今天,全世界有数十亿台联网设备在使用,而且这个数字每年都在持续增长。不幸的是,这些现有的物联网设备以及许多目前正在开发和部署的设备缺乏关键的安全功能,使它们很容易成为黑客和僵尸网络的目标。如果没有适当的安全措施,这些物联网设备可能会导致灾难性事件。数据窃取一旦设备受到威胁,网络攻击者就可以窃取存储在物联网设备上的数据,其中可能包括个人信息、密码,甚至密码。更糟糕的是,在某些情况下,黑客还使用物联网设备来收集数据。带有麦克风和摄像头的智能电视可以变成收听设备,从中收集音频和视频信息。该设备可以嗅探网络流量并将其泄露以供离线分析,并映射网络布局以寻找其他攻击目标。数据损坏许多物联网设备从各种传感器收集数据。然后,他们将收集到的数据传输到云计算系统进行分析并输入到各种业务系统中。如果物联网设备遭到黑客攻击,则该设备生成的数据将无法信任。此外,许多物联网设备缺乏强大的身份验证机制。从这些设备收集数据的云计算系统不能相信它们正在从真实设备接收数据。黑客可以轻松创建克隆或欺骗设备,将不良数据反馈给云计算系统,从而扰乱相关业务流程。窃取网络凭证黑客已经能够从几乎所有智能设备中提取Wi-Fi密码,包括灯泡、门锁、门铃、安全监视器,甚至玩具。一旦黑客入侵了这些物联网设备,他们就可以将它们用作网络攻击的切入点并提取网络数据。例如,2017年,黑客通过支持Wi-Fi的鱼缸从一家赌场窃取了10GB的现金。具有静态或默认凭据的拒绝服务攻击(DoS)IoT设备会导致大型IoT僵尸网络的扩散。Mirai僵尸网络(物联网设备僵尸网络的“杰出”示例)感染了数百万个物联网设备,并被用来发起针对多个目标的大规模、有组织的活动,其中包括域名系统提供商DYNCorporation。该程序的拒绝服务攻击在欧洲和北美造成了大规模的互联网瘫痪。Mirai僵尸网络扫描大片互联网以寻找开放的Telnet端口,然后尝试使用已知的默认用户名/密码组合列表登录。这使它能够积累超过600,000台物联网设备,这些设备被用来淹没目标企业,包括DYN,并发出如此多的请求,导致大量服务器崩溃。物理攻击在许多情况下,物联网设备控制着制造、医疗保健、运输和其他关键基础设施中的关键系统。过去对物联网设备进行物理攻击的例子包括对德国一家钢铁厂控制系统的攻击破坏了一座高炉;对美国和乌克兰电网的攻击;对飞机控制系统的网络攻击,可以远程控制吉普切诺基越野安全研究等。数据中心的各种控制系统,包括电源、供暖通风和空调系统(HVAC)以及楼宇安全系统,都容易受到网络攻击。针对这些系统的攻击会直接影响数据中心和基于云的计算操作。IoT设备中的漏洞将新的IoT设备推向市场的热潮导致了许多设计漏洞,例如使用硬编码密码、不需要用户身份验证的控制接口以及以明文形式发送敏感信息的通信协议。这种设计缺陷可能导致设备缺乏安全启动功能或经过身份验证的远程固件更新。典型的现代家庭有几十个或更多的云连接设备,每个设备都有可能被感染并用作针对网络、企业和组织的攻击机器人。制造商必须首先评估其设备的漏洞,确定采取何种保护措施,然后确定所需的安全功能,从而开始解决这些安全漏洞。安全功能为物联网设备添加一些基本的安全功能可以大大降低网络攻击的风险。这些功能可以在设计阶段内置,以确保设备身份在多个用例中的安全性和完整性,这些用例可能包括工业物联网(IIoT)、汽车、航空、智慧城市、能源、医疗等。安全启动安全启动利用加密代码签名技术确保设备只执行由原始设备制造商(OEM)或其他受信任方生成的代码。它最初的设计功能是防止恶意软件入侵。当电脑的bootloader被病毒修改时,会发出提示并拒绝启动,以免造成进一步的损失。使用安全启动技术可以防止黑客用恶意版本替换固件,从而阻止各种攻击。安全远程固件更新安全更新确保设备可以更新,但只能使用来自原始设备制造商(OEM)设备或其他受信任方的固件。与安全启动一样,安全固件更新可确保设备始终运行受信任的代码,并阻止任何利用设备固件更新过程的尝试。安全通信TLS、DTLS和IPSec等安全协议的使用为IoT设备增加了身份验证和动态数据保护功能。由于关键数据不是以明文形式发送的,因此黑客很难窃听通信并获取密码、设备配置或其他敏感信息。嵌入式防火墙嵌入式防火墙提供基于规则的过滤和入侵检测。状态数据包检测(SPI)通过直接在设备中构建防火墙技术来保护设备免受攻击。嵌入式防火墙可以监视来自Web或家庭网络的传入消息,并使用内置且定期更新的黑名单拒绝任何先前未批准的消息。状态数据包检测(SPI)过滤拒绝试图利用TCP协议中的弱点作为拒绝服务攻击一部分的数据包。安全元件或TPM集成原始设备制造商(OEM)和医疗设备制造商应使用安全元件,例如符合可信平台模块(TPM)的安全元件,或用于安全密钥存储的嵌入式安全元件。安全密钥存储使用安全元件中生成的密钥对来实现安全启动和公钥基础设施(PKI)注册,提供非常高级别的攻击保护。数据保护安全协议在数据通过网络传输时保护数据,但在数据存储在设备上时不保护数据。大量数据泄露通常是从被盗或丢弃的设备中恢复数据的结果。加密存储在设备上的所有敏感数据可以在设备被丢弃、被盗或被未授权方访问时保护它。例如,大多数办公室、企业和个人打印机都有一个内部硬盘驱动器,可以存储数以千计的文档。基于证书的身份验证使设备凭据能够在制造过程中注入设备,以便在它们安装在网络上并与系统中的其他设备通信之前对其进行身份验证。IoT用户因素作为IoT设备的用户,确保安全性的工作很少。消费者不太可能知道连接的设备是否安全,因此他们几乎没有能力改变他们的购买选择。但是,当其产品提供内置安全性时,用户必须启用适当级别的安全性、删除默认密码并设置更强的密码。归根结底,物联网安全的责任主要落在企业身上,企业只需购买安全级别高的设备即可获得良好的投资回报。如果可以单独或组合使用安全启动、防火墙或入侵检测,则可以保护受感染并用作Mirai僵尸网络感染中的机器人的摄像头免受此攻击。通过添加一些基本功能,可以显着提高任何物联网设备的安全性。通过保护物联网边缘设备(需要连接到云以提供有价值的服务和功能的端点),还可以保护它们支持的数据中心和云。
