曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        物聯網設備中固件安全的關鍵
        發布時間:2021-03-18 12:11:25   閱讀次數:

        物聯網設備中固件安全的關鍵(圖1)

        物聯網設備占所有網絡連接端點的30%,引入了新型攻擊和供應鏈漏洞,使許多公司成為網絡罪犯的主要目標。為了解決這一日益增加的威脅面,部署物聯網設備的每個組織都需要考慮其物聯網設備的固件更新問題。


        固件更新對于修復軟件錯誤,補丁程序漏洞或添加新的安全功能至關重要,但同樣重要的是確保這些更新程序安全且受信任的做法。


        空中固件更新

        雖然可以手動更新設備固件,但是廣泛支持IoT的設備(例如聯網汽車,起搏器甚至飛機)使手動更新過程不可行且不切實際。 


        因此,無線(OTA)更新在其中發揮著越來越重要的作用。OTA固件更新涉及遠程更新已連接的嵌入式IoT設備上的代碼。該更新通過無線方式無線部署到設備上,而無需干擾基礎硬件。OTA更新通常通過蜂窩數據(4G或5G)或互聯網連接進行傳遞。


        OTA IoT固件更新的最大好處是,即使將設備部署在分散的環境中,制造商也可以不斷添加新功能,修復安全漏洞并改善產品性能。此外,OTA更新是一種經濟高效的解決方案,因為您可以從集中式界面跨數百個連接的設備無縫管理固件。


        固件漏洞

        盡管更新固件以確保您的物聯網設備的安全和可靠運行非常重要,但固件是通常不受保護的攻擊面,攻擊者利用該攻擊面入侵網絡、破壞數據,甚至接管對設備的控制以造成傷害或破壞。最重要的是,不安全的固件等同于不安全的IoT設備。 99999


        網絡罪犯渴望利用物聯網安全性的弱點和漏洞,而不是總是攻擊設備本身,而是發起其他惡意行為,例如DDoS攻擊,惡意軟件分發或數據泄露和破壞。


        OWASP十大IoT突出表明,缺乏安全的固件更新機制是影響IoT安全的主要漏洞之一:


        “缺乏安全更新設備的能力。這包括缺少設備上的固件驗證,缺少安全的交付(在傳輸過程中未加密),缺少防回滾機制以及缺少由于更新而導致的安全性更改通知?!?/span>


        為了緩解此漏洞,企業必須確??梢钥煽?,安全且定期地通過OTA更新來更新IoT固件。但是,有一些關鍵因素會影響IoT固件更新的安全性,包括:

        • 簽名折衷:未經授權訪問代碼簽名密鑰或固件簽名機制可使攻擊者冒充信任并將惡意更新傳遞給看似受信任的設備。必須確保代碼簽名密鑰周圍的防御能力,并確保在允許代碼在設備上執行之前,確保固件簽名已得到驗證。


        • 不安全的編碼:由于不安全的設備編程,可能會發生緩沖區溢出。攻擊者會發現這些編碼缺陷,從而導致不穩定的應用程序行為或崩潰,從而可能導致安全漏洞。緩沖區溢出可能使犯罪分子可以遠程訪問設備,并且可以利用武器溢出來進行DDoS或惡意軟件注入攻擊。


        • 不安全的軟件供應鏈:物聯網設備的開發嚴重依賴于軟件供應鏈和廣泛使用開源組件。缺乏確保供應鏈安全的程序會導致使用帶有嵌入式漏洞的不安全的開源組件,攻擊者迫切希望利用這些組件。最新的SolarWinds攻擊就是不安全的軟件供應鏈可能出問題的一個很好的例子。


        • 生產設備中被遺忘的測試服務:在IoT設備的開發和測試過程中,具有調試服務和憑據的開發人員不應遷移到最終生產設備,因為它們可以輕松地訪問對手。


        不安全的固件更新的后果

        不安全的IoT固件可能會對這些連接的設備的使用者產生可怕的后果。更麻煩的是這些類型的惡意攻擊不需要物理訪問,攻擊者可以在沒有警告的情況下遠程使用它們。 


        以下只是一些不安全的更新如何導致暴露的固件漏洞或固件攻擊的示例:

        • 智能鎖:智能鎖的預定OTA固件更新包含一個損壞的版本,該版本使更新后的智能鎖脫機。這些鎖裝置被用于酒店業,結果,許多顧客無法進入他們的出租物業。由于鎖已通過損壞的更新脫機,因此必須由供應商手動更新。


        • 起搏器:當美國食品藥品監督管理局(FDA)建議固件更新以減輕某些起搏器中的遠程訪問漏洞時,他們還在其通報中指出,固件更新可能會導致設備故障的風險很小。釷E號決定更新固件必須與將需要手術來更換設備的設備故障的可能性進行平衡。


        • 互聯汽車:騰訊公司的研究人員透露,他們可以通過Wi-Fi入侵特斯拉Model S,并遠程激活制動系統。作為回應,特斯拉實施了一項基本的安全功能-代碼簽名-該功能要求對寫入CAN總線上組件的任何新固件進行數字簽名,以解決風險。


        • 網絡設備:一個開發者不小心泄露用來簽署D-Link軟件私鑰由公司公布的開源固件。未知密鑰是否被惡意第三方使用,但此事件導致第三方調查和最終罰款。


        如何保護IoT固件更新

        您可以遵循許多好的做法來保護IoT設備固件的安全,并使未按計劃進行的更新的影響最小化。企業需要針對這兩種情況進行計劃。


        為了最大程度地減少損壞的固件更新的影響,您應避免將敏感信息(例如憑據和API令牌)存儲在IoT設備上。相反,您應該將此敏感信息上傳到云,在這里可以輕松管理它們,而不受低功耗IoT設備的限制。


        此外,物聯網設備應僅連接到一種可能的攻擊媒介:通過蜂窩數據或通過互聯網。您應限制攻擊者攻擊設備的機會。


        就固件更新過程而言,我們必須強調,定期更新可最大程度地減少操作系統,固件和應用程序中的攻擊媒介數量。必須檢查每個更新的來源和完整性,并且僅使用合法供應商的合法應用程序。


        一些可用的更新機制缺乏完整性保證,從而使其容易受到MITM攻擊和修改攻擊。IoT設備還可在下載新的固件映像之前使用機器對機器的身份驗證方法對升級服務器進行身份驗證,從而增加一層保護。這樣可以確保設備更新僅來自設備OEM或其他受信任的來源。


        使用OTA更新實施唯一身份和安全代碼簽名可確保來自經過驗證的來源的更新不變。通過使用安全啟動,加密安全哈希驗證通過在將修補程序存儲在設備上之前對其進行檢查來確保完整性。


        攬閣信息物聯網解決方案

        從安全的信任根到靈活的使用和管理,攬閣信息為IoT方案供應商、IoT設備生產商、IoT平臺運營商提供了完整且可拓展的解決方案。該解決方案特點:

        • 使用擁有FIPS 140-2 Level 3和/或CC EAL4+認證的HSM作為信任根的存儲設備??蛻艨墒褂迷贖SM中存儲的私鑰對固件進行簽名。并給予HSM中的Seed Key(種子密鑰、主密鑰)派生IoT設備中的密鑰。


        • 覆蓋生產、制造、管理、使用、更新、停用、銷毀等環節的密鑰生命周期管理功能。


        • 保護IoT設備通訊接口和通訊協議的安全。


        • 有效規避如:GDPR、CCPA、LGDP、NDB...等全球各地區隱私法案關于隱私保護的安全實現方法


        • 可涵蓋各類業務場景的、形式多樣的身份認證平臺和產品。


        • 軟件產品的防破解、防逆向、權限控制。


        • 以及其它。


        現在聯系攬閣信息,立即獲取您所需要的一切安全!


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精