單純的物聯網安全是一個很寬泛的話題,就如同互聯網安全問題一樣,它并不只局限于某一點,而是在這個行業中的所有參與者都要涉及,任何一點疏漏都可能導致嚴重的后果。并且除了技術以外,物聯網安全還可能涉及倫理、道德等社會問題。
黑客利用物聯網攻擊已成常態
2016年10月份,美國最主要的DNS服務商Dyn遭遇大規模DDoS攻擊,導致Twitter、Spotify、Netflix、AirBnb、CNN、華爾街日報等數百家網站無法訪問。而這次的攻擊也被當時的媒體稱之為“史上最嚴重的DDoS攻擊”,可見其影響之大。
值得注意的是,這次的攻擊是黑客運用眾多物聯網設備來發動攻擊。物聯網設備通常是默認聯網,并且其代碼一般都為開源,所以很容易被黑客所利用。同時,由于沒有足夠的存儲空間,因此大部分物聯網設備無法安裝安全軟件。這對于黑客而言,要入侵這些設備比捅破一張紙還容易。
當然一些專業領域的物聯網設備相對而言會更加安全,由于在設計之初已經考慮到了安全問題,并且這些設備還會與互聯網進行物理隔離,因此難以被入侵。除了這次最大的黑客入侵事件以外,利用物聯網設備進行網絡攻擊并不罕見。
除此之外,垃圾郵件、高級持續性威脅(APT)、勒索軟件、數據竊取、車輛遙控以及控制人體內的聯網醫療設備等,都是目前物聯網安全所面臨的切實問題。想要讓民眾徹底接受并安心的使用物聯網,這些安全問題就必須解決。
如何解決物聯網安全問題
如何解決這些物聯網安全問題,目前主要在兩個個方面。首先是從源頭開始,在物聯網設備生產之初便開始進行安全問題的考量。一個非常簡單的解決辦法就是增加物聯網設備的存儲空間,在這些設備之中安裝安全軟件,但是考慮到成本問題,許多廠商估計并不會這樣做。因此,可以換另外一種思路。
既然增加成本無法接受,那么可以削減許多不必要的功能。比如物聯網智能門鎖,對于門鎖而言,安全性上的需求更加強烈。但是正所謂功能越多,漏洞便越多,作為一道進出房門的入口,把智能門鎖功能簡單話,反而能增加其安全性。比如去除智能門鎖的聯網功能,門鎖并不需要繁瑣的功能,加上了聯網雖然能夠讓戶主隨時查看自己家的情況,但是也能給黑客一個遠程入侵的破綻。
物聯網數據防護需要專業團隊
不同于在物理層面上進行數據的隔絕,在信息上,由于許多企業需要收集用戶個人信息,為用戶打造個性化的互動體驗,并且根據這些數據反饋來對自己的產品進行更新迭代。但是隨著數據量越來越大,信息保護的難度也逐漸增大。
成長都是相互的,在許多企業能夠運用和分析大數據的同時,黑客也同樣享受著大數據所帶來的紅利。他們通過這些大數據,也讓自己的黑客技術突飛猛進,繼而能輕松擊破計算機服務器,獲取敏感和昂貴的信息。
幾乎所有擁有相關數據的企業都被黑客入侵過,區別只是有些企業能夠察覺,并且予以反擊,而有的企業連察覺都做不到。數據安全防護并不是一個簡單的事情,他需要人才以及資金的助力,還有企業安全意識的體現。
許多企業對于數據安全防護完全沒有概念,許多物聯網數據平臺也并不旨在解決安全性問題。因此大多數平臺缺乏加密、合規性、風險管理、安全策略以及其他安全功能,這要求企業擁有一支合格的網絡安全防護團隊才行。
企業與個人都需要有數據安全意識
回到資金以及人才問題,對于許多企業高層而言,數據安全使他們不感興趣或者不了解的領域,因此對于資金的投入頗為吝嗇。而數據安全專家介紹,應該把10%左右的IT預算應用于安全性方面,但是許多企業在9%以下。
除了資金到位外,還需要有優秀的數據安全人才來進行數據防護,但是許多公司內部恰好缺乏這方面的人才,又不會及時的對外進行招聘,并且這類人才的薪資通常比較高昂,多方考慮之下,也給了黑客們可乘之機。
最后,作為使用這些物聯網設備的消費者而言,我們需要重視自身的數據安全,對于許多不必要的信息獲取要求,要堅決的取消,哪怕這些應用無法使用。我們應該培養這樣的意識,畢竟以斗爭求和平則和平存,以妥協求和平則和平亡,用自身的隱私來換取應用的便捷性,只會助長這些企業無止境的欲望。
一個智能門鎖的應用,還需要消費者提供聯系人名單,顯然是不合常理的。不只是拒絕這些不合理的要求,還希望消費者能夠了解物聯網產品和服務的個人安全風險。讓消費者主動表達自己的擔憂并推動對物聯網產品安全性和隱私性的需求。
許多企業目前陷入了一個怪圈,認為數據收集的越多越好,不僅是相關數據,那些無關數據也要收集。這樣的現象在國內頗為普遍,而消費者養成重視自己隱私數據的習慣,則可以有效的減少這種現象的發現,也能避免這些數據被黑客所利用。
保護物聯網安全的6條基本原則
第1條:避免設備直接聯網。
不部署防火墻或將防火墻置于設備后端的行為均不可取。防火墻應置于該設備聯網之前,在防火墻中開放特定端口實現設備的遠程訪問。
第2條:更改默認密碼。
拿到這些設備后我們要做的第一件事就是把初始密碼改成復雜的你又記得住的密碼。就算密碼忘記了,也不是走投無路,現在市場上大多數設備都有恢復出廠設置的功能。
第3條:更新固件。
硬件供應商有時會為支持他們設備的軟件(稱為“固件”)提供安全更新程序。因此,安裝設備之前先訪問廠商官網查看是否有固件更新,另外也要養成定期查看的習慣。
第4條:檢查默認設置。
確保像UPnP(通用即插即用,主要用于設備的智能互聯互通,能夠在你不知情的情況下開放防火墻端口)這類你不需要的功能已經被設置成“禁用”。
第5條:避免購買具有內置P2P(對等網絡)功能的物聯網設備。
P2P物聯網設備的安全防護實施起來非常困難。很多研究都表明,即使有防火墻,攻擊者也能實現遠程訪問,因為P2P的配置特點之一就是持續不斷地連接共享網絡,直到成功。因此攻擊者完全有可能實現遠程訪問。這也是人們對物聯網設備安全存在恐慌心理的原因之一。
第6條:成本越低的設備,安全性可能越差。
90%廉價的物聯網設備都不安全。當然,價格與安全性沒有直接關聯,但是無數案例說明,價格范圍較低的設備往往漏洞和后門更多,廠商的維護和售后支持力度也不夠。
很多人看到這些安全提示都會嗤之以鼻,明明道理都懂,有時候就是做不到。良好的開發、部署和操作習慣非常有必要,減少物聯網對全球安全問題的影響,最重要的還是每一個人從最基本的做起。
物聯網安全是一個永恒的話題,正如世界有光明就會有黑暗,我們無法完全避免物聯網安全事件再次發生,但是我們可以提前預防,培養自身有關物聯網安全的意識,有效削減黑客入侵的途徑。