- Những thách thức trong việc bảo mật Internet of Things
- Người dùng nên làm gì để bảo mật Thiết bị IoT?
- Các chiến lược bảo mật IoT
- Tính năng bảo mật của thiết bị IoT
Internet of Things (IoT) là một thuật ngữ mô tả hàng triệu thiết bị được trang bị cảm biến và được kết nối qua internet. Cuộc cách mạng IoT đã tạo ra một cuộc cách mạng về lối sống mang lại sự tiện lợi. Chính nhờ IoT mà chúng ta có thành phố thông minh, công nghệ đeo được, ô tô không người lái, thiết bị gia dụng thông minh, thiết bị y tế thông minh, cùng nhiều thiết bị thông minh khác. Theo Gartner, 20 tỷ thiết bị sẽ được kết nối với nhau vào năm 2020. Nhưng bất chấp những lợi ích to lớn mà IoT mang lại, việc gia tăng kết nối mang lại rất nhiều rủi ro về an ninh mạng. Nhu cầu gia tăng đối với các thiết bị IoT và tìm kiếm sự tiện lợi đã khiến quyền riêng tư và bảo mật dữ liệu được ưu tiên thứ hai. Bảo mật các thiết bị IoT yêu cầu đầu vào của cả người dùng, nhà sản xuất thiết bị và cơ quan quản lý của chính phủ.
Trước khi đi sâu vào các rủi ro liên quan đến Công nghệ IoT, bạn cũng có thể xem các bài báo IoT hữu ích khác nhau:
- Nền tảng phần cứng hàng đầu cho Internet of Things (IoT)
- Chọn nền tảng phù hợp cho giải pháp IoT của bạn
- Các nền tảng IoT nguồn mở hàng đầu để cắt giảm chi phí phát triển IoT của bạn
Và để bắt đầu xây dựng một số ứng dụng Iot trong thế giới thực, có rất nhiều dự án dựa trên IoT sử dụng Arduino, Raspberry Pi, ESP8266 và các nền tảng khác.
Những thách thức trong việc bảo mật Internet of Things
Nhân rộng các thiết bị là một thách thức đáng kể khi nói đến bảo mật các thiết bị IoT. Khi một thiết bị IoT được sản xuất, nó sẽ được nhân rộng và sản xuất hàng loạt. Nhân rộng có nghĩa là, nếu một lỗ hổng bảo mật được xác định trên một trong các thiết bị, tất cả các thiết bị khác đều có thể bị khai thác. Điều này làm cho các tỷ lệ an ninh mạng IoT trở nên thảm khốc. Năm 2016, Hangzhou Xiongmai Technology; Một công ty Trung Quốc đã buộc phải thu hồi hàng triệu thiết bị giám sát sau khi một lỗ hổng bảo mật gây ra một cuộc tấn công vào máy chủ của Dyn, nơi chứa Twitter và Netflix.
Sơ suất của các kỹ sư bảo mật. Đa số mọi người tin rằng tin tặc không nhắm vào các hệ thống nhúng. An ninh mạng được coi là một vấn đề của các tập đoàn lớn. Do đó, các chi tiết bảo mật không phải là ưu tiên khi nói đến việc sản xuất các thiết bị một số năm trước. Tuy nhiên, những phát triển gần đây chỉ ra rằng các nhà sản xuất thiết bị đang ưu tiên bảo mật trong vòng đời sản xuất các thiết bị IoT.
Các thiết bị IoT không dễ dàng vá lỗi. Các thiết bị IoT được phát hành với hàng triệu thiết bị và khi người tiêu dùng đổ xô mua các thiết bị này, rất ít khách hàng liên hệ với các nhà sản xuất thiết bị để cài đặt các bản nâng cấp phần mềm. Ngoài ra, phần lớn các thiết bị này sử dụng phần mềm dành riêng cho thiết bị với khả năng sử dụng thấp khiến người dùng khó cập nhật phần mềm mà không có chuyên gia.
Các thiết bị IoT sử dụng các giao thức công nghiệp cụ thể khác không tương thích hoặc không được hỗ trợ bởi các công cụ bảo mật doanh nghiệp hiện có. Do đó, các công cụ bảo mật doanh nghiệp như tường lửa và IDS không bảo mật các giao thức công nghiệp cụ thể này. Do sự kết nối của các thiết bị này, một sự thỏa hiệp trên giao thức thiết bị IoT khiến toàn bộ mạng dễ bị tấn công.
Thiếu các tiêu chuẩn bảo mật được chuẩn hóa. Do chuyên môn hóa, các nhà sản xuất khác nhau chuyên sản xuất một thành phần cụ thể của IoT. Phần lớn các nhà sản xuất này nằm ở các quốc gia khác nhau, do đó tuân theo các tiêu chuẩn công nghiệp đặt ra ở các quốc gia đó. Do đó, các thành phần được sử dụng để tạo ra một thiết bị IoT có thể có các tiêu chuẩn bảo mật khác nhau. Sự khác biệt về tiêu chuẩn bảo mật này có thể dẫn đến sự không tương thích hoặc gây ra lỗ hổng bảo mật.
Chức năng quan trọng: với sự xuất hiện của các thành phố thông minh, cơ sở hạ tầng chính của chính phủ dựa vào IoT. Hiện tại, cơ sở hạ tầng giao thông, hệ thống thông tin liên lạc thông minh, hệ thống giám sát an ninh thông minh và mạng lưới tiện ích thông minh đều dựa vào IoT. Do vai trò quan trọng của các cơ sở hạ tầng này, rủi ro bảo mật liên quan cũng cao do sự quan tâm của tin tặc.
Người dùng nên làm gì để bảo mật Thiết bị IoT?
Người dùng có vai trò quan trọng trong việc tăng cường bảo mật cho các thiết bị IoT. Một số trách nhiệm này bao gồm;
Thay đổi mật khẩu mặc định: Đa số người dùng không bận tâm đến việc thay đổi mật khẩu mặc định do nhà sản xuất đặt. Việc không thay đổi mật khẩu mặc định dễ khiến kẻ gian xâm nhập vào mạng. Các công nghệ tích cực đã đưa ra một báo cáo chỉ ra rằng 15% người dùng sử dụng mật khẩu mặc định. Điều mà nhiều người dùng không biết là phần lớn các mật khẩu này có thể được truy cập bằng bất kỳ công cụ tìm kiếm nào. Người dùng nên triển khai thêm mật khẩu mạnh và an toàn để xác thực thiết bị của họ.
Cập nhật phần mềm thiết bị: phần lớn các cuộc tấn công mạng IoT xảy ra do người dùng không cập nhật firmware thiết bị thường xuyên. Ở những nơi khác có thiết bị cập nhật tự động, các thiết bị khác yêu cầu cập nhật thủ công. Cập nhật phần mềm giúp vá các lỗ hổng bảo mật và có được hiệu suất tốt hơn từ phần mềm được nâng cấp.
Tránh kết nối với kết nối internet không xác định: Đa số các thiết bị thông minh được thiết kế để tự động tìm kiếm và kết nối với bất kỳ mạng nào. Kết nối với mạng mở, đặc biệt là ở những nơi công cộng, không an toàn và có thể khiến thiết bị của bạn bị tấn công mạng. Giải pháp tốt nhất là tắt kết nối internet tự động. Người dùng cũng nên tắt Universal plug and play. UPnP giúp các thiết bị IoT tự động kết nối với nhau. Tin tặc có thể khai thác UPnP bằng cách khám phá các thiết bị này và kết nối với chúng.
Triển khai mạng khách: Việc phân tách mạng là rất quan trọng ngay cả trong một tổ chức. Việc cho phép khách truy cập vào mạng của bạn cho phép họ truy cập và chia sẻ tài nguyên với các thiết bị được kết nối. Do đó, để tránh để thiết bị của bạn tiếp xúc với các mối đe dọa nội gián và những người bạn không đáng tin cậy, điều cần thiết là tạo một mạng riêng cho khách của bạn.
Các chiến lược bảo mật IoT
Bảo mật API: Các nhà phát triển và nhà sản xuất thiết bị nên áp dụng Chỉ số hiệu suất ứng dụng (API) như một chiến lược đảm bảo giao tiếp và trao đổi dữ liệu giữa các thiết bị IoT và máy chủ.
Kết hợp bảo mật IoT trong vòng đời phát triển: Các nhà phát triển và sản xuất thiết bị và phần mềm IoT nên biến bảo mật trở thành một phần không thể thiếu trong quá trình thiết kế và phát triển. Bảo mật bao thanh toán trong quá trình phát triển ban đầu đảm bảo phần cứng và phần mềm an toàn.
Tăng cường quản lý phần cứng: Các nhà sản xuất thiết bị nên áp dụng các chiến lược để đảm bảo thiết bị chống giả mạo. Làm cứng điểm cuối đảm bảo rằng các thiết bị hoạt động trong điều kiện thời tiết khắc nghiệt có thể hoạt động ngay cả khi giám sát tối thiểu.
Sử dụng chứng chỉ số và Cơ sở hạ tầng khóa công khai: Một chiến lược tăng cường bảo mật IoT là thông qua việc sử dụng chứng chỉ số PKI và 509. Thiết lập sự tin cậy và kiểm soát giữa các thiết bị kết nối là rất quan trọng đối với an ninh mạng. Chứng chỉ kỹ thuật số và PKI đảm bảo phân phối an toàn các khóa mã hóa, trao đổi dữ liệu và xác minh danh tính qua mạng.
Triển khai hệ thống quản lý danh tính để giám sát từng thiết bị được kết nối. Hệ thống quản lý danh tính chỉ định một số nhận dạng duy nhất cho mỗi thiết bị IoT tạo điều kiện cho việc giám sát hành vi của thiết bị, giúp dễ dàng thực thi các biện pháp bảo mật thích hợp.
Triển khai các cổng bảo mật: Các thiết bị IoT không có đủ bộ nhớ hoặc sức mạnh xử lý để cung cấp bảo mật cần thiết. Sử dụng các cổng bảo mật như Hệ thống phát hiện xâm nhập và tường lửa có thể giúp cung cấp các tính năng bảo mật nâng cao.
Tích hợp và đào tạo đội ngũ: IoT là một lĩnh vực mới nổi và do đó, việc đào tạo liên tục đội bảo mật là điều cần thiết. Nhóm phát triển và bảo mật cần được đào tạo về các ngôn ngữ lập trình mới nổi và các biện pháp bảo mật. Các nhóm bảo mật và phát triển cần làm việc cùng nhau và hài hòa các hoạt động của họ và đảm bảo các biện pháp an ninh được tích hợp trong quá trình phát triển.
Tính năng bảo mật của thiết bị IoT
Hiện tại, không có một kích thước nào phù hợp với tất cả các tính năng bảo mật mà các nhà sản xuất thiết bị có thể áp dụng. Tuy nhiên, các tính năng bảo mật sau đây có thể tạo điều kiện bảo mật cho các thiết bị IoT;
Cơ chế xác thực an toàn: Nhà phát triển nên triển khai cơ chế đăng nhập sử dụng các giao thức an toàn như X.509 hoặc Kerberos để xác thực.
Tăng cường bảo mật dữ liệu: thực hiện mã hóa dữ liệu và truyền thông để ngăn chặn truy cập được cấp phép.
Sử dụng hệ thống phát hiện xâm nhập: Các thiết bị IoT hiện tại không được trang bị IDS có thể giám sát các lần đăng nhập đã cố gắng. Ngay cả khi một hacker cố gắng tấn công vũ lực vào các thiết bị, sẽ không có cảnh báo. Việc tích hợp IDS sẽ đảm bảo rằng các trường hợp đăng nhập không thành công tiếp theo hoặc các cuộc tấn công độc hại khác được báo cáo.
Tích hợp thiết bị IoT với cảm biến giả mạo thiết bị: Các thiết bị IoT bị giả mạo, đặc biệt là những thiết bị được giám sát tối thiểu rất dễ bị tấn công mạng. Các thiết kế bộ xử lý mới nhất được tích hợp cảm biến phát hiện giả mạo. Các cảm biến này có thể phát hiện khi các con dấu ban đầu bị hỏng.
Sử dụng tường lửa để ngăn chặn các cuộc tấn công mạng: Tích hợp tường lửa sẽ bổ sung thêm một lớp bảo vệ. Tường lửa giúp ngăn chặn các cuộc tấn công mạng bằng cách giới hạn quyền truy cập mạng đối với các máy chủ đã biết. Tường lửa bổ sung thêm một lớp bảo vệ chống tràn bộ đệm và các cuộc tấn công bạo lực.
Mạng truyền thông an toàn: Giao tiếp giữa các thiết bị IoT nên được mã hóa thông qua các giao thức SSL hoặc SSH. Mã hóa thông tin liên lạc giúp ngăn chặn việc nghe trộm và đánh hơi gói tin.
Tấn công mạng là một trong những trở ngại lớn cho sự thành công của công nghệ IoT. Tăng cường bảo mật đòi hỏi tất cả các bên liên quan phải làm việc hài hòa để đảm bảo các tiêu chuẩn đặt ra được thực hiện và tuân thủ. Các cơ quan có liên quan nên giới thiệu các tiêu chuẩn công nghiệp cụ thể của IoT tương thích và được hỗ trợ bởi các tiêu chuẩn công nghiệp khác để nâng cao khả năng hoạt động của các thiết bị IoT trên toàn quốc. Các quy định của Quốc tế IoT áp dụng cho tất cả các quốc gia phải được thực thi để đảm bảo chất lượng của các thiết bị IoT được sản xuất liền mạch. Các bên liên quan nên cảm hóa người dùng về nhu cầu và cách bảo vệ thiết bị và mạng của họ trước các cuộc tấn công mạng.