原文:How to Protect Your IoT Product from Hackers
作者:Daniel Elizalde
翻译:聂震坤
审校:苏宓
今天的物联网危机四伏。一个安全漏洞便可以使人的生命受到威胁,因为黑客可以使用这些漏洞来控制现实里的事物。更糟的是,物联网产品给黑客提供了一个新的攻击选择:实体设备。如何确保物联网产品的所有堆叠层都是安全的?
假想一下,当你吃着火锅唱着歌,突然发现新闻正在播出黑客控制连接设备的新闻。记者们正在谈论此次入侵造成的损失,然后你意识到他们竟然在谈论你的产品。黑客们在你所不知道的地方打出了一个安全漏洞,你和你的产品有麻烦了。
之所以用“你”来描述上述场景,是为了使读者更方便的理解一个道理——那些从来不可能发生在我们头上的事是真的可能发生的。
在物联网之前,一次 *** 攻击的影响大致可分为设备下线,百万美元经济损失,用户数据泄露,信用卡信息或身份证信息泄露等。然而自从物联网与现实世界相关联以后,黑客的攻击则可以影响到人生安全,甚至使人丧命。
设想以下几个场景如果被黑客攻占:
这便是为什么安全必须是物联网的首要考虑因素。攻击是真实存在的,因此我们需要时刻抢先一步。与其亡羊补牢,不如在创建物联网产品之初便对安全要素进行充分考虑。
但是我们可能并不是安全方面专家,因此该如何防范涵盖面如此之广的安全攻击?
安全这个词可能很抽象并且不知道如何下手。这便是为什么我将安全加入到了物联网决策框架中。在对每个堆栈的安全进行评估后,便可以形成一个可行的安全规划。
基于物联网技术栈,最需要保护的两个安全方向是:
因为物联网,现在可以随手在数以百万计的用户设备上安装我们的软件,这也使黑客通过物理篡改获取设备控制权成为了可能。
有一个真实的例子:医院投入数了百万美元加强 *** 安全,以防止未经授权的 *** 访问。令他们惊奇的是,在安全改造完成后不久,他们便在 *** 中发现了木马。由于所有可能的 *** 攻击点都受到保护, *** 安全的问题令人震惊。专家无法确定攻击的来源,因为服务器被修补过,密码加密过,防火墙完好,任何能想到的都做到了。
所以攻击者是如何进入医院 *** 的呢?
事情是这样的。一天,一个无辜的护士使用了电脑上的一个USB接口来对她的安卓设备进行充电。这个安卓设备中带有木马病毒,病毒通过USB进入到了医院 *** ,没想到吧。
每次出门时,都令我感到惊讶的是,人们可以在各地,医院、机场、零售企业中轻松的访问端口(USB,SD卡,以太网等)。当意识到这一点时,是很可怕的。
物理层的篡改可以通过很多方面实行,包括连接接口、关闭设备电源、偷盗设备,移除部分零件等。
我们需要对自己产品进行分析,了解什么方式的篡改会影响自己的产品。比如:
下一步便该开始考虑如何从以上的攻击中保护自己的设备。比如:
标准的 *** 安全实践适用于物联网堆栈的所有其余层:从嵌入式软件到应用程序。产品经理的角色是确保整个堆栈中的安全性保持一致,因为堆栈的不同层通常由不同的工程团队开发。
*** 安全有许多考虑,从加密到身份管理,身份验证,授权等。我的建议是与产品经理与团队一起开发物联网技术堆栈,并评估每层堆栈的风险和漏洞。
保护每层堆栈的步骤大纲如下图:
我们并不是要成为安全方面的专家,而是要确保产品的每层堆栈都充分考虑了物理篡改与 *** 攻击的应对方案。在使用物联网决策架构来确认威胁时,应当能够确认状况并有一个保护产品安全的策略。
同时,需要记住的是,产品的安全不是一个一次性的话题。黑客总是会找到新的 *** 来危害产品。所以产品安全应当成为日常管理的一部分。
一年一度的双十一大家都买的头昏眼花,守卫冬日居家温暖的“阿里斯顿温暖90年暨2020采暖节”更是在“好产品”和“真实惠”方面下足了功夫。如果在这方面有需求的小伙伴们不妨可以借此机会好好为舒适的冬日居家...
炎炎夏日就要来临了,要到了出来摆地摊赚外快的时候了。大家是不是没有想好今天夏天卖什么“地摊货”呢?每年夏日的话题都离不开“热”,如果能为消费者们带来一阵凉爽和舒适,那么就成功笼络了消费者的心。 今天...
qq抄袭icq、淘宝抄袭ebay、百度抄袭谷歌,看起来只有腾讯QQ是抄袭别人的,但实际上这三大佬都是从国外抄袭而来,只是腾讯抄袭比较有名,所以大家都不会记住第二抄袭者。但大家有没有想过,为何他们要抄袭...
摆地摊卖什么最赚钱而且很受欢迎,非常考验人,但是如果你选对了产品,那绝对是一个赚钱的大商机!那么现在摆地摊卖什么利润大呢? 1.陶瓷用品,如今的陶瓷用品包括玩具、被子、摆件等。一件小...
长痘痘本身就够烦心了,没想到痘痘好不容易下去了,痘印这个大麻烦又来了,一茬接一茬,是不是超烦心。以前我和大家一样,看见痘痘就害怕,后来经过不停的摸索经验,俗话说的好,病久成医,我也算摸索出来一套对付痘...
去年,一碗梁粉曾经写过一篇文章《做自己社群的产品经理!》,提出了一个观点: 把自己组织的社群当成一个互联网产品来看待,分别需要以下四个维度去运营: 用户:关于社群的用户,可以参考我的文章《从注册交...