2016年10月,有史以来最复杂和最具破坏性的网络攻击之一摧毁了Twitter等主要网站,同时大大恶化了包括PayPal在内的其他几个知名网站的用户体验、Spotify、CNN、Mashable、Yelp、华尔街日报和纽约时报。这种分布式拒绝服务攻击(DDOS)的规模令人震惊,这要归功于来自数十万个唯一互联网地址的庞大流量。原来,一名黑客在某款监控摄像头中发现了一个漏洞。通过接管这些摄像头,攻击者可以将大量流量引导至目标网站,使合法用户无法访问这些网站。毫无疑问,物联网有很多好处。然而,这次攻击是物联网如何成为坏人手中极具破坏性的武器的一个典型例子。这并不是说只能劫持相机。任何连接到互联网的东西,从汽车和冰箱到恒温器和智能锁,都是吸引黑客的目标。互联网不再仅仅是服务器、路由器、交换机、台式机、笔记本电脑、平板电脑和智能手机等传统计算设备的网络。事实上,预计物联网设备的数量最终将远远超过传统计算设备。从冰箱传递食物新鲜度更新,到汽车向车主传递油位信息,物联网在很多方面都代表着便利,然而,正如一些与物联网相关的网络攻击所表明的那样,它也带来了不容忽视的巨大风险。下面我们将介绍一些最大的物联网风险。1.物联网设备制造过程制造商每天向市场发布无数物联网设备,其中许多是新型号,存在未被发现的漏洞。制造商监督是困扰物联网设备的绝大多数安全问题的原因。许多设备制造商将网络连接视为其设备功能的优势,而不是核心功能。因此,他们没有投入应有的时间和资源来保护其产品免受网络攻击。例如,一些具有蓝牙连接功能的健身追踪器允许任何人在启动配对后无需身份验证即可连接到设备;一些智能冰箱暴露电子邮件登录凭据。(来源:iothome)没有用于保护物联网设备的通用标准。但是,这不是制造安全性差的设备的正当理由。制造过程中产生的最大物联网风险包括密码安全性不足、硬件不安全、缺乏补丁机制和数据存储不安全。2.缺乏用户意识和知识由于数十年的知识积累,普通互联网用户非常擅长避免网络钓鱼电子邮件、忽略可疑附件、在计算机上运行病毒扫描或创建强密码。但物联网是一个新领域,即使对于许多经验丰富的IT专业人士来说,它仍然不熟悉和误解。尽管大多数最大的物联网风险都可以追溯到制造过程,但用户是物联网安全风险的更危险驱动因素,尤其是当用户不了解物联网功能时。“欺骗”通常是在不引起怀疑的情况下闯入受限网络的最简单方法,黑客可以使用物联网设备来做到这一点。2010年对伊朗核设施的Stuxnet攻击是通过插入工厂计算机的USB记忆棒感染离心机控制软件引起的。现代离心机是物联网设备,因为它们严重依赖信息技术。一些报告估计,Stuxnet实际上损坏了大约1,000台离心机。3.补丁和更新管理困难无论制造商在为其物联网产品创建安全的硬件和软件方面投入多少,在未来的某个时候不可避免地会发现新的漏洞,因此需要更新来保护物联网产品.连接设备的安全性。然而,物联网设备的性质和目的使得它们并不总是很容易定期更新——如果有的话。想象一下遍布数百英亩农田的传感器,或者工厂车间中无法在不中断生产的情况下离线更新的物联网设备。更糟糕的是,即使可以定期更新补丁,如果更新导致软件崩溃或变得不稳定,用户通常也没有办法将更新回滚到上次已知的良好状态。4.物理安全物联网设备应该在很少或没有人为干预的情况下运行。有时,这些设备安装在偏远地区,它们可能会在没有任何人实际检查的情况下放置数周或数月。这种情况使他们面临被盗或物理篡改的严重风险。犯罪分子可以窃取设备或使用闪存驱动器引入恶意软件,从而使攻击者能够访问敏感信息。它们还会干扰物联网设备。功能,使其收集和转发的任何数据都不可靠。5.僵尸网络2016年大规模的Mirai僵尸网络DDoS攻击是不安全物联网设备带来潜在危险的迹象。除了对其收集的数据产生影响外,单个受感染的物联网设备并不是重大威胁。然而,当中央控制的恶意软件感染成千上万的设备时,情况就不同了,如此多的流氓设备可能会对网站和网络造成严重破坏。物联网设备更容易受到恶意僵尸网络的攻击,因为它们不太可能定期更新。物联网驱动的僵尸网络不仅可以摧毁知名网站,还可以危害电网、交通系统、水处理设施和制造厂。6.隐私和机密性的丧失黑客、政府和商业竞争对手可以使用物联网设备来监控和侵犯毫无戒心的个人和组织的隐私。此类第三方可以在未经所有者许可或不知情的情况下访问、披露和使用敏感和机密信息。在最基本的层面上,有人可以接管安全摄像头并用它来监控目标的行为和习惯;在更大的工业规模上,黑客可以从多个物联网设备中获取数据,并用它来勒索目标或将其出售给竞争对手。7.设备识别挑战在开始规划设备和网络安全之前,您必须清楚地知道要保护什么。对于日常计算设备,IT团队已经在设备识别方面苦苦挣扎。(来源:物联网)鉴于设备类型、品牌、型号和版本的多样性,识别物联网设备要困难得多。识别连接到您网络的物联网设备只是一个开始,然后您必须执行风险评估以清楚地了解设备具有哪些网络权限以及它们是否必要。最后,您必须将这些设备包括在您计划的企业渗透测试中。结论物联网旨在为日常流程带来效率,然而,物联网仍然面临许多安全和风险挑战,未来还会有更多挑战。随着物联网设备的多样性增加,安全挑战的复杂性也随之增加。为了获得物联网的好处,必须通过降低最大的物联网风险来确保这些设备的安全。
