home Teknologi Manufaktur Peralatan Manufaktur
Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Industrial Internet of Things >> Teknologi Internet of Things

Kita harus mengamankan Internet of Things sebelum seseorang terluka

Robert Haim dari ACG Research

Dick Cheney, mantan wakil presiden Amerika Serikat, terkenal menonaktifkan akses nirkabel ke alat pacu jantungnya karena dia takut teroris dapat memicu serangan jantung. Dalam film 2007 “Live Free or Die Hard”, para penjahat memblokir lalu lintas dan menyebabkan kecelakaan dengan mengubah semua lampu lalu lintas Washington, D.C. menjadi hijau.

Serangan nyata dan fiktif terhadap apa yang sekarang kita sebut Internet of Things (IoT) berpotensi menyebabkan hilangnya nyawa. Mempertimbangkan semua sensor dan kontrol IoT yang digunakan di seluruh dunia saat ini, hanya masalah waktu sebelum keamanan yang lemah memungkinkan aktor jahat mengambil kendali, mengaktifkan perilaku berbahaya, atau menipu operator manusia untuk melakukan tindakan yang salah.

Itu hanya masalah waktu saja. Kita harus mengamankan Internet of Things sebelum seseorang terluka. Tapi bagaimana?

Ada banyak tantangan di bidang itu. Misalnya, manajemen identitas. Apakah Anda pernah benar-benar yakin tentang pengguna, perangkat, atau aplikasi mana yang mencoba mengakses data Anda? Bagaimana Anda bisa membuktikan identitas dalam keraguan yang masuk akal, tetapi tetap meningkatkan keyakinan bahwa Anda telah memercayai pengguna yang tepat, dan bukan, katakanlah, seorang teroris? Itu berarti pemantauan perilaku, secara real time.

Ambil tantangan untuk melindungi informasi penting, yang mungkin diatur oleh undang-undang atau industri – atau hanya sangat berharga bagi perusahaan dan pencuri. Data tersebut dapat memengaruhi kehidupan segera (seperti perangkat medis) atau lebih baru (seperti cetak biru sistem keamanan bendungan pembangkit listrik tenaga air). Bagaimana Anda bisa yakin bahwa data dan perangkat tersebut terlindungi dengan baik dari gangguan atau akses ilegal?

Atau koneksi jaringan itu sendiri, yang menghubungkan perangkat seluler atau telepon tetap kembali ke pusat data atau cloud. Apakah koneksi aman? Bisakah peretas mendapatkan akses dengan menumbangkan titik akhir… dan apakah koneksi tersebut telah diuji agar kuat, dapat diskalakan, dan tidak dapat ditembus? Mari cari tahu caranya.

Temukan serangannya. Hentikan serangan

Tantangan dalam mencapai jaringan yang “aman”, termasuk sektor IoT, adalah bahwa “keamanan” adalah tujuan yang negatif, kata Robert Haim, analis utama di ACG Research , yang berfokus pada industri jaringan dan telekomunikasi.

“Anda mencoba untuk mencapai sesuatu terlepas dari apa pun yang mungkin dilakukan musuh dan Anda tidak tahu apa kemampuan musuh itu,” jelasnya. Karena banyak perangkat titik akhir IoT tidak memiliki cukup memori untuk menyertakan perangkat lunak keamanan canggih di dalamnya. “Jadi apa yang akan kita lakukan?”

Sebenarnya ada dua masalah yang harus diselesaikan, kata Haim:"Kita harus khawatir tentang keamanan perangkat itu sendiri, dan kemudian kita juga harus memikirkan apa yang harus kita lakukan jika kita diretas." Itu tidak membantu bahwa 55% perusahaan bahkan tidak tahu dari mana ancaman itu berasal, dan di mana masalahnya ada di jaringan mereka.

Lihat tindakan, bukan hanya identitas

Mark McGovern, pemimpin grup analisis ancaman, CA Teknologi , mengatakan bahwa ada kebutuhan besar untuk melihat apa yang dilakukan orang, setelah diberi akses ke sistem. Apa yang mereka lakukan lebih penting daripada siapa mereka. “Apakah itu sistem yang ada yang melakukan otorisasi real-time dari 100 juta pengguna untuk lembaga keuangan, atau perusahaan kabel besar, cara kami memikirkannya bukan tentang siapa yang Anda klaim atau kredensial yang Anda miliki, itu adalah apa yang Anda miliki. lakukan.”

Dia menjelaskan, “Ketika Anda bertemu seseorang di jalan, mereka mungkin mengatakan bahwa mereka adalah X atau mereka melakukan Y, tetapi kenyataannya adalah, apa yang Anda amati mereka lakukan dari waktu ke waktu? Itulah tingkat kepercayaan yang Anda berikan kepada orang-orang.”

CA mempelajari dan menganalisis perilaku aktual entitas yang berwenang untuk menggunakan sistem, dan menandai hal-hal yang tidak konsisten dengan perilaku entitas tersebut di masa lalu.

“Apakah itu alamat IP, titik akhir, login, atau identitas yang diklaim, hal-hal apa saja yang menonjol, baik yang bertentangan dengan perilaku mereka sendiri, maupun perilaku populasi,” kata McGovern. “Data ini memperkuat pembelajaran yang dilakukan sistem kami dan pembelajaran mesin yang kami sematkan dalam sistem tersebut, dan juga memberikan nilai bagi pelanggan kami.”

Mulai dengan pemodelan ancaman

“Ambil perangkat apa pun, seperti kunci pintu IoT,” kata John Michelsen, chief product officer, Zimperium , yang membuat perangkat lunak pertahanan ancaman seluler berbasis AI. “Anda harus mengidentifikasi pada tingkat perangkat, tingkat jaringan, atau tingkat konten aplikasi, dengan cara apa perangkat ini dapat dieksploitasi.” Dan kemudian Anda harus memblokirnya sebelum Anda pergi ke pasar.

Ini masalah nyata, kata Michelsen. “Pada Black Hat 2017, seseorang membuktikan bahwa 13 dari 15 kenop pintu otomatis dapat dibuka hanya dalam beberapa jam kerja. Setidaknya 70% perangkat IT konsumen IoT dapat diretas.”

Itulah mengapa Anda membutuhkan pemodelan ancaman, katanya:“Pertama, Anda melakukan pemodelan ancaman. Anda kemudian mengidentifikasi cara-cara yang akan Anda cegah – deteksi hal itu dan mulailah membangun solusi untuk mengatasinya.”

Semua orang harus melihat ke luar

Setiap perusahaan memiliki sumber daya keamanan internal untuk menguji perangkat lunak, infrastruktur, produk, dan layanan, tetapi itu tidak cukup, kata Roark Pollock, wakil presiden senior, Ziften , yang menawarkan solusi keamanan titik akhir.

“Kamu harus melihat ke luar. Lihatlah mitra Anda dan terbuka untuk mereka menguji produk Anda. Mereka mungkin mengharuskan Anda untuk menjalani seluruh proses sertifikasi — tempatkan diri Anda melalui sertifikasi mitra tersebut. Ada perusahaan audit untuk keamanan hari ini. Pekerjakan mereka.”

Jangan percaya diri, dia bersikeras. Dapatkan pakar eksternal untuk memeriksa ulang teknisi Anda, memeriksa ulang kode Anda.

“Kemudian lihat komunitas dan proyek sumber terbuka untuk memastikan lagi bahwa ada komunitas orang yang memeriksa ulang, memeriksa ulang, mendorong kode itu.”

Pollock tidak terkesan oleh perusahaan mana pun yang berasumsi bahwa ia dapat melakukan semuanya sendiri dalam hal keamanan. “Saya pikir sangat penting untuk mendapatkan bantuan dari luar.”

Gunakan kecerdasan buatan untuk identitas polisi

Hank Skorny, wakil presiden senior, Neustar , sebuah perusahaan manajemen identitas, mengatakan bahwa itu dimulai dengan menentukan identitas pengguna (atau perangkat atau aplikasi) yang mengakses perangkat IoT atau data mereka. Tapi itu tidak berhenti di situ. “Anda harus membangun identitas. Anda juga harus selalu meragukannya, karena identitas hanyalah kemungkinan, tidak pernah benar-benar pasti.”

Bagaimana Anda meningkatkan kepercayaan pada kemungkinan itu? “Gunakan pembelajaran mesin dan kecerdasan buatan,” katanya, sambil terus memantau sistem apa pun yang Anda buat.

“Anda tidak hanya akan mengidentifikasi seseorang atau menentukan perangkat atau apa pun. Anda akan mengawasinya. Satu-satunya cara Anda dapat mengawasi dunia skala nanodetik adalah dengan menggunakan pembelajaran mesin komputasi dan kecerdasan buatan, yang terus-menerus mencari pola perilaku jahat itu — menghentikannya lebih cepat daripada yang bisa dilakukan manusia.

Buktikan kepercayaan di beberapa domain

Beberapa data dilindungi oleh undang-undang – pikirkan tentang rahasia militer atau informasi identitas pribadi tentang kesehatan, yang dicakup oleh Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA) di Amerika Serikat. Namun, ada informasi lain yang sangat sensitif, meskipun tidak dicakup oleh peraturan khusus. Pertimbangkan data tentang kinerja atlet profesional:Ini bukan informasi kesehatan HIPPA, tetapi merupakan kecerdasan penting bagi tim olahraga bernilai miliaran dolar.

Olahraga Zebra adalah bisnis yang mengumpulkan telemetri waktu latihan dan hari permainan pada pemain sepak bola Amerika, jelas John Pollard, wakil presiden perusahaan, dan perusahaan harus bekerja keras untuk mencetak gol dengan National Football League (NFL).

“Salah satu kriteria yang dilalui NFL dalam mengevaluasi berbagai teknologi tentu saja keamanan,” katanya. “Kami mengumpulkan banyak informasi, dan harus mentransfer informasi itu ke dalam perangkat lunak dan layanan sehingga klien kami di vertikal utama dapat mengevaluasi informasi itu. NFL tentu saja mewujudkan itu juga. Karena kami menangkap informasi yang belum pernah diambil sebelumnya untuk olahraga profesional, kami berbicara tentang akselerasi, deselerasi, perubahan arah, kedekatan dalam jumlah waktu keseluruhan.”

Membantu Zebra mencetak poin:Pengalamannya yang kaya dalam IoT di ritel, transportasi, logistik, manufaktur, dan perawatan kesehatan.

“Warisan kami bekerja dengan industri tersebut tentu membantu kami membangun kasus yang valid untuk menjadi mitra NFL dalam menangkap jenis informasi tersebut,” kata Pollard.

Pelajaran keamanan di sini, kata Pollard adalah bahwa hanya karena olahraga tidak berarti itu penting. Prinsip yang sama berlaku untuk, katakanlah, IoT militer atau komersial seperti pada NFL. Telemetri untuk pemain sepak bola tidak berbeda dengan telemetri untuk satpam, atau bahkan rudal. Parameter pertama adalah membuatnya aman.

Buat zona kepercayaan — dan terapkan

Tidak semua pengguna diciptakan sama, dan tidak semua pengguna memerlukan informasi yang sama dari perangkat IoT. Staf TI Rumah Sakit perlu memverifikasi bahwa data dari pompa dialisis diambil oleh aplikasi yang benar dan disimpan dalam catatan pasien yang benar… tetapi mereka tidak perlu melihat data tersebut, dan pada kenyataannya, HIPAA dapat melarang akses mereka. Demikian pula, staf TI perlu memverifikasi bahwa pintu masuk ke bagian bangunan yang aman berfungsi dengan baik, tetapi sekali lagi, mereka mungkin tidak diizinkan untuk membuka pintu itu sendiri.

“Jika Anda melihat jumlah orang yang berinteraksi dengan kunci pintu itu, peran, tanggung jawab, di situlah zona kepercayaan terus terbangun,” kata Sanjeev Datla, chief technology officer, Lantronix , yang membangun teknologi IoT industri. “Apa tingkat akses yang berbeda untuk administrator pintu? Untuk perawat saat dia berinteraksi dengan mesin dialisis?”

Dan bagaimana dengan teknisi servis lapangan yang datang untuk mengakses atau memperbaiki mesin? “Ketahui peran dan tanggung jawab tentang apa yang boleh diizinkan, dan apa yang tidak boleh diizinkan,” katanya.

Datla menegaskan bahwa itu tidak sederhana. “Anda memiliki pompa infus dengan port Ethernet. Apa cincin kepercayaan, atau kontrol akses, jika Anda mau, di sekitar port itu? Dan bagaimana cara mengujinya?” Seperti yang dikatakan Mark McGovern dari CA di atas, ini pasti lebih canggih daripada daftar kontrol akses sederhana.

“Kami mencari analisis perilaku,” kata Datla, “Oke, orang ini tidak seharusnya melakukan ini saat ini. Jadi ketika mereka melakukan itu, apa yang Anda lakukan? Bagaimana Anda meningkatkan peringatan, dan mendapatkan persetujuan atau pemblokiran dari tingkat yang lebih tinggi?”

Jangan pernah lupa:semuanya terhubung

“Perangkat IoT menjadi semakin pintar,” kata Pollock dari Ziften. “Kami tidak berbicara tentang pengontrol mikro bodoh untuk unit kontrol yang memiliki celah udara lagi. Kita berbicara tentang sensor pintar di jaringan. Kita berbicara tentang gerbang pintar.”

Terlebih lagi, ia menunjukkan, “Banyak perangkat IoT adalah PC yang berfungsi penuh untuk semua tujuan praktis, namun kami tidak memperlakukan perangkat tersebut seperti kami memperlakukan PC biasa di jaringan perusahaan kami.”

“Dengar, jika Anda ingin memiliki semua perangkat yang terhubung ini, Anda harus dapat memantau keadaan perangkat itu dan kebersihan perangkat itu. Itu harus dikeraskan di lingkungan Anda.”

Menggemakan komentar sebelumnya, Pollock menegaskan bahwa perusahaan harus memantau perangkat IoT untuk perilaku, tidak hanya kontrol akses. “Cari outlier dari sudut pandang perilaku dan mulailah mengidentifikasi apa yang terjadi dengan perangkat itu dan apa yang dilakukannya. Fokus pada outlier dengan ekor panjang kurva pada apa yang terjadi. Identifikasi perangkat yang melakukan sesuatu yang tidak biasa, dan lihat serta selidiki sebagai potensi masalah.”

Karena, bagaimanapun, dengan perangkat IoT dan aplikasi IoT yang rentan terhadap serangan, kehidupan akan dipertaruhkan.

Penulisnya adalah Robert Haim, analis utama – Analisis Bisnis &IoT, Penelitian ACG


Teknologi Internet of Things

  • Tertanam
  • Sensor
  • Komputasi awan
  • Teknologi Internet of Things
    1. Internet of Things yang Menarik:Apa yang mendorong praktisi IoT?
    2. Membawa blockchain ke Internet of Things
    3. Memantau Internet of Things
    4. Hyperconvergence dan Internet of Things:Bagian 1
    5. Tantangan keamanan yang ditimbulkan oleh Internet of Things:Bagian 2
    6. Kita harus mengamankan Internet of Things sebelum seseorang terluka
    7. Berinvestasi dalam potensi Internet of Things
    8. Internet of Things yang sebenarnya?
    9. Internet of Things:Mengelola masuknya data
    10. Mengamankan Industrial Internet of Things