信息化觀察網(wǎng)

圖源于網(wǎng)絡(luò)

“如果你認(rèn)為互聯(lián)網(wǎng)改變了你的生活，那么，物聯(lián)網(wǎng)即將再次改變這一切。”阿里婭系統(tǒng)(Aria Systems)公司的首席架構(gòu)師和聯(lián)合創(chuàng)始人布蘭登·奧布賴恩（Brendan O'Brien）如上發(fā)言。

統(tǒng)計學(xué)家認(rèn)為，在未來十年的前五年，互連設(shè)備的數(shù)量預(yù)計將超過300億臺。此外，物聯(lián)網(wǎng)市場的總估值預(yù)計將超過1萬億美元大關(guān)。物聯(lián)網(wǎng)技術(shù)的這種看似不可阻擋的增長軌跡，對物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的漏洞、威脅和問題提出了一個巨大挑戰(zhàn)。

未能解決物聯(lián)網(wǎng)安全問題的后果

IoT （物聯(lián)網(wǎng)）設(shè)備受到嚴(yán)重威脅，這是大多數(shù)互連產(chǎn)品實(shí)施幾乎沒有任何來自常見威脅的安全措施的直接后果。

惠普的一項研究表明，超過 70% 的物聯(lián)網(wǎng)設(shè)備存在嚴(yán)重漏洞。這些漏洞包括缺乏基本的安全措施，如密碼安全、加密和訪問權(quán)限。包括最常用的小工具，如智能電視、傳真機(jī)、家庭系統(tǒng)、安全攝像頭、智能手機(jī)麥克風(fēng)、打印機(jī)、揚(yáng)聲器，甚至咖啡機(jī)，都讓人們成為數(shù)據(jù)泄露的目標(biāo)，造成身體傷害，泄露敏感信息（如密碼、地址，甚至在某些情況下，還有個人圖像）。

圖源于網(wǎng)絡(luò)

接下來，我們將就大家最關(guān)心的七個物聯(lián)網(wǎng)安全問題提供一些建議，幫助大家提高物聯(lián)網(wǎng)小工具的安全性。

1. 缺乏制造商的合規(guī)性

一些物聯(lián)網(wǎng)設(shè)備缺乏基本安全措施的實(shí)現(xiàn)，正滾雪球似的變成了一個更大的問題。許多正在制造的 物聯(lián)網(wǎng)小工具沒有經(jīng)過安全評估來發(fā)現(xiàn)潛在的漏洞。在先發(fā)制人階段，由于這種故障而引起的一些重大問題包括隱私問題、缺乏數(shù)據(jù)傳輸加密以及用戶身份驗證措施不足。

2.硬件問題

通常遠(yuǎn)程操作或使用時經(jīng)常隔離的設(shè)備也非常容易受到攻擊。例如，閉路電視攝像機(jī)位于組織附近，如果受到黑客的入侵，可能會進(jìn)一步被利用來危害同一網(wǎng)絡(luò)中的其他攝像機(jī)。

用戶以及制造商同樣負(fù)責(zé)加強(qiáng)設(shè)備的物理安全性。一些措施包括將篡改檢測傳感器和發(fā)射器安裝到設(shè)備中，或?qū)⑺鼈兇鎯?安裝在相對不可訪問/安全的地方。這將有助于在篡改檢測和網(wǎng)絡(luò)入侵時披露和發(fā)送警報。

應(yīng)實(shí)現(xiàn)安全啟動，并且必須避免將未加密的敏感數(shù)據(jù)存儲在外部內(nèi)存中。盡管攻擊者可能仍能夠繞過安全啟動，但與未實(shí)現(xiàn)安全啟動相比，它仍具有更好的安全性能。一些更好的硬件措施可能是對設(shè)備進(jìn)行物理強(qiáng)化，以限制對硬件攻擊面（如調(diào)試端口）的訪問。

3. 僵尸網(wǎng)絡(luò)威脅

僵尸網(wǎng)絡(luò)攻擊通過感染多個相互關(guān)聯(lián)的設(shè)備來感染惡意軟件，以獲得對它們未經(jīng)授權(quán)的控制。這些會導(dǎo)致嚴(yán)重后果，例如分布式拒絕服務(wù)、機(jī)密數(shù)據(jù)盜竊和憑據(jù)泄露。

IoT 安全問題的一個主要問題是未能解決這個問題，尤其是在大規(guī)模實(shí)施互連設(shè)備的情況下。這對家庭系統(tǒng)、IP 攝像機(jī)、工廠、運(yùn)輸系統(tǒng)和電網(wǎng)構(gòu)成了重大威脅，因為這種惡意軟件可以立即將其變成"受感染的僵尸"，用作武器。

此類 IoT 設(shè)備需要頻繁的安全和軟件更新才能抵御此類威脅，但這本身也帶來了通常無法預(yù)見的危險。

4. 更新機(jī)制不當(dāng)，測試效率低下

產(chǎn)品開發(fā)人員在測試效率低下和缺乏定期更新機(jī)制方面苦苦掙扎。一旦發(fā)現(xiàn)問題，這就會限制它們，堵塞孔道，并使正在使用的設(shè)備仍然容易受到損壞。

隨著產(chǎn)品開發(fā)越來越快，安全測試階段往往被忽視或給予較少的關(guān)注。前面提到的自動更新的危險是長時間的停機(jī)時間；如果正在使用的連接未加密，固件更新文件可能會被黑客截獲，從而導(dǎo)致數(shù)據(jù)被盜的可能性。

如果 IoT 設(shè)備固件支持通過空中 （OTA） 更新進(jìn)行升級，除了正常加密之外，還必須實(shí)施進(jìn)一步的簽名身份驗證。

5. 未受保護(hù)的 Web 和云接口

據(jù)估計，超過 65% 的設(shè)備具有云兼容組件，由于缺乏傳輸加密，存在潛在的漏洞。這使得他們?nèi)菀资艿揭恍┳畛Ｒ姷耐{，如 MITM 攻擊、持久性 XSS、數(shù)據(jù)泄漏和憑據(jù)黑客攻擊。

IoT 設(shè)備經(jīng)常存儲一次性數(shù)據(jù)和緩存。由于不存在關(guān)于隱私和合規(guī)的法律，這些信息如果落入錯誤之手，反過來又可用于定位客戶。迫切需要將客戶的敏感數(shù)據(jù)私有化、安全和匿名化，以防止其惡意使用。

6. 加密劫持和勒索軟件

盡管區(qū)塊鏈本身相對安全，但其相關(guān)漏洞的個主要問題在于圍繞它開發(fā)的應(yīng)用程序。

例如，在 2018 年，一個名為 Monero 的著名加密貨幣是最初因加密采礦僵尸網(wǎng)絡(luò)而進(jìn)行大規(guī)模挖掘的加密貨幣之一。由于目前超過90%的加密貨幣被開采，僵尸網(wǎng)絡(luò)將Windows服務(wù)器作為開采Monero的目標(biāo)，黑客們獲得了價值超過350萬美元的加密貨幣。

這導(dǎo)致了現(xiàn)在使用物聯(lián)網(wǎng)設(shè)備進(jìn)行指定的更先進(jìn)的僵尸網(wǎng)絡(luò)攻擊。由于缺乏安全保障和正興起的社會工程攻擊，勒索軟件在物聯(lián)網(wǎng)設(shè)備中的地位越來越突出，也越來越容易成為被攻擊的目標(biāo)。

IoT 問題位于可穿戴技術(shù)、智能車輛和智能家居中，這些問題沒有得到解決，導(dǎo)致其用戶成為此類勒索軟件攻擊的目標(biāo)，使受害者損失了數(shù)百萬美元。保護(hù)登錄憑據(jù)和利用 VPN 服務(wù)可以避免成為此類面向 IoT 的金融犯罪目標(biāo)。

7. 假冒物聯(lián)網(wǎng)設(shè)備

看似安全的網(wǎng)絡(luò)可以在惡意設(shè)備的幫助下輕松訪問，而無需任何身份驗證。

例如，IoT 設(shè)備可用作家庭入侵攻擊中的惡意接入點(diǎn)或侵占傳入通信。

此類設(shè)備有助于黑客瓦解網(wǎng)絡(luò)外圍，進(jìn)而允許他們更改機(jī)密數(shù)據(jù)。組織需要充分了解其網(wǎng)絡(luò)內(nèi)發(fā)生的所有流量和通信，以對任何可疑的網(wǎng)絡(luò)流量或活動采取行動，進(jìn)一步的防御可以通過使用PKI系統(tǒng)來限制偽造者。