物聯(lián)網(wǎng)是一把雙刃劍。從配備智能門鎖的智能家居到通過(guò)Wi-Fi自動(dòng)煮沸早茶的水壺,物聯(lián)網(wǎng)技術(shù)讓人們的生活變得簡(jiǎn)單得多,但其成本也可能要高得多。在物聯(lián)網(wǎng)安全中,存在一些安全性權(quán)衡因素,并且可能弊大于利。
在物聯(lián)網(wǎng)技術(shù)進(jìn)入企業(yè)、家庭以及日常生活之前,人們需要了解表明安全重要性的一些例子。
物聯(lián)網(wǎng)安全性:物聯(lián)網(wǎng)設(shè)備使人們?nèi)菀资軅?/strong>
黑客可以通過(guò)網(wǎng)絡(luò)上的設(shè)備進(jìn)入企業(yè)的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全服務(wù)商Darktrace公司首席執(zhí)行官Nicole Eagan介紹了一起物聯(lián)網(wǎng)設(shè)備安全事例,該事例發(fā)生在美國(guó)一家未透露名稱的賭場(chǎng),網(wǎng)絡(luò)攻擊者能夠通過(guò)該賭場(chǎng)的一個(gè)水族館智能溫度計(jì)的漏洞訪問(wèn)其數(shù)據(jù)庫(kù)。
在討論物聯(lián)網(wǎng)設(shè)備安全性指南之前,人們需要了解一些物聯(lián)網(wǎng)安全漏洞的例子。
家用消費(fèi)類智能設(shè)備的安全漏洞
如果看過(guò)有關(guān)Alexa和Google Home智能助理中的安全漏洞是如何被欺詐并竊聽(tīng)用戶的調(diào)查報(bào)告,那么人們對(duì)物聯(lián)網(wǎng)設(shè)備安全性的擔(dān)心是對(duì)的。盡管亞馬遜公司和谷歌公司每次都會(huì)采取應(yīng)對(duì)措施,但他們?nèi)员桓碌木W(wǎng)絡(luò)攻擊技術(shù)所挫敗。
除此之外,三星公司推出的智能冰箱也有安全漏洞,由于其顯示屏與用戶的Gmail日歷集成在一起,即使已部署SSL來(lái)確保Gmail集成的安全,冰箱本身也無(wú)法驗(yàn)證SSL/TLS證書,這為黑客進(jìn)入其所在網(wǎng)絡(luò)并竊取登錄憑據(jù)打開(kāi)了大門。
值得稱贊的是,三星公司在軟件更新中修復(fù)了該錯(cuò)誤,但當(dāng)這個(gè)知名品牌都會(huì)遭到網(wǎng)絡(luò)攻擊并導(dǎo)致破壞時(shí),這將讓大量用戶感到不安。這揭示了一個(gè)幾乎不可避免的事實(shí),即功能性往往優(yōu)先于安全性,對(duì)于知名廠商更是如此。更重要的是,2015年,三星集團(tuán)還表示將在其智能電視中收集和使用用戶的數(shù)據(jù):如果用戶的口令包含個(gè)人信息或其他敏感信息,則這些信息可能通過(guò)使用語(yǔ)音識(shí)別技術(shù)捕獲并傳輸給第三方。
例如全球知名的蘋果公司在遭遇網(wǎng)絡(luò)攻擊方面也難以幸免。2019年2月,用戶在蘋果公司的FaceTime應(yīng)用程序中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞,網(wǎng)絡(luò)攻擊者可以在接受或拒絕來(lái)電之前訪問(wèn)某人的iPhone攝像頭和麥克風(fēng)。
隨著網(wǎng)絡(luò)攻擊者找到巧妙的方法來(lái)逃避安全控制以竊取數(shù)據(jù),造成的破壞或許只是一種破壞性的行為,但是,如果這樣的事例發(fā)生在智能家居設(shè)施,那么將會(huì)發(fā)生什么?
物聯(lián)網(wǎng)設(shè)備被Mirai公司等大型僵尸網(wǎng)絡(luò)利用
Mirai是一種以物聯(lián)網(wǎng)為中心的惡意軟件,它以弱憑據(jù)來(lái)感染物聯(lián)網(wǎng)設(shè)備,將其轉(zhuǎn)變?yōu)檫h(yuǎn)程控制的僵尸或機(jī)器人網(wǎng)絡(luò)。盡管Mirai的創(chuàng)建者已被抓獲,但他們已對(duì)外發(fā)布了該惡意軟件的源代碼(可能是為了混淆和分散注意力),現(xiàn)在它具有多個(gè)變體。
僵尸網(wǎng)絡(luò)已被用來(lái)發(fā)起多種DDoS攻擊,其中一種攻擊是針對(duì)羅格斯大學(xué)的網(wǎng)絡(luò)攻擊,另一種針對(duì)為Netflix和Twitter等知名廠商提供域名服務(wù)的Dyn公司的攻擊。
植入式醫(yī)療器械的安全漏洞
在科技領(lǐng)域,幾乎沒(méi)有什么設(shè)備能逃脫網(wǎng)絡(luò)罪犯的控制,其中包括醫(yī)療設(shè)備。
在2018年召開(kāi)的一次黑帽會(huì)議上,WhiteScope公司的Billy Rios和QED Secure Solutions公司的Jonathan Butts展示了黑客如何通過(guò)遠(yuǎn)程控制技術(shù)攻擊可以挽救患者生命的植入式醫(yī)療器械,并可能進(jìn)行操縱對(duì)患者造成傷害。兩位安全研究人員演示了如何禁用胰島素泵并控制美敦力公司生產(chǎn)的心臟起搏器系統(tǒng)。作為回應(yīng),美敦力公司將這個(gè)漏洞清除,但并未承認(rèn)這種情況的嚴(yán)重性,甚至在這個(gè)漏洞警報(bào)提交給他們570天之后,該公司仍沒(méi)有積極解決這個(gè)問(wèn)題。
人們?yōu)榇丝赡芡茰y(cè),由遠(yuǎn)程控制的物聯(lián)網(wǎng)設(shè)備組成的網(wǎng)絡(luò)如何被用來(lái)摧毀電網(wǎng)(或用于供水系統(tǒng)的監(jiān)控與數(shù)據(jù)采集系統(tǒng),或控制天然氣管道等),或者嬰兒監(jiān)護(hù)儀可能被黑客攻擊,這些設(shè)想會(huì)令人感到不安。但仍然可以肯定的是物聯(lián)網(wǎng)設(shè)備的漏洞將會(huì)繼續(xù)存在。因此,如果要避免危機(jī),物聯(lián)網(wǎng)設(shè)備制造商需要更加注意其中的安全風(fēng)險(xiǎn),高級(jí)持續(xù)性威脅(APT)更加危險(xiǎn)。
物聯(lián)網(wǎng)最大的安全風(fēng)險(xiǎn)是什么?
盡管人們對(duì)物聯(lián)網(wǎng)面臨的最大安全風(fēng)險(xiǎn)沒(méi)有太多發(fā)言權(quán),但可以在某種程度上通過(guò)采取一些安全措施來(lái)保護(hù)物聯(lián)網(wǎng)設(shè)備。開(kāi)放式網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目(OWASP)基金會(huì)是一個(gè)全球性的非營(yíng)利性組織,旨在提高企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用程序安全性、移動(dòng)設(shè)備安全性等領(lǐng)域中的安全風(fēng)險(xiǎn)的意識(shí),以便組織和個(gè)人可以做出明智的決定。
下表列出了開(kāi)放式網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目(OWASP)基金會(huì)于2014和2018年在智能設(shè)備中發(fā)現(xiàn)的十大物聯(lián)網(wǎng)漏洞:
企業(yè)保證物聯(lián)網(wǎng)安全的十大技巧
如果企業(yè)的智能設(shè)備配備了不可更改的憑據(jù)或任何類型的身份驗(yàn)證/授權(quán)機(jī)制,那么不要購(gòu)買和使用。從開(kāi)放式網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目(OWASP)列出的2018年十大物聯(lián)網(wǎng)漏洞列表中可以看出,不安全的生態(tài)系統(tǒng)(Web接口和云平臺(tái)接口等)、數(shù)據(jù)安全性和物理安全性等一些問(wèn)題在2014年以前一直保持前10位。這使人們對(duì)物聯(lián)網(wǎng)設(shè)備安全性發(fā)展的方向和速度有了一個(gè)清晰的認(rèn)識(shí)。它還提出了有關(guān)物聯(lián)網(wǎng)安全解決方案的有效性和采用率的相關(guān)問(wèn)題。
然而,由于物聯(lián)網(wǎng)正成為人們?nèi)粘I钪胁豢苫蛉钡囊徊糠郑仨毐M最大努力保護(hù)聯(lián)網(wǎng)設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。以下是一些可以采用的措施和方法。
1.了解采用的網(wǎng)絡(luò)及其連接設(shè)備
當(dāng)企業(yè)的設(shè)備連接到全球互聯(lián)網(wǎng)時(shí),這些連接會(huì)使企業(yè)的網(wǎng)絡(luò)容易受到攻擊,并且如果設(shè)備沒(méi)有得到足夠的安全保護(hù),網(wǎng)絡(luò)攻擊者也可以使用這些設(shè)備。由于越來(lái)越多的設(shè)備配備了網(wǎng)絡(luò)接口,因此企業(yè)工作人員很容易忘記哪些設(shè)備可以通過(guò)網(wǎng)絡(luò)訪問(wèn)。為了確保安全,企業(yè)IT人員必須了解其網(wǎng)絡(luò)、網(wǎng)絡(luò)上的設(shè)備,以及容易泄露的信息類型(尤其是具有社交共享功能的應(yīng)用程序)。
網(wǎng)絡(luò)攻擊者使用諸如位置和個(gè)人詳細(xì)信息等來(lái)跟蹤人員的情況,這可能會(huì)轉(zhuǎn)化為現(xiàn)實(shí)中的危險(xiǎn)。
2.評(píng)估網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備
在知道哪些設(shè)備連接到網(wǎng)絡(luò)后,需要對(duì)設(shè)備進(jìn)行審核以了解其安全性。可以通過(guò)從制造商的網(wǎng)站上安裝安全補(bǔ)丁和更新,檢查具有更強(qiáng)安全功能的更新設(shè)備等措施來(lái)實(shí)現(xiàn)物聯(lián)網(wǎng)安全。此外,在購(gòu)買設(shè)備之前,需要了解該品牌設(shè)備的安全性。企業(yè)采購(gòu)和應(yīng)用人員需要問(wèn)自己一些問(wèn)題:
•其產(chǎn)品是否報(bào)告了導(dǎo)致危害的安全漏洞?
•設(shè)備商在向潛在客戶推銷產(chǎn)品時(shí)是否滿足網(wǎng)絡(luò)安全需求?
•如何在其智能解決方案中實(shí)施安全控制?
3.實(shí)施強(qiáng)密碼保護(hù)企業(yè)的所有設(shè)備和帳戶
企業(yè)需要使用不易被猜到的、安全性強(qiáng)的獨(dú)特密碼來(lái)保護(hù)其所有帳戶和設(shè)備。不要采用默認(rèn)密碼或普通密碼(例如“admin”或“password123”)。如果需要,使用密碼管理器來(lái)跟蹤所有密碼。確保企業(yè)和其員工不在多個(gè)帳戶中使用相同的密碼,并確保定期進(jìn)行更改。
這些步驟有助于防止其所有帳戶遭到泄露。除了密碼到期日期外,需要確保設(shè)置了錯(cuò)誤密碼嘗試次數(shù)的限制,并實(shí)施帳戶鎖定策略。
4.為智能設(shè)備使用單獨(dú)的網(wǎng)絡(luò)
企業(yè)為其智能設(shè)備使用與家庭或企業(yè)網(wǎng)絡(luò)不同的網(wǎng)絡(luò),這可能是提高物聯(lián)網(wǎng)安全性最具戰(zhàn)略意義的方法之一。通過(guò)網(wǎng)絡(luò)分段措施,即使網(wǎng)絡(luò)攻擊者找到了進(jìn)入企業(yè)智能設(shè)備的途徑,他們也無(wú)法訪問(wèn)企業(yè)的業(yè)務(wù)數(shù)據(jù)。
5.重新配置默認(rèn)設(shè)備設(shè)置
通常情況下,許多智能設(shè)備在出廠時(shí)都帶有不安全的默認(rèn)設(shè)置。更糟糕的是,有時(shí)無(wú)法修改這些設(shè)備的配置。企業(yè)需要根據(jù)其要求評(píng)估和重新配置默認(rèn)憑據(jù)、侵入式功能和權(quán)限、開(kāi)放端口等。
6.安裝防火墻和其他知名的物聯(lián)網(wǎng)安全解決方案以識(shí)別漏洞
安裝防火墻以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量,并運(yùn)行入侵檢測(cè)系統(tǒng)(IDS)/入侵防御系統(tǒng)(IPS)來(lái)監(jiān)視和分析網(wǎng)絡(luò)流量。企業(yè)還可以使用自動(dòng)漏洞掃描程序來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全漏洞。使用端口掃描程序來(lái)識(shí)別打開(kāi)的端口并查看正在運(yùn)行的網(wǎng)絡(luò)服務(wù)。確定是否需要這些端口,并檢查它們上運(yùn)行的服務(wù)是否存在已知漏洞。
7.使用強(qiáng)加密并避免通過(guò)不安全的網(wǎng)絡(luò)連接
如果企業(yè)決定遠(yuǎn)程檢查智能設(shè)備,則切勿使用公共Wi-Fi網(wǎng)絡(luò)或未實(shí)施可靠加密協(xié)議的網(wǎng)絡(luò)進(jìn)行檢查。企業(yè)確保自己的網(wǎng)絡(luò)設(shè)置未在過(guò)時(shí)的標(biāo)準(zhǔn)(例如WEP或WPA)上運(yùn)行,而是使用WPA2標(biāo)準(zhǔn)。不安全的互聯(lián)網(wǎng)連接會(huì)使企業(yè)數(shù)據(jù)和設(shè)備容易受到網(wǎng)絡(luò)攻擊者的攻擊。盡管發(fā)現(xiàn)WPA2本身很容易受到密鑰重新安裝攻擊或KRACK的攻擊,而WPA3容易受到Dragonblood攻擊的影響,但是安裝更新和補(bǔ)丁程序是保持業(yè)務(wù)安全運(yùn)營(yíng)的唯一途徑,并且可以將風(fēng)險(xiǎn)降至最低。
8.在不使用設(shè)備和功能時(shí)斷開(kāi)網(wǎng)絡(luò)連接
查看應(yīng)用程序權(quán)限并閱讀這些應(yīng)用程序的隱私權(quán)政策,以了解它們打算如何使用其共享的信息。除非企業(yè)要使用遠(yuǎn)程訪問(wèn)或語(yǔ)音控制等功能來(lái)實(shí)施更持久的物聯(lián)網(wǎng)安全檢查,否則必須禁用它們。如果需要,可以隨時(shí)啟用它們。當(dāng)企業(yè)不使用設(shè)備時(shí),需要考慮將它們與網(wǎng)絡(luò)完全斷開(kāi)。
9.關(guān)閉通用的即插即用(UPnP)功能
通用即插即用功能旨在無(wú)縫地連接網(wǎng)絡(luò)設(shè)備,而無(wú)需進(jìn)行配置,但由于UPnP協(xié)議中的漏洞,這些設(shè)備也更容易被黑客發(fā)現(xiàn)。即插即用(UPnP)功能在默認(rèn)情況下會(huì)在多個(gè)路由器上啟用,因此除非企業(yè)為方便起見(jiàn)而愿意犧牲安全性,否則需要檢查設(shè)置并確保已經(jīng)禁用。
10.通過(guò)實(shí)施物理安全保護(hù)設(shè)備安全
盡量不要丟失手機(jī),尤其是當(dāng)手機(jī)中裝有可控制物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序時(shí)。如果這樣做,除了在設(shè)備上具有PIN/密碼/生物識(shí)別保護(hù)外,需要確保用戶具有遠(yuǎn)程擦除手機(jī)數(shù)據(jù)的功能。需要設(shè)置自動(dòng)備份或有選擇地備份企業(yè)可能需要的任何設(shè)備數(shù)據(jù)。
此外,限制企業(yè)的智能設(shè)備的可訪問(wèn)性。例如冰箱需要USB端口嗎?允許訪問(wèn)最小數(shù)量的端口,并在可行的情況下考慮不進(jìn)行Web訪問(wèn)(僅本地訪問(wèn))。
物聯(lián)網(wǎng)安全的一些分析工具
除了以上討論的物聯(lián)網(wǎng)安全解決方案之外,企業(yè)還有一些其他工具可用于更好地查看和控制其網(wǎng)絡(luò)。Wireshark和tcpdump(命令行實(shí)用程序)是兩個(gè)開(kāi)源工具,可以用來(lái)監(jiān)視和分析網(wǎng)絡(luò)流量。Wireshark更加用戶友好,因?yàn)樗鼛в幸粋€(gè)GUI,并且有各種排序和過(guò)濾選項(xiàng)。
Shodan、Censys、Thingful和ZoomEye是可以用于物聯(lián)網(wǎng)設(shè)備的工具(如搜索引擎)。ZoomEye也許是更適用于新用戶的工具,因?yàn)閱螕暨^(guò)濾器后會(huì)自動(dòng)生成搜索查詢。
ByteSweep是設(shè)備制造商提供的一個(gè)免費(fèi)安全分析平臺(tái),它是測(cè)試人員可以在產(chǎn)品出廠之前用來(lái)進(jìn)行檢查的另一個(gè)工具。
物聯(lián)網(wǎng)安全的概述
無(wú)論風(fēng)險(xiǎn)有多大,物聯(lián)網(wǎng)技術(shù)都有著巨大的潛力,這是一個(gè)毋庸置疑的事實(shí)。物聯(lián)網(wǎng)的連接性證明了它在解決各種環(huán)境和任務(wù)方面的有用性。而企業(yè)急于采用一些并不成熟的技術(shù)和產(chǎn)品時(shí)可能會(huì)出現(xiàn)問(wèn)題,這些企業(yè)或者完全忽略了潛在的安全風(fēng)險(xiǎn),或者沒(méi)有足夠重視。
在開(kāi)發(fā)安全可靠的產(chǎn)品、提高客戶意識(shí)以及推出新設(shè)備之前,需要進(jìn)行嚴(yán)格的測(cè)試,這可以在很大程度上解決當(dāng)前許多被忽視的物聯(lián)網(wǎng)安全問(wèn)題。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)