如今,物联网安全问题越来越受到关注。从固件错误到打开的后门,安全在物联网的“狂野西部”中可能很脆弱。数以千计的新设备正在上市,但到目前为止,一直缺乏官方标准和监管机制来确保最佳安全实践。为什么保护物联网设备如此困难?物联网不是尖端科学——至少在理论上不是。但要使其发挥作用,您必须完全控制设备的设计、生产和部署,然后调整其网络连接。当您无法控制某个方面时(例如,另一家公司制造设备或运营网络),启用安全性就会变得复杂。想象一下在全球部署数以千计的物联网资产跟踪设备。您将如何使固件保持最新状态?您将如何监控所有设备的异常使用情况?当他们在世界各地移动时,您将如何确保他们连接的网络安全?在大型物联网系统中,保护网络上的单个设备将变得更加困难。很难监控、更新和审核所有设备以确保它们正常运行。您需要强大的工具来促进团队之间的沟通和协调流程,因为一个人不能做所有事情。物联网黑客在行动要了解物联网设备遇到安全漏洞时会发生什么情况,我们可以看看一些著名的黑客攻击。(1)安全摄像头早在2012年,黑客就发现了流式IP摄像头的一个重大安全漏洞:一个后门,允许未经授权的用户从联网的家庭安全摄像头观看实时视频。大多数摄像头位于人们家内外,有些还用作婴儿监视器。2010年至2012年间,摄像头以可读、未加密的文本形式通过互联网传输敏感的用户信息(例如登录凭据)。(2)JeepCherokee2015年,两名黑客利用汽车娱乐系统中的一个漏洞,远程控制了一辆JeepCherokee,操纵其控制面板功能。两名黑客研究人员“劫持”了这辆车,引发了一系列意想不到的干扰,最终导致刹车失灵,将车辆撞入路边的沟渠。该实验证明了物联网安全漏洞的严重性及其威胁生命的能力。(3)St.JudeHeartDevice2017年,FDA发布警报,宣布超过465,000台联网起搏器存在安全漏洞。虽然没有关于黑客伤害患者的报告,但心脏起搏器存在安全漏洞,可能会让不良行为者获得访问权限并更改可能对患者健康构成风险的设置。这些事件对我们有什么启示?在上述每个案例中,违规都是由物联网堆栈不同层之间的不一致造成的。设计团队、工程师和操作员之间缺乏沟通会导致重大问题。在Jeep黑客攻击中,工程师们没有关闭多媒体系统和连接汽车关键系统的CAN总线之间的开放端口。虽然娱乐系统和CAN总线没有直接连接,但开放端口充当它们之间的走廊,允许黑客渗透到汽车的主要系统。在St.JudeHeart装置中,发射器是罪魁祸首。Merlin@home外部发射器中的一个漏洞可能允许未经授权的用户控制植入体内的心脏设备。在网络摄像头的情况下,摄像头会留下一个后门,允许黑客在没有密码的情况下进入并监视他们的邻居。当一个团队对IoT设备进行编程和测试而另一个团队部署它时,他们必须保持持续通信以确保设备在整个过程中保持安全。网络运营商还应实施多个防火墙来检测和阻止异常流量或意外端口访问尝试并提醒他们,以便用户可以立即做出响应。黑客的可能性就像有许多门的房子一样,具有许多组件的连接设备为黑客提供了许多发现漏洞的机会。这些可能的入口点被称为攻击面,它们的漏洞通常来自工程设计和更新过程。即使不同的工程师保护他们的组件,如果没有全面的安全计划,整个系统仍然容易受到攻击。让我们仔细看看物联网堆栈层中可能存在的安全漏洞:(1)运行在SIM卡SIM中的软件可以创建攻击向量,例如隐藏在某些SIM卡中的S@T浏览器。根据最近的研究,浏览器中存在漏洞,可以让黑客在用户不知情的情况下获取位置信息。(2)模块正如一位安全研究人员最近使用ESP32物联网芯片展示的那样,模块层的漏洞可能允许黑客访问设备并植入恶意软件。在这种情况下,该模块被发现容易受到黑客攻击,这将对芯片造成不可逆转的损坏。(3)FirmwareFirmware存在很多安全漏洞,包括未授权访问、默认密码、后门、数据加密不充分、开源代码等。即使固件在发布时是安全的,它也必须通过安全补丁和更新保持最新,以防止出现新的漏洞。(4)有线和无线接口无论接口是在设备上还是在云端,源代码中都可能存在漏洞,这为黑客获取设备的访问权提供了另一个机会。(5)服务器大多数物联网部署利用云服务器来管理设备。虽然基于云的计算提供了许多好处,但它也带来了可能的安全风险,包括不安全的API或数据泄露。(6)针对性攻击和非针对性攻击针对性攻击,如高级持续威胁(APT),是指一种隐藏的、持久的计算机入侵过程,通常由某些人员精心策划,针对特定的网络或设备。例如,如果有人想闯入您的网络或设备,他会不惜一切代价获得访问权限。就像房屋的防盗外壳一样,窃贼会检查每个攻击面,希望找到可以进入的孔(例如窗户)。防御这些攻击的最佳方法是通过多层保护,包括入侵和网络级别的异常检测系统。这些系统会在您的设备受到威胁之前警告您并锁定您的设备。另一方面,非定向攻击源于黑客寻找漏洞进行攻击。他们不是针对您,但您的网络和设备仍可能面临风险。僵尸网络和蠕虫旨在利用各种系统中的单个漏洞。有多种方法可以抵御这些攻击,例如维护专用网络、保持固件和软件更新以及使用强密码。网络运营商可以在物联网堆栈中构建安全性许多物联网安全措施都属于网络运营商的职责范围。您应该期望他们:(1)提供多层防火墙网络运营商应该构建防火墙来保护其网络上的设备,然后将不同的客户彼此隔离,并将各个设备彼此隔离,这样受感染的设备就不能用来攻击其他客户'设备。这些措施应该是最小的。(2)最小权限原则默认情况下,网络上的物联网设备不应访问该网络上的其他设备。这些不必要的链接创造了额外的攻击面。网络提供商应执行“最小特权原则”以限制设备之间的访问。他们还应该能够对可能影响设备的网络和帐户访问进行基于角色的控制。(3)坚持严格的变更管理政策变更管理是指对已获准建设或实施的配置项进行增删改管理,防止未经授权的变更发生。变更管理降低了人为因素的风险,其中可能包括错误和社会工程学。它创建了一个标准流程,对于网络访问控制或设备管理的任何更改都必须严格遵守。(4)提供安全隧道选项当你需要访问一个设备时,正确的解决方案不是公共IP地址,而是运营商防火墙后面的私有IP地址,然后使用一个允许你的产品(比如HologramSpacebridge)隧道进入与您的设备关联的安全域。物联网设备设计人员的安全实践虽然网络运营商提供多种保护机制,但物联网设计人员还必须从头开始设计安全性。以下是一些最佳实践:关闭所有不必要的开放端口。消除任何不需要的可信接口。在设备基础设施和设计团队中实施最小特权原则。禁用默认密码。正确使用加密。根据用例,考虑使用安全硬件。每个设备、每个新网络以及堆栈中的每一层都会引入更多的攻击面和漏洞,因此在处理IoT项目时,应专注于识别风险、消除漏洞并让团队中的每个人都了解最新的发展.
