自体が停滞しているようです。

IoTの採用は想定された暴走の成功ではなく、これは多くの問題によるものです。まず、この追加の接続を必ずしも保証しないデバイスのIoT対応。 Pen Test Partners のパートナーであるKenMunro氏は、給餌、水温、水質を規制するIoT水槽を利用してください。 。

それは省力化デバイスのように聞こえるかもしれませんが、最終的には、タンクが設置されたカジノがフィンランドのデバイスに10GBのデータを失うのを見ました。 IoTセキュリティはデバイスにとどまりません。これが示すのは、そのようなデバイスがネットワーク上に悪用可能なバックドアを作成するために使用されており、資格情報の盗難とデータの漏えいを可能にしていることです。

寿命の懸念も採用を妨げており、デバイスは更新されるのではなく交換されることが多く、ユーザーは投資の実行可能性に疑問を抱くようになります。次に、明らかになる可能性のある問題を修正するためのリソースがメーカーにあるかどうかについての質問がありますか?

セキュリティの脆弱性は時間の経過とともに発生します。それが発生し、デバイスにパッチを適用する必要がある場合、製造元はこれを監視するために必要な時間を投資しますか、それとも責任を否定し、サポートを撤回しますか?

詳細の開示

既存のインストールベースを保護することは、メーカーにとって大きな頭痛の種です。 ShodanのWebサイトを閲覧すると、展開されたIoT機器のホスト(および心配なことに産業用制御システム)が、IPアドレス、実行されているオペレーティングシステム、および使用されているソフトウェアのバージョンの詳細とともに表示されます。また、FCCは、間もなくリリースされるIoTデバイスの回路図と、詳細を知りたい人のための回路図を公開しています。

多くの場合、攻撃者はShodanからデバイスを識別し、デフォルトのクレデンシャルを取得するだけでアクセスできます。私たちはかつて、技術者によってソーシャルメディアサイトに公開された、年間の毎日のログオン資格情報の便利な「スーパーパスワード」リストを見つけました。明らかに、サプライチェーンのセキュリティは緩慢である傾向があります。このケースは、「機密」データを取得するのがいかに簡単かを示しています。

これらの可能性に直面して苦労しているメーカーは、現在、データをサードパーティに販売しようとしています。これは商業的には理にかなっているかもしれませんが、ユーザーベースのセキュリティとプライバシーをさらに損なうことになります。たとえば、IoT掃除機のユーザーであれば、販売されているオフィスの間取り図を確認できます。そして、その情報がブラックマーケットに伝わったらどうなるでしょうか。ビル管理システム(BMS)データは特に有用です。攻撃者がスマートサーモスタットの上にランサムウェアを置いた場合に起こりうる恐喝について考えてみてください。

問題の解決

皮肉なことに、エンドユーザーが責任の一部を担うべきではないかどうか疑問に思うでしょう。セットアップ時にデバイスを再構成する人はほとんどいないのは事実です。これは、そうすることが非常に難しい場合があるためです。成功した場合、デバイスの制御に使用されるモバイルアプリまたはWebアプリのデフォルトのPINも変更しましたか? 4桁または6桁のPINが解読されるまでに数時間かかることを考えると、これを行う価値があるかどうかはまだ疑問です。

現在の自信の欠如は、セキュリティの低さにのみ起因する可能性があり、それはメーカーがゲームを強化する必要があることを意味します。彼らは、安全なモバイルアプリ開発、Webサービスでの強力なセッション管理と暗号化、選択したワイヤレス標準の安全な実装、およびデバイス自体で、シリアルポートやデバッグポートなどの未使用の機能を無効にし、難読化手法を適用し、安全な実装を行うために参加する必要がありますファームウェアを暗号化して署名する必要がある場合のキーストレージ。

残念ながら、ベンダーがセキュリティを優先し始めるまで、IoTの採用は停滞します。取り込みに取り返しのつかないダメージを与えるには、おそらくポート80などのユニバーサルインターフェイスを介した、別の大胆なマルウェア攻撃のみが必要です。現在、業界は信頼の構築に焦点を当てる必要があります。つまり、自主規制または立法規制のいずれかを採用することを意味します。

このブログの作成者は、Pen TestPartnersのパートナーであるKenMunroです


モノのインターネットテクノロジー

  • 埋め込み
  • センサー
  • クラウドコンピューティング
  • モノのインターネットテクノロジー
    1. ホームワーカーのIoTセキュリティの課題を乗り越える
    2. Wi-Fi対応IoTの脅威の高まり
    3. IoTの接続–ナローバンドの機会
    4. モノのインターネットがもたらすセキュリティの課題:パート1
    5. 私たちは企業におけるIoTの基礎を築いています
    6. モノのインターネット:作成中のソフトウェア配布の地雷原?
    7. モノのインターネットに人工知能が必要な理由
    8. IoTデバイスの採用の拡大は最大のサイバーセキュリティリスクです
    9. 企業内のIoTトラフィックが増加しており、脅威も増加しています
    10. 消費者向けIoTデバイスの保護:グローバルスタンダードが必要な理由
    11. 手を取り合って–IoTにSD-WANが必要な理由