虽然物联网设备和工具有很多用途,可以使人们的工作和生活更轻松,但许多设备和工具可能存在一些安全漏洞。物联网是一把双刃剑。从带智能门锁的智能家居到通过Wi-Fi自动煮早茶的水壶,物联网技术让生活变得更加轻松,但也可能会花费更多。在物联网安全方面,存在一些安全权衡,弊大于利。在物联网技术进入企业、家庭和日常生活之前,人们需要通过一些例子了解安全的重要性。物联网安全:物联网设备使人们容易受到攻击黑客可以通过网络上的设备访问企业网络。网络安全服务提供商Darktrace的首席执行官NicoleEagan描述了一个未公开的美国赌场的物联网设备安全示例,网络攻击者能够通过智能水族馆温度计中的漏洞访问其数据库。.在讨论IoT设备安全指南之前,需要了解一些IoT安全漏洞的示例。家庭消费智能设备的安全漏洞如果您阅读过有关Alexa和GoogleHome助手的安全漏洞如何被用来欺骗和窃听用户的调查报告,那么人们对IoT设备的安全性的担忧是正确的。亚马逊和谷歌一直受到更新的网络攻击技术的挫败,尽管他们每次都做出了回应。此外,三星的一款智能冰箱也存在安全漏洞。由于其显示与用户的Gmail日历集成,即使部署了SSL来保护Gmail集成,冰箱本身也无法验证SSL/TLS证书。它为黑客打开了进入其网络并窃取登录凭据的大门。值得赞扬的是三星,该错误已在软件更新中得到修复,但当知名品牌受到网络攻击并造成损害时,它会让大量用户感到不安。这揭示了一个几乎不可避免的事实,即功能通常优先于安全性,尤其是对于老牌供应商而言。更重要的是,2015年,三星集团还表示将在其智能电视中收集和使用用户数据:如果用户的密码包含个人信息或其他敏感信息,这些信息可能会被获取并传输给第三方。例如,世界知名的苹果公司就不能免受网络攻击。2019年2月,用户在Apple的FaceTime应用程序中发现了一个严重漏洞,该漏洞可能允许网络攻击者在接听或拒绝来电之前访问某人的iPhone摄像头和麦克风。网络攻击者想出巧妙的方法来规避安全控制窃取数据,造成的损害可能只是破坏性行为,但如果这样的例子发生在智能家居设施上会怎样呢?物联网设备被MiraiCorporation等大型僵尸网络利用Mirai是一种以物联网为中心的恶意软件,它会感染具有弱凭据的物联网设备,将它们变成远程控制机器人或机器人的网络。虽然Mirai的创建者已被抓获,但他们已经发布了恶意软件的源代码(可能会混淆和分散注意力),并且它现在有多个变体。僵尸网络已被用来发起多次DDoS攻击,其中一次是针对罗格斯大学的,另一次是针对Dyn的,Dyn是一家为Netflix和Twitter等知名企业提供域名服务的公司。植入式医疗设备中的安全漏洞在科技界,很少有设备能逃过网络犯罪分子的攻击,医疗设备也是如此。在2018年的黑帽会议上,WhiteScope的BillyRios和QEDSecureSolutions的JonathanButts展示了黑客如何远程控制可挽救生命的植入式医疗设备并可能操纵它们造成一些损害。两名安全研究人员演示了如何禁用胰岛素泵并控制美敦力制造的起搏器系统。对此,美敦力在不承认事态严重性的情况下清除了漏洞,甚至在向他们提交漏洞警报后的570天后,该公司仍未积极解决该问题。人们可能会猜测如何使用远程控制的物联网设备网络来降低电网(或供水系统的SCADA,或控制天然气管道等),或者婴儿监视器可能被黑客入侵,这些假设可能令人不安.但仍然可以肯定的是,物联网设备中的漏洞将继续存在。因此,如果要避免危机,物联网设备制造商需要更加关注所涉及的安全风险,而高级持续威胁(APT)的危害更大。物联网最大的安全风险是什么?尽管人们对物联网面临的最大安全风险没有太多发言权,但可以采取一些安全措施来保护物联网设备。OpenWebApplicationSecurityProject(OWASP)Foundation是一个全球性的非营利组织,旨在提高对Web应用程序安全、移动设备安全等领域的安全风险的认识,以便组织和个人做出明智的决策.下表列出了OpenWebApplicationSecurityProject(OWASP)Foundation在2014年和2018年发现的智能设备中的前10大IoT漏洞:更改了凭据或任何类型的身份验证/授权机制,然后不要购买和使用。从OpenWebApplicationSecurityProject(OWASP)列出的2018年十大物联网漏洞列表中可以看出,不安全的生态系统(Web接口和云平台接口等)、数据安全和物理安全等。直到2014年,这个问题一直排在前10位。这清楚地表明了物联网设备安全性发展的方向和速度。它还提出了有关物联网安全解决方案的有效性和采用率的相关问题。然而,随着物联网正在成为人们日常生活中不可或缺的一部分,必须尽最大努力保护连接的设备、数据和网络。以下是一些可以采取的措施和方法。1.了解您的网络及其连接的设备。当您的设备连接到全球互联网时,这些连接会使您的网络容易受到攻击,并且如果设备没有得到充分保护,则可能被网络攻击者利用。随着越来越多的设备配备网络接口,企业工作人员很容易忘记哪些设备可以通过网络访问。为了保证安全,企业IT人员必须了解他们的网络、网络上的设备以及可能泄露的信息类型(尤其是具有社交共享功能的应用程序)。网络攻击者使用诸如位置和个人详细信息之类的东西来跟踪人们,这可以转化为现实世界的危险。2.评估网络上的物联网设备一旦知道哪些设备连接到网络,就需要审核这些设备以了解它们的安全性。可以通过从制造商网站安装安全补丁和更新、检查具有更强安全功能的更新设备等措施来实现物联网安全。此外,在购买设备之前,需要了解该品牌设备的安全性。企业采购和应用人员需要问自己一些问题:他们的产品是否报告过造成危害的安全漏洞?设备制造商在向潜在客户推销产品时是否满足网络安全要求?如何在他们的智能解决方案中实施安全控制?3.实施强密码来保护您的所有设备和账户企业需要使用不易被猜到的唯一、强密码来保护他们的所有账户和设备。不要使用默认或通用密码(例如“admin”或“password123”)。如果需要,使用密码管理器来跟踪您的所有密码。确保企业及其员工不会在多个帐户上使用相同的密码,并确保定期更改密码。这些步骤有助于防止他们的所有帐户遭到泄露。除了密码到期日期之外,您还需要确保对不正确的密码尝试次数设置限制并强制执行帐户锁定策略。4.为智能设备使用单独的网络:为智能设备使用不同于家庭或企业网络的单独网络可能是提高物联网安全性的最具战略意义的方法之一。通过网络分段措施,即使网络攻击者找到进入企业智能设备的途径,也无法访问企业的业务数据。5.重新配置默认设备设置通常,许多智能设备都带有不安全的默认设置。更糟糕的是,有时无法修改这些设备的配置。企业需要根据自己的要求评估和重新配置默认凭证、入侵功能和权限、开放端口等。6.安装防火墙和其他知名的物联网安全解决方案以识别漏洞安装防火墙以阻止未经授权的网络流量,并运行入侵检测系统(IDS)/入侵防御系统(IPS)以监控和分析网络流量。组织还可以使用自动漏洞扫描器来发现网络基础设施中的安全漏洞。使用端口扫描器识别打开的端口并查看正在运行的网络服务。确定是否需要这些端口并检查其上运行的服务是否存在已知漏洞。7.使用强加密并避免使用不安全的网络连接企业确保他们的网络设置不是在WEP或WPA等过时的标准上运行,而是使用WPA2标准。不安全的互联网连接会使公司数据和设备容易受到网络攻击者的攻击。尽管WPA2本身被发现容易受到密钥重装攻击或KRACK和WPA3到Dragonblood攻击,但安装更新和补丁是保持企业安全运行且风险最小的唯一方法。8.不使用设备和功能时断开网络查看应用程序权限并阅读这些应用程序的隐私政策,以了解它们打算如何使用它们共享的信息。除非企业打算使用远程访问或语音控制等功能来实施更永久的物联网安全检查,否则必须禁用它们。如果需要,可以随时启用它们。当企业不使用设备时,需要将它们视为完全断开与网络的连接。9.关闭通用即插即用(UPnP)UPnP旨在无需配置即可无缝连接联网设备,但由于UPnP协议中的漏洞,这些设备也更容易受到黑客攻击。许多路由器默认启用即插即用(UPnP),因此除非企业愿意为了方便而牺牲安全性,否则请检查设置并确保它已禁用。10.通过实施物理安全措施确保您的设备安全尽量不要丢失您的手机,尤其是当它有一个可以控制您的物联网设备的应用程序时。如果这样做,除了在设备上有PIN/密码/生物识别保护外,还需要确保用户具有远程擦除手机的能力。需要设置自动备份或有选择地备份业务可能需要的任何设备数据。同时,限制企业智能设备的可访问性。例如,冰箱是否需要USB端口?允许访问最少数量的端口,并在可行的情况下考虑禁止Web访问(仅限本地访问)。一些物联网安全分析工具除了上面讨论的物联网安全解决方案外,企业还可以使用一些其他工具来更好地了解和控制其网络。Wireshark和tcpdump(命令行实用程序)是两个开源工具,可用于监控和分析网络流量。Wireshark更加用户友好,因为它带有GUI并具有各种排序和过滤选项。Shodan、Censys、Thingful和ZoomEye是可以在IoT设备上使用的工具(例如搜索引擎)。ZoomEye可能是更适合新用户的工具,因为在点击过滤器后会自动生成搜索查询。ByteSweep是设备制造商提供的免费安全分析平台,是测试人员可以用来在产品出厂前检查产品的另一种工具。物联网安全概述不可否认的事实是,无论风险有多高,物联网技术都具有巨大的潜力。物联网连接证明了它在解决各种环境和任务方面的有用性。但是,当企业急于采用一些不成熟的技术和产品时,可能会出现问题。这些企业要么完全忽视潜在的安全风险,要么没有引起足够的重视。在开发安全可靠的产品、提高客户意识和推出新设备之前,需要进行严格的测试,这对于解决当今许多被忽视的物联网安全问题大有帮助。
