但是，物聯網安全威脅的影響可能被證明是物聯網實施中的主要問題。諸如DDoS、勒索軟件和社會工程學之類的IoT安全威脅可用于竊取人員和組織的關鍵數據。攻擊者可以利用IoT基礎設施中的安全漏洞來執行復雜的網絡攻擊。

 

對于消費者而言，此類物聯網安全威脅可能更令人擔憂，因為他們不知道其存在，并且不擁有緩解這些威脅的資源。因此，企業領導者必須識別并應對這些安全威脅，才能為消費者提供高端產品和服務。

 

以下是常見的8種類型的IoT安全威脅：

 

一、僵尸網絡(Botnets)

 

僵尸網絡是將各種系統結合在一起的網絡，可以遠程控制受害者的系統并分發惡意軟件。網絡罪犯使用命令和控制服務器來控制僵尸網絡，以竊取機密數據，獲取在線銀行數據并執行DDoS和網絡釣魚等網絡攻擊。網絡罪犯可以利用僵尸網絡來攻擊與筆記本電腦、臺式機和智能手機等其他設備相連的IoT設備。

 

例如，Mirai僵尸網絡已經展示了物聯網安全威脅的危險性。 Mirai僵尸網絡已感染了250萬臺設備，其中包括路由器、打印機和智能攝像機。攻擊者使用僵尸網絡在多個IoT設備上發起分布式拒絕服務攻擊。在見證了Mirai的影響之后，多名網絡罪犯開發了多個高級IoT僵尸網絡。這些僵尸網絡可以對易受攻擊的物聯網設備發起復雜的網絡攻擊。

 

二、拒絕服務(Denial of service)

 

拒絕服務(DoS)攻擊故意通過發送多個請求來導致目標系統中的容量過載。與網絡釣魚和暴力攻擊不同，實施拒絕服務的攻擊者并非旨在竊取關鍵數據。但是，可以使用DoS減慢或禁用服務以損害企業聲譽。

 

例如，受到拒絕服務攻擊的航空公司將無法處理預訂新機票、檢查航班狀態和取消機票的請求。在這種情況下，客戶可能會切換到其他航空公司進行空中旅行。同樣，諸如拒絕服務攻擊之類的物聯網安全威脅也會破壞企業的聲譽并影響其收入。

 

三、中間人(Man-in-the-Middle)

 

在中間人(MiTM)攻擊中，黑客破壞了兩個單獨系統之間的通信通道，試圖在其中攔截消息。攻擊者可以控制自己的通信，并向參與系統發送非法消息。此類攻擊可用于入侵物聯網設備，例如智能冰箱和自動駕駛汽車。

 

中間人攻擊可用于攻擊多個IoT設備，因為它們實時共享數據。借助MiTM，攻擊者可以攔截多個IoT設備之間的通信，從而導致嚴重故障。例如，攻擊者可以使用MiTM改變燈泡或打開和關閉其顏色，從而控制諸如燈泡之類的智能家居配件。此類攻擊可能對工業設備和醫療設備等物聯網設備造成災難性后果。

 

四、身份和數據盜竊

 

多個數據泄露事件在2020年成為頭條新聞，原因是這些數據泄露了數百萬人的隱私信息。在這些數據泄露中，諸如個人詳細信息、信用卡和借記卡憑據以及電子郵件地址之類的機密信息被盜。

 

黑客現在可以攻擊諸如智能手表、智能儀表和智能家居設備之類的IoT設備，以獲取有關多個用戶和組織的其他數據。通過收集此類數據，攻擊者可以執行更復雜和詳細的身份盜用。攻擊者還可以利用IoT設備中與其他設備和企業系統連接的漏洞。例如，黑客可以攻擊組織中易受攻擊的物聯網傳感器，并獲得對其業務網絡的訪問權限。通過這種方式，攻擊者可以滲透到多個企業系統并獲取敏感的業務數據。因此，物聯網安全威脅可能導致多個企業的數據泄露。

 

五、社交工程(Social Engineering)

 

Social Engineering一般指社會工程學。社會工程學(Social Engineering，又被翻譯為：社交工程學)是黑客米特尼克悔改后在《欺騙的藝術》中所提出的，是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段。

 

黑客利用社交工程手段操縱人們放棄他們的敏感信息，例如密碼和銀行詳細信息。或者，網絡罪犯可以使用社交工程學來訪問用于秘密安裝惡意軟件的系統。通常，社交工程攻擊是使用網絡釣魚電子郵件執行的，攻擊者必須開發令人信服的電子郵件來操縱人員。但是，在使用IoT設備的情況下，社交工程攻擊更易于執行。

 

物聯網設備(尤其是可穿戴設備)會收集大量的個人身份信息(PII)，以為其用戶提供個性化的體驗。此類設備還利用用戶的個人信息來交付用戶友好的服務，例如，通過語音控制在線訂購產品。但是，攻擊者可以訪問PII以獲取機密信息，例如銀行詳細信息、購買歷史記錄和家庭住址。此類信息可使網絡罪犯執行高級社交工程攻擊，從而使用易受攻擊的IoT網絡將用戶及其家人和朋友作為目標。通過這種方式，可以使用諸如社交工程學之類的物聯網安全威脅來獲得對用戶數據的非法訪問。

 

六、高級持續性威脅(Advanced Persistent Threats)

 

高級持續性威脅(Advanced persistent threats,APT)是由有組織的網絡罪犯集團執行的，是各種組織面臨的主要安全問題。高級持續威脅是有針對性的網絡攻擊，入侵者會獲得對網絡的非法訪問，并在很長一段時間內未被發現。攻擊者旨在監視網絡活動并使用高級持續威脅來竊取關鍵數據。

 

此類網絡攻擊難以預防、檢測或緩解。隨著物聯網的出現，大量關鍵數據可以輕松地在多個設備之間傳輸。網絡罪犯可以將這些物聯網設備作為目標，以訪問個人或公司網絡。通過這種方法，網絡罪犯可以竊取機密信息。

 

七、勒索軟件(Ransomware)

 

勒索軟件攻擊已成為最臭名昭著的網絡威脅之一。在這種攻擊中，黑客使用惡意軟件對業務運營可能需要的數據進行加密。攻擊者只有在收到贖金后才會解密關鍵數據。勒索軟件可能是最復雜的物聯網安全威脅之一。研究人員已經證明了使用智能恒溫器的勒索軟件的影響。通過這種方法，研究人員表明，黑客可以調高溫度并拒絕回到正常溫度，直到他們收到贖金為止。同樣，勒索軟件也可以用于攻擊IIoT設備和智能家居。例如，黑客可以攻擊智能家居，并向所有者發送通知以支付贖金。

 

八、遠程錄制(Remote Recording)

 

WikiLeaks發布的文件顯示，情報機構知道物聯網設備、智能手機和筆記本電腦中存在零時差攻擊。這些文件暗示安全機構計劃秘密記錄公開對話。網絡罪犯也可以使用這些零時差攻擊來記錄物聯網用戶的對話。例如，黑客可以攻擊組織中的智能攝像機，并記錄日常業務活動的視頻錄像。通過這種方法，網絡罪犯可以秘密獲取機密商業信息。此類物聯網安全威脅還將導致嚴重的隱私侵犯。

 

為了減輕其影響，業務領導者需要在其組織利用物聯網基礎設施之前，了解物聯網安全威脅并制定整體網絡安全策略。為此，他們可以聘請專門的網絡安全專家團隊來解決所有安全問題。或者，如果業務領導者希望獨立進行網絡安全技術，則可以從確保其所有機密數據已加密并且出于安全目的定期審核其系統開始。企業還可以部署大數據、區塊鏈和AI等現代技術，以增強其網絡安全性。