物聯網 (Internet of Things, IoTs)是新一代信息技術的重要組成部分。顧名思義,物聯網就是物物相連的互聯網。物聯網的核心和基礎仍然是互聯網,在互聯網基礎上將用戶端延伸和擴展到了任何物品之間,從汽車到無線可穿戴產品。思科的網絡業務解決方案小組估計全球聯網設備將從2010年的125億年翻倍至2015年的250億。
著眼于這個快速增長的市場,首席安全官們確定了物聯網在未來一年將會面臨的五大類風險,而意識到這些潛在威脅的首席安全官們則可據此未雨綢繆。
車載WiFi
據Visiongain公司統計,2013車載裝置收入已達到217億美元,2014年將進一步攀升。根據SANS研究所新興趨勢部門主任John Pescatore所言,2014年福特和通用汽車將提供更多的車載WiFi,將汽車變成移動熱點,并將乘客的智能手機、平板電腦等設備都連接到互聯網上。
然而,車載無線網絡與傳統WiFi熱點具有相同的安全漏洞。沒有無線網絡的防火墻設施,車載設備和數據將處于危險之中。一旦進入網絡,攻擊者可以惡搞車載設備,并能夠連接到外部數據源如OnStar服務器并收集用戶的PII如信用卡數據等。只要黑客想象力所及,就可對車載無線網絡,車主信息和設備進行各種類型的攻擊。
健康設備/移動多媒體設備
ABI研究所的分析師表示,體育、健身和保健等可穿戴設備數量將從2013年的4200萬增至2018年的1.71億”。2014年,黑客們將越來越多地對運行Windows系統的移動醫療設備展開攻擊,包括心臟起搏器等。傳統制造商使用專有的嵌入式系統, 封閉源代碼的限制會對黑客的破解造成阻力。但是,非傳統設備制造商經常使用Windows的某種形式,這將大大增加安全風險。
由于Windows很便宜,無處不在,并且為程序員所熟知,所以深受可穿戴設備歡迎,Joffe解釋道。但是,不同于桌面電腦上的Windows,可穿戴設備的Windows沒有修復機制。通過WiFi連接到互聯網的設備越多,傳播的病毒也就越多。
潛在惡意攻擊的存在會帶來健康信息漏洞,所以首席安全官們應該多關注這些設備的遠程入口。
可穿戴設備 Google眼鏡
據Visiongain統計,全球可穿戴技術市場2013年達到46億市值,2014年持續上升。包括Google智能眼鏡在內的設備都是主要攻擊載體,因為其會自動連接到互聯網,而且此類設備很少有安全解決方案。
攻擊Google眼鏡能夠為黑客提供公司機密信息和知識產權。而企業不會知道當Google眼鏡的配戴者穿過辦公區域時將吸收多少數據,或者復制怎樣的音頻和視頻。
“每個企業都應對可穿戴設備加以限制,包括何時何地以及如何使用這些東西,” Irvine說。
零售庫存監控 M2M
據Visiongain統計,全球無線M2M(Machine to Machine)收入在2013年達到了501億美元。2014年,庫存管理技術將覆蓋更多的價格低廉的3 G移動數據發射器。這些發射器將連接到互聯網,使這些應用程序更容易受到網絡攻擊。
這些設備能夠實現檢測、收集統計信息、遠程管理和一些其它功能。Irvine建議,企業必須配置這些庫存控制系統和M2M技術的安全設施,并加以細分到安全、可訪問、加密等級。
(非軍事使用)無人機
2012年2月,美國國會出臺了針對無人機的多個法律條款,總的原則是未來三年美國聯邦航空局將加速無人機(UAV)的研發步伐。無人機依靠脆弱的遙測信號,攻擊者可以利用其進行任何形式的攻擊,包括存在于無人機固件上的緩沖區溢出,格式字符串,SQL注入和認證繞過,Cabetas解釋道。
2012年,德克薩斯農工大學的學生用技術隱藏了無人機的GPS信號,將錯誤的位置數據暗示在導航計算機上,導致無人機的意外碰撞。Cabetas提到,迄今發生的最可怕的事件是2012年無人機編程比賽。獲勝者現場創建了病毒,可使得所有無人機在接近被感染的無人機時染上病毒。使用無人機同質固件的單一漏洞,攻擊者就可讓天空中充滿隨時待命的無人機。
首席安全官們應針對難以控制的無人機襲擊來采取適當的物理安全對策,任何無人機都應部署安全協議。
京公網安備 11010502049343號