你不得不了解的七個物聯(lián)網(wǎng)安全問題

信睿網(wǎng)絡(luò)
一些物聯(lián)網(wǎng)設(shè)備缺乏基本安全措施的實現(xiàn),正滾雪球似的變成了一個更大的問題。許多正在制造的 物聯(lián)網(wǎng)小工具沒有經(jīng)過安全評估來發(fā)現(xiàn)潛在的漏洞。在先發(fā)制人階段,由于這種故障而引起的一些重大問題包括隱私問題、缺乏數(shù)據(jù)傳輸加密以及用戶身份驗證措施不足。

1.png

圖源于網(wǎng)絡(luò)

“如果你認為互聯(lián)網(wǎng)改變了你的生活,那么,物聯(lián)網(wǎng)即將再次改變這一切。”阿里婭系統(tǒng)(Aria Systems)公司的首席架構(gòu)師和聯(lián)合創(chuàng)始人布蘭登·奧布賴恩(Brendan O'Brien)如上發(fā)言。

統(tǒng)計學家認為,在未來十年的前五年,互連設(shè)備的數(shù)量預(yù)計將超過300億臺。此外,物聯(lián)網(wǎng)市場的總估值預(yù)計將超過1萬億美元大關(guān)。物聯(lián)網(wǎng)技術(shù)的這種看似不可阻擋的增長軌跡,對物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的漏洞、威脅和問題提出了一個巨大挑戰(zhàn)。

未能解決物聯(lián)網(wǎng)安全問題的后果

IoT (物聯(lián)網(wǎng))設(shè)備受到嚴重威脅,這是大多數(shù)互連產(chǎn)品實施幾乎沒有任何來自常見威脅的安全措施的直接后果。

惠普的一項研究表明,超過 70% 的物聯(lián)網(wǎng)設(shè)備存在嚴重漏洞。這些漏洞包括缺乏基本的安全措施,如密碼安全、加密和訪問權(quán)限。包括最常用的小工具,如智能電視、傳真機、家庭系統(tǒng)、安全攝像頭、智能手機麥克風、打印機、揚聲器,甚至咖啡機,都讓人們成為數(shù)據(jù)泄露的目標,造成身體傷害,泄露敏感信息(如密碼、地址,甚至在某些情況下,還有個人圖像)。

2.png

圖源于網(wǎng)絡(luò)

接下來,我們將就大家最關(guān)心的七個物聯(lián)網(wǎng)安全問題提供一些建議,幫助大家提高物聯(lián)網(wǎng)小工具的安全性。

1. 缺乏制造商的合規(guī)性

一些物聯(lián)網(wǎng)設(shè)備缺乏基本安全措施的實現(xiàn),正滾雪球似的變成了一個更大的問題。許多正在制造的 物聯(lián)網(wǎng)小工具沒有經(jīng)過安全評估來發(fā)現(xiàn)潛在的漏洞。在先發(fā)制人階段,由于這種故障而引起的一些重大問題包括隱私問題、缺乏數(shù)據(jù)傳輸加密以及用戶身份驗證措施不足。

2.硬件問題

通常遠程操作或使用時經(jīng)常隔離的設(shè)備也非常容易受到攻擊。例如,閉路電視攝像機位于組織附近,如果受到黑客的入侵,可能會進一步被利用來危害同一網(wǎng)絡(luò)中的其他攝像機。

用戶以及制造商同樣負責加強設(shè)備的物理安全性。一些措施包括將篡改檢測傳感器和發(fā)射器安裝到設(shè)備中,或?qū)⑺鼈兇鎯?安裝在相對不可訪問/安全的地方。這將有助于在篡改檢測和網(wǎng)絡(luò)入侵時披露和發(fā)送警報。

應(yīng)實現(xiàn)安全啟動,并且必須避免將未加密的敏感數(shù)據(jù)存儲在外部內(nèi)存中。盡管攻擊者可能仍能夠繞過安全啟動,但與未實現(xiàn)安全啟動相比,它仍具有更好的安全性能。一些更好的硬件措施可能是對設(shè)備進行物理強化,以限制對硬件攻擊面(如調(diào)試端口)的訪問。

3. 僵尸網(wǎng)絡(luò)威脅

僵尸網(wǎng)絡(luò)攻擊通過感染多個相互關(guān)聯(lián)的設(shè)備來感染惡意軟件,以獲得對它們未經(jīng)授權(quán)的控制。這些會導致嚴重后果,例如分布式拒絕服務(wù)、機密數(shù)據(jù)盜竊和憑據(jù)泄露。

IoT 安全問題的一個主要問題是未能解決這個問題,尤其是在大規(guī)模實施互連設(shè)備的情況下。這對家庭系統(tǒng)、IP 攝像機、工廠、運輸系統(tǒng)和電網(wǎng)構(gòu)成了重大威脅,因為這種惡意軟件可以立即將其變成"受感染的僵尸",用作武器。

此類 IoT 設(shè)備需要頻繁的安全和軟件更新才能抵御此類威脅,但這本身也帶來了通常無法預(yù)見的危險。

4. 更新機制不當,測試效率低下

產(chǎn)品開發(fā)人員在測試效率低下和缺乏定期更新機制方面苦苦掙扎。一旦發(fā)現(xiàn)問題,這就會限制它們,堵塞孔道,并使正在使用的設(shè)備仍然容易受到損壞。

隨著產(chǎn)品開發(fā)越來越快,安全測試階段往往被忽視或給予較少的關(guān)注。前面提到的自動更新的危險是長時間的停機時間;如果正在使用的連接未加密,固件更新文件可能會被黑客截獲,從而導致數(shù)據(jù)被盜的可能性。

如果 IoT 設(shè)備固件支持通過空中 (OTA) 更新進行升級,除了正常加密之外,還必須實施進一步的簽名身份驗證。

5. 未受保護的 Web 和云接口

據(jù)估計,超過 65% 的設(shè)備具有云兼容組件,由于缺乏傳輸加密,存在潛在的漏洞。這使得他們?nèi)菀资艿揭恍┳畛R姷耐{,如 MITM 攻擊、持久性 XSS、數(shù)據(jù)泄漏和憑據(jù)黑客攻擊。

IoT 設(shè)備經(jīng)常存儲一次性數(shù)據(jù)和緩存。由于不存在關(guān)于隱私和合規(guī)的法律,這些信息如果落入錯誤之手,反過來又可用于定位客戶。迫切需要將客戶的敏感數(shù)據(jù)私有化、安全和匿名化,以防止其惡意使用。

6. 加密劫持和勒索軟件

盡管區(qū)塊鏈本身相對安全,但其相關(guān)漏洞的個主要問題在于圍繞它開發(fā)的應(yīng)用程序。

例如,在 2018 年,一個名為 Monero 的著名加密貨幣是最初因加密采礦僵尸網(wǎng)絡(luò)而進行大規(guī)模挖掘的加密貨幣之一。由于目前超過90%的加密貨幣被開采,僵尸網(wǎng)絡(luò)將Windows服務(wù)器作為開采Monero的目標,黑客們獲得了價值超過350萬美元的加密貨幣。

這導致了現(xiàn)在使用物聯(lián)網(wǎng)設(shè)備進行指定的更先進的僵尸網(wǎng)絡(luò)攻擊。由于缺乏安全保障和正興起的社會工程攻擊,勒索軟件在物聯(lián)網(wǎng)設(shè)備中的地位越來越突出,也越來越容易成為被攻擊的目標。

IoT 問題位于可穿戴技術(shù)、智能車輛和智能家居中,這些問題沒有得到解決,導致其用戶成為此類勒索軟件攻擊的目標,使受害者損失了數(shù)百萬美元。保護登錄憑據(jù)和利用 VPN 服務(wù)可以避免成為此類面向 IoT 的金融犯罪目標。

7. 假冒物聯(lián)網(wǎng)設(shè)備

看似安全的網(wǎng)絡(luò)可以在惡意設(shè)備的幫助下輕松訪問,而無需任何身份驗證。

例如,IoT 設(shè)備可用作家庭入侵攻擊中的惡意接入點或侵占傳入通信。

此類設(shè)備有助于黑客瓦解網(wǎng)絡(luò)外圍,進而允許他們更改機密數(shù)據(jù)。組織需要充分了解其網(wǎng)絡(luò)內(nèi)發(fā)生的所有流量和通信,以對任何可疑的網(wǎng)絡(luò)流量或活動采取行動,進一步的防御可以通過使用PKI系統(tǒng)來限制偽造者。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論