Derpy
Intern Writer
Gần đây, sự hào hứng xung quanh Internet vạn vật (IoT) đã vượt qua những thảo luận nghiêm túc về cách bảo mật cho nó. Hàng tỉ thiết bị đã được đưa ra thị trường mà không có đủ sự cân nhắc về quản lý vòng đời, cung cấp và vá lỗi. Giờ đây, khi những thiết bị này hòa nhập vào cơ sở hạ tầng quan trọng, đã đến lúc chúng ta cần khắc phục những lỗ hổng này.
Trong các cuộc phỏng vấn độc quyền với EE Times Europe tại Hội nghị The Things Conference 2025, ba chuyên gia trong ngành đã đưa ra những quan điểm bổ sung về cách thức giải quyết các mối đe dọa bảo mật. Những thông tin mà họ cung cấp giúp chúng ta có cái nhìn tổng quát về tình hình bảo mật IoT hiện tại và những gì cần làm để cải thiện.
Một loạt sai lầm trong lĩnh vực này đã khiến nhiều người phải giật mình. Johan Stokking, CTO và đồng sáng lập The Things Industries, đã thẳng thắn chỉ ra một số sai lầm mà ông vẫn thấy. "Một trong những thực hành tồi tệ nhất là sử dụng cùng một khóa cho nhiều thiết bị hoặc lấy bí mật từ dữ liệu công khai — như chỉ cần sao chép định danh thiết bị," ông chia sẻ với EE Times Europe.
LoRaWAN được thiết kế với các khóa đối xứng, điều này có nghĩa là bí mật cần phải được phân phối an toàn giữa các nhà sản xuất thiết bị và mạng. Tuy nhiên, quá nhiều bí mật lại bị lưu trong các file Excel và được chuyển qua email, đôi khi bị giữ trong hộp thư trong nhiều năm. Khi những khóa này bị xâm phạm, chúng không thể được thay thế.
Ngành công nghiệp đang di chuyển về phía các phương pháp bảo mật hơn. Liên minh LoRa đang chuẩn hóa mã hóa bất đối xứng, và các "máy chủ tham gia" đang được triển khai để phát hành các khóa phiên mà không để lộ thông tin xác thực gốc. Các phần tử bảo mật, chẳng hạn như những gì được cung cấp qua các hợp tác với Microchip Technology, nhúng các khóa gốc vào phần cứng chống giả mạo. Nhưng việc áp dụng vẫn chưa đồng đều. "Chi phí vẫn là một rào cản," Stokking nói. "Các phần tử bảo mật chống giả mạo làm tăng thêm 1.5-1.7 nghìn đồng vào chi phí sản xuất. Đối với các thiết bị IoT có biên lợi nhuận thấp, điều này có thể là một trở ngại lớn."
Bài học ở đây là rõ ràng: Ngay cả khi các giao thức buộc phải mã hóa, các quy trình xung quanh — sản xuất khóa, phân phối và quản lý vòng đời — cuối cùng quyết định đến mức độ bảo mật thực tế. Nếu không có kỷ luật trong việc cung cấp, hệ thống sẽ vẫn yếu ớt.
Trong khi Stokking tập trung vào việc cung cấp, Window Snyder, CEO của Thistle Technologies, đã chỉ ra một điểm yếu khác: cơ chế cập nhật. Khi được hỏi điều gì mà các nhóm mua sắm nên yêu cầu như một tính năng không thể đàm phán, cô nói rằng: "Cập nhật là rất quan trọng." Những thiết bị không có cơ chế cập nhật đáng tin cậy và hiệu quả thì không thể được bảo mật trong suốt vòng đời dài của chúng.
Snyder đã chứng kiến thực tế rằng việc cập nhật không thành công có thể gây thiệt hại lớn cho các tổ chức: “Nếu đó là một chiếc ô tô, nó phải quay lại đại lý. Nếu là thiết bị công nghiệp, nó có thể làm ngừng hoạt động dây chuyền sản xuất. Nếu là thiết bị y tế, điều đó có thể ảnh hưởng đến sức khỏe bệnh nhân. Còn nếu là vệ tinh, nó sẽ mất mãi mãi.” Tolerance đối với việc cập nhật thất bại trong các hệ thống nhúng gần như bằng không.
Theo Snyder, sứ mệnh của Thistle Technologies là đơn giản hóa các cơ chế cấp thấp — khởi động an toàn, xác thực firmware đã ký và khả năng phục hồi đáng tin cậy — mà hầu hết các nhóm thiết bị đang vật lộn để thực hiện. Nhiều nhà phát triển IoT thiếu chuyên môn bảo mật phần cứng. Để họ tự tái phát minh và cập nhật các hệ thống cho mỗi chipset dẫn đến sự không đồng nhất và lược bớt các bước cần thiết. Snyder kêu gọi việc cung cấp các thư viện và dịch vụ có thể tái sử dụng nhằm làm cho sự phục hồi trở nên dễ tiếp cận hơn ngay cả với những đội ngũ không có nền tảng bảo mật vững chắc.
Điểm rộng hơn mà cô nhấn mạnh là văn hóa: Các nhà sản xuất thiết bị phải nhận ra rằng các cơ chế cập nhật đáng tin cậy không phải là một tính năng tùy chọn mà là nền tảng của bất kỳ tư thế bảo mật lâu dài nào.
Kristian Saether, giám đốc sản phẩm cao cấp cho các giải pháp dài hạn tại Nordic Semiconductor, nhấn mạnh rằng khách hàng cần tận dụng các yếu tố cơ bản mà các nhà cung cấp cung cấp. Trong khi Nordic Semiconductor tích hợp lưu trữ khóa an toàn, sản xuất khóa, định danh thiết bị được cung cấp tại nhà máy và mã hóa bất đối xứng vào các SoC của mình, Saether cho biết khách hàng không phải lúc nào cũng kích hoạt những tính năng này. "IoT tiến triển chậm chạp," ông nói. "Nhiều công ty vẫn xây dựng các hệ thống cập nhật firmware tự chế. Các quy định thực sự đang thúc đẩy việc áp dụng."
Saether nhận thấy có hai mô hình chính cho kết nối an toàn. Một là mạng riêng, nơi khách hàng phải quyết định — và đôi khi triển khai — các biện pháp bảo vệ của riêng họ. Mô hình còn lại là mạng di động công cộng, nơi mà nhiều quy chuẩn bảo mật đã được chuẩn hóa và tích hợp sẵn. Trong cả hai trường hợp, mã hóa tăng tốc phần cứng là ưu tiên hơn cho nhiều lý do, bao gồm cả hiệu suất và hiệu quả năng lượng.
Saether nhấn mạnh tính thực tế: Không phải mọi cảm biến IoT "đơn giản" đều cần một phần tử bảo mật đầy đủ, nhưng những thiết bị phức tạp hơn xử lý thanh toán hoặc dữ liệu cá nhân thì chắc chắn cần.
Nordic Semiconductor cũng cung cấp các triển khai tham khảo của Trusted Firmware-M và TrustZone, cho phép các nhà phát triển tách biệt mã an toàn và không an toàn. Nguyên tắc tối thiểu hóa cơ sở tính toán được tin cậy giảm thiểu khả năng xuất hiện các lỗ hổng vào các chức năng quan trọng như quản lý khóa, khởi động an toàn và cập nhật firmware.
Mỗi chuyên gia đều chỉ ra những thất bại thực tế đáng suy ngẫm. Stokking mô tả cách mà các doanh nghiệp đôi khi nhận được các thiết bị với các khóa gốc in trên giấy từ nhà máy — các khóa có thể được chia sẻ giữa các đơn vị. Trong một trường hợp khác, các cổng sử dụng các giao thức lỗi thời đã để cho các giao diện quản lý bị lộ ra mà không có mã hóa.
Snyder nhắc lại những trường hợp mà thiết bị bị "brick" do cập nhật lỗi, dẫn đến việc thu hồi hoặc thất bại ở hiện trường mà hoàn toàn có thể tránh được nếu có các cơ chế phục hồi mạnh mẽ. Cô cũng nhấn mạnh các chi phí ẩn. Khi không có đủ sự tự tin vào các cơ chế cập nhật, các nhà cung cấp sẽ trì hoãn (hoặc ngừng) các bản vá, khiến cho các đội ngũ phải chịu rủi ro trong nhiều tháng.
Saether ghi nhận rằng nhiều triển khai hiện nay vẫn dựa vào các khóa đối xứng chia sẻ vì "nó tiện lợi" — một lối tắt trở thành một gánh nặng lâu dài. Ông dự đoán rằng các nhà quản lý sẽ ngày càng yêu cầu không chỉ các thiết bị ship kèm định danh đáng tin cậy, khởi động an toàn và các bản cập nhật đã ký được kích hoạt, mà còn yêu cầu các nhà cung cấp phải có ít nhất một kế hoạch hỗ trợ bản vá trong năm năm.
Một bộ các biện pháp đối phó mới đang nổi lên cùng với các thực tiễn tốt nhất. Tất cả ba chuyên gia đều cho rằng quy định là một sự thúc đẩy cần thiết. Snyder trích dẫn Đạo luật Khả năng chống mạng của Liên minh Châu Âu (CRA) là khung quy định toàn diện nhất cho đến nay. Trong khi Hoa Kỳ có các quy định theo ngành, không có gì so sánh được với quy mô của các yêu cầu của EU. Tuy nhiên, vì các nhà sản xuất thiết bị toàn cầu không thể đủ khả năng để phân tách các dòng sản phẩm của họ, cô tin rằng người tiêu dùng toàn cầu sẽ được hưởng lợi. "Khi các nhà sản xuất thiết bị phải làm việc để bán vào Châu Âu, họ sẽ không cắt giảm bảo mật cho các thị trường khác," cô nói.
Saether đồng ý, và lưu ý rằng CRA sẽ buộc các nhà cung cấp chứng minh rằng họ có thể hỗ trợ thiết bị trong ít nhất năm năm. Yêu cầu này sẽ nâng cao tiêu chuẩn cơ bản và thúc đẩy việc áp dụng các dịch vụ tiêu chuẩn hóa, các nền tảng quản lý thiết bị và các cơ chế như khởi động an toàn và cung cấp không chạm.
Trong khi đó, Stokking cảnh báo rằng các chương trình chứng nhận phải phát triển để bao gồm các quy trình thực tế rối ren của việc cung cấp và chuyển nhượng quyền sở hữu. Nếu không, các thực tiễn không an toàn sẽ vẫn tồn tại dưới một lớp vỏ bề ngoài tuân thủ.
Vấn đề bảo mật IoT là đa diện. Những sai lầm trong việc cung cấp, các bản cập nhật không đáng tin cậy và các bảo vệ phần cứng chưa được sử dụng đều mở ra những bề mặt tấn công khác nhau. Tuy nhiên, đây không phải là những câu chuyện cạnh tranh; chúng là những điều bổ sung cho nhau. Stokking cho rằng ngay cả một giao thức được thiết kế tốt như LoRaWAN cũng có thể bị xói mòn bởi việc quản lý khóa lỏng lẻo. Snyder chỉ ra rằng bất kể việc cung cấp cẩn thận như thế nào, các lỗ hổng sẽ được phát hiện theo thời gian, và chỉ có các cơ chế cập nhật mạnh mẽ mới có thể giải quyết chúng. Saether nhấn mạnh vai trò của silicon và tiêu chuẩn trong việc giúp việc chọn lựa đúng trở nên dễ dàng hơn, miễn là khách hàng sẵn sàng sử dụng chúng.
Cùng nhau, họ vạch ra một lộ trình tiến lên: Bảo mật phải được xây dựng vào các thiết bị ngay từ ngày đầu tiên, được kích hoạt mặc định và được duy trì trong suốt vòng đời sản phẩm. Các quy định đang nâng cao tiêu chuẩn, nhưng cuối cùng vẫn là trách nhiệm của các nhà cung cấp, người tích hợp và nhà phát triển để thực hiện theo.
Nhìn về tương lai, những thách thức mới đang ập đến. Stokking chỉ ra những rủi ro lý thuyết, chẳng hạn như tấn công jamming và những yêu cầu quy định cho mật mã mạnh mẽ hơn, bao gồm cả các thuật toán kháng lượng tử. Snyder cảnh báo rằng khi các thiết bị biên mang theo các mô hình AI giá trị, việc bảo vệ chúng bằng các gốc tin cậy phần cứng sẽ trở thành rất quan trọng. Saether cho biết ông kỳ vọng sẽ có sự chuyển mình từ bảo mật đối xứng sang bảo mật bất đối xứng trên quy mô lớn, với sự phát triển của máy tính lượng tử.
Bài học rút ra là bảo mật IoT không phải là một hộp kiểm một lần mà là một lĩnh vực đang phát triển. Các thiết bị được triển khai ngày hôm nay sẽ vẫn còn phục vụ một thập kỷ sau, và những mối đe dọa mà chúng phải đối mặt sẽ thay đổi. Việc thực hiện đúng quy trình cung cấp, đảm bảo các bản cập nhật đáng tin cậy và áp dụng các biện pháp bảo vệ dựa trên phần cứng là các điểm khởi đầu. Duy trì chúng trong thời gian dài thực sự là thách thức.
Nguồn: https://www.eetimes.com/iot-security-hard-lessons-emerging-practices-and-the-push-toward-regulation/
Trong các cuộc phỏng vấn độc quyền với EE Times Europe tại Hội nghị The Things Conference 2025, ba chuyên gia trong ngành đã đưa ra những quan điểm bổ sung về cách thức giải quyết các mối đe dọa bảo mật. Những thông tin mà họ cung cấp giúp chúng ta có cái nhìn tổng quát về tình hình bảo mật IoT hiện tại và những gì cần làm để cải thiện.
Một loạt sai lầm trong lĩnh vực này đã khiến nhiều người phải giật mình. Johan Stokking, CTO và đồng sáng lập The Things Industries, đã thẳng thắn chỉ ra một số sai lầm mà ông vẫn thấy. "Một trong những thực hành tồi tệ nhất là sử dụng cùng một khóa cho nhiều thiết bị hoặc lấy bí mật từ dữ liệu công khai — như chỉ cần sao chép định danh thiết bị," ông chia sẻ với EE Times Europe.
LoRaWAN được thiết kế với các khóa đối xứng, điều này có nghĩa là bí mật cần phải được phân phối an toàn giữa các nhà sản xuất thiết bị và mạng. Tuy nhiên, quá nhiều bí mật lại bị lưu trong các file Excel và được chuyển qua email, đôi khi bị giữ trong hộp thư trong nhiều năm. Khi những khóa này bị xâm phạm, chúng không thể được thay thế.
Ngành công nghiệp đang di chuyển về phía các phương pháp bảo mật hơn. Liên minh LoRa đang chuẩn hóa mã hóa bất đối xứng, và các "máy chủ tham gia" đang được triển khai để phát hành các khóa phiên mà không để lộ thông tin xác thực gốc. Các phần tử bảo mật, chẳng hạn như những gì được cung cấp qua các hợp tác với Microchip Technology, nhúng các khóa gốc vào phần cứng chống giả mạo. Nhưng việc áp dụng vẫn chưa đồng đều. "Chi phí vẫn là một rào cản," Stokking nói. "Các phần tử bảo mật chống giả mạo làm tăng thêm 1.5-1.7 nghìn đồng vào chi phí sản xuất. Đối với các thiết bị IoT có biên lợi nhuận thấp, điều này có thể là một trở ngại lớn."
Bài học ở đây là rõ ràng: Ngay cả khi các giao thức buộc phải mã hóa, các quy trình xung quanh — sản xuất khóa, phân phối và quản lý vòng đời — cuối cùng quyết định đến mức độ bảo mật thực tế. Nếu không có kỷ luật trong việc cung cấp, hệ thống sẽ vẫn yếu ớt.
Trong khi Stokking tập trung vào việc cung cấp, Window Snyder, CEO của Thistle Technologies, đã chỉ ra một điểm yếu khác: cơ chế cập nhật. Khi được hỏi điều gì mà các nhóm mua sắm nên yêu cầu như một tính năng không thể đàm phán, cô nói rằng: "Cập nhật là rất quan trọng." Những thiết bị không có cơ chế cập nhật đáng tin cậy và hiệu quả thì không thể được bảo mật trong suốt vòng đời dài của chúng.
Snyder đã chứng kiến thực tế rằng việc cập nhật không thành công có thể gây thiệt hại lớn cho các tổ chức: “Nếu đó là một chiếc ô tô, nó phải quay lại đại lý. Nếu là thiết bị công nghiệp, nó có thể làm ngừng hoạt động dây chuyền sản xuất. Nếu là thiết bị y tế, điều đó có thể ảnh hưởng đến sức khỏe bệnh nhân. Còn nếu là vệ tinh, nó sẽ mất mãi mãi.” Tolerance đối với việc cập nhật thất bại trong các hệ thống nhúng gần như bằng không.
Theo Snyder, sứ mệnh của Thistle Technologies là đơn giản hóa các cơ chế cấp thấp — khởi động an toàn, xác thực firmware đã ký và khả năng phục hồi đáng tin cậy — mà hầu hết các nhóm thiết bị đang vật lộn để thực hiện. Nhiều nhà phát triển IoT thiếu chuyên môn bảo mật phần cứng. Để họ tự tái phát minh và cập nhật các hệ thống cho mỗi chipset dẫn đến sự không đồng nhất và lược bớt các bước cần thiết. Snyder kêu gọi việc cung cấp các thư viện và dịch vụ có thể tái sử dụng nhằm làm cho sự phục hồi trở nên dễ tiếp cận hơn ngay cả với những đội ngũ không có nền tảng bảo mật vững chắc.
Điểm rộng hơn mà cô nhấn mạnh là văn hóa: Các nhà sản xuất thiết bị phải nhận ra rằng các cơ chế cập nhật đáng tin cậy không phải là một tính năng tùy chọn mà là nền tảng của bất kỳ tư thế bảo mật lâu dài nào.
Kristian Saether, giám đốc sản phẩm cao cấp cho các giải pháp dài hạn tại Nordic Semiconductor, nhấn mạnh rằng khách hàng cần tận dụng các yếu tố cơ bản mà các nhà cung cấp cung cấp. Trong khi Nordic Semiconductor tích hợp lưu trữ khóa an toàn, sản xuất khóa, định danh thiết bị được cung cấp tại nhà máy và mã hóa bất đối xứng vào các SoC của mình, Saether cho biết khách hàng không phải lúc nào cũng kích hoạt những tính năng này. "IoT tiến triển chậm chạp," ông nói. "Nhiều công ty vẫn xây dựng các hệ thống cập nhật firmware tự chế. Các quy định thực sự đang thúc đẩy việc áp dụng."
Saether nhận thấy có hai mô hình chính cho kết nối an toàn. Một là mạng riêng, nơi khách hàng phải quyết định — và đôi khi triển khai — các biện pháp bảo vệ của riêng họ. Mô hình còn lại là mạng di động công cộng, nơi mà nhiều quy chuẩn bảo mật đã được chuẩn hóa và tích hợp sẵn. Trong cả hai trường hợp, mã hóa tăng tốc phần cứng là ưu tiên hơn cho nhiều lý do, bao gồm cả hiệu suất và hiệu quả năng lượng.
Saether nhấn mạnh tính thực tế: Không phải mọi cảm biến IoT "đơn giản" đều cần một phần tử bảo mật đầy đủ, nhưng những thiết bị phức tạp hơn xử lý thanh toán hoặc dữ liệu cá nhân thì chắc chắn cần.
Nordic Semiconductor cũng cung cấp các triển khai tham khảo của Trusted Firmware-M và TrustZone, cho phép các nhà phát triển tách biệt mã an toàn và không an toàn. Nguyên tắc tối thiểu hóa cơ sở tính toán được tin cậy giảm thiểu khả năng xuất hiện các lỗ hổng vào các chức năng quan trọng như quản lý khóa, khởi động an toàn và cập nhật firmware.
Mỗi chuyên gia đều chỉ ra những thất bại thực tế đáng suy ngẫm. Stokking mô tả cách mà các doanh nghiệp đôi khi nhận được các thiết bị với các khóa gốc in trên giấy từ nhà máy — các khóa có thể được chia sẻ giữa các đơn vị. Trong một trường hợp khác, các cổng sử dụng các giao thức lỗi thời đã để cho các giao diện quản lý bị lộ ra mà không có mã hóa.
Snyder nhắc lại những trường hợp mà thiết bị bị "brick" do cập nhật lỗi, dẫn đến việc thu hồi hoặc thất bại ở hiện trường mà hoàn toàn có thể tránh được nếu có các cơ chế phục hồi mạnh mẽ. Cô cũng nhấn mạnh các chi phí ẩn. Khi không có đủ sự tự tin vào các cơ chế cập nhật, các nhà cung cấp sẽ trì hoãn (hoặc ngừng) các bản vá, khiến cho các đội ngũ phải chịu rủi ro trong nhiều tháng.
Saether ghi nhận rằng nhiều triển khai hiện nay vẫn dựa vào các khóa đối xứng chia sẻ vì "nó tiện lợi" — một lối tắt trở thành một gánh nặng lâu dài. Ông dự đoán rằng các nhà quản lý sẽ ngày càng yêu cầu không chỉ các thiết bị ship kèm định danh đáng tin cậy, khởi động an toàn và các bản cập nhật đã ký được kích hoạt, mà còn yêu cầu các nhà cung cấp phải có ít nhất một kế hoạch hỗ trợ bản vá trong năm năm.
Một bộ các biện pháp đối phó mới đang nổi lên cùng với các thực tiễn tốt nhất. Tất cả ba chuyên gia đều cho rằng quy định là một sự thúc đẩy cần thiết. Snyder trích dẫn Đạo luật Khả năng chống mạng của Liên minh Châu Âu (CRA) là khung quy định toàn diện nhất cho đến nay. Trong khi Hoa Kỳ có các quy định theo ngành, không có gì so sánh được với quy mô của các yêu cầu của EU. Tuy nhiên, vì các nhà sản xuất thiết bị toàn cầu không thể đủ khả năng để phân tách các dòng sản phẩm của họ, cô tin rằng người tiêu dùng toàn cầu sẽ được hưởng lợi. "Khi các nhà sản xuất thiết bị phải làm việc để bán vào Châu Âu, họ sẽ không cắt giảm bảo mật cho các thị trường khác," cô nói.
Saether đồng ý, và lưu ý rằng CRA sẽ buộc các nhà cung cấp chứng minh rằng họ có thể hỗ trợ thiết bị trong ít nhất năm năm. Yêu cầu này sẽ nâng cao tiêu chuẩn cơ bản và thúc đẩy việc áp dụng các dịch vụ tiêu chuẩn hóa, các nền tảng quản lý thiết bị và các cơ chế như khởi động an toàn và cung cấp không chạm.
Trong khi đó, Stokking cảnh báo rằng các chương trình chứng nhận phải phát triển để bao gồm các quy trình thực tế rối ren của việc cung cấp và chuyển nhượng quyền sở hữu. Nếu không, các thực tiễn không an toàn sẽ vẫn tồn tại dưới một lớp vỏ bề ngoài tuân thủ.
Vấn đề bảo mật IoT là đa diện. Những sai lầm trong việc cung cấp, các bản cập nhật không đáng tin cậy và các bảo vệ phần cứng chưa được sử dụng đều mở ra những bề mặt tấn công khác nhau. Tuy nhiên, đây không phải là những câu chuyện cạnh tranh; chúng là những điều bổ sung cho nhau. Stokking cho rằng ngay cả một giao thức được thiết kế tốt như LoRaWAN cũng có thể bị xói mòn bởi việc quản lý khóa lỏng lẻo. Snyder chỉ ra rằng bất kể việc cung cấp cẩn thận như thế nào, các lỗ hổng sẽ được phát hiện theo thời gian, và chỉ có các cơ chế cập nhật mạnh mẽ mới có thể giải quyết chúng. Saether nhấn mạnh vai trò của silicon và tiêu chuẩn trong việc giúp việc chọn lựa đúng trở nên dễ dàng hơn, miễn là khách hàng sẵn sàng sử dụng chúng.
Cùng nhau, họ vạch ra một lộ trình tiến lên: Bảo mật phải được xây dựng vào các thiết bị ngay từ ngày đầu tiên, được kích hoạt mặc định và được duy trì trong suốt vòng đời sản phẩm. Các quy định đang nâng cao tiêu chuẩn, nhưng cuối cùng vẫn là trách nhiệm của các nhà cung cấp, người tích hợp và nhà phát triển để thực hiện theo.
Nhìn về tương lai, những thách thức mới đang ập đến. Stokking chỉ ra những rủi ro lý thuyết, chẳng hạn như tấn công jamming và những yêu cầu quy định cho mật mã mạnh mẽ hơn, bao gồm cả các thuật toán kháng lượng tử. Snyder cảnh báo rằng khi các thiết bị biên mang theo các mô hình AI giá trị, việc bảo vệ chúng bằng các gốc tin cậy phần cứng sẽ trở thành rất quan trọng. Saether cho biết ông kỳ vọng sẽ có sự chuyển mình từ bảo mật đối xứng sang bảo mật bất đối xứng trên quy mô lớn, với sự phát triển của máy tính lượng tử.
Bài học rút ra là bảo mật IoT không phải là một hộp kiểm một lần mà là một lĩnh vực đang phát triển. Các thiết bị được triển khai ngày hôm nay sẽ vẫn còn phục vụ một thập kỷ sau, và những mối đe dọa mà chúng phải đối mặt sẽ thay đổi. Việc thực hiện đúng quy trình cung cấp, đảm bảo các bản cập nhật đáng tin cậy và áp dụng các biện pháp bảo vệ dựa trên phần cứng là các điểm khởi đầu. Duy trì chúng trong thời gian dài thực sự là thách thức.
Nguồn: https://www.eetimes.com/iot-security-hard-lessons-emerging-practices-and-the-push-toward-regulation/
