事實表明,針對物聯網的黑客攻擊、破壞和入侵行為變得越來越頻繁。最近針對Colonial輸油管道(美國東南部地區能源安全不可或缺的輸油管道系統)進行的網絡攻擊只是全球最近發生的物聯網(IoT)智能基礎設施遭到網絡攻擊的其中一個。
對于Colonial輸油管道的網絡攻擊事件對美國幾個州的商業活動造成了嚴重的影響,許多加油站連續幾天沒有燃料供應。這是網絡詐騙的一次成功攻擊,網絡攻擊者通過劫持管理輸油管道的計算機設備以索取贖金。無論是犯罪組織、敵對國家還是懷有惡意的個人,對于物聯網設備來說都是一種迫在眉睫的威脅。隨著越來越多的設備連接互聯網,這種網絡威脅只會在未來變得更加普遍。
事實上,任何連接到互聯網的設備都容易受到黑客攻擊和濫用。在物聯網時代,這意味著惡意行為者可能會利用數十億臺物聯網設備存在的漏洞來訪問機密數據、傳播惡意軟件或勒索軟件、將物聯網設備轉化為僵尸網絡、關閉公用事業公司或其他行業的基礎設施,甚至導致人身傷害。
人們需要了解的是,網絡威脅手段在不斷發展,安全防御策略和措施也需要跟上它們的步伐。為了保護組織資產和最終用戶,企業尤其應該做到以下幾點:
•更深入地了解他們的物聯網應用程序將如何受到黑客攻擊。
•對過去的物聯網安全漏洞、黑客嘗試和失敗進行深入分析,并將吸取的經驗和教訓納入他們的安全策略;
•將使其應用程序更安全的解決方案和策略納入新設備的設計和使用協議中。
檢查物聯網應用程序的安全性以防止潛在的黑客攻擊
(1)從弱身份驗證開始
也許網絡安全中最常見的問題(也是最容易通過常識緩解的問題)是人類普遍存在的懶惰傾向:很多人使用過于簡單的密碼,比如“123”、“ABC”或相對容易猜測或通過暴力破解得出的字母、數字或字符。從本質上說,密碼是抵御網絡攻擊者的第一道防線。如果設置的密碼不夠強,使用的設備和網絡就不安全。更令人擔憂的是,在某些情況下,密碼甚至可以公開訪問或存儲在應用程序的源代碼中。因此,適當的“網絡安全條例”的首要規則是必須擁有強密碼,即使遭到暴力破解也不會輕易地猜測到。
(2)在數據傳輸過程中缺乏加密可能代價高昂
除了以上幾點之外,物聯網網絡安全的另一個重大威脅是缺乏用于物聯網設備之間定期傳輸的加密。許多不一定存儲敏感數據的物聯網設備(例如恒溫器)不會對它們發送到其他設備的數據進行加密。然而,如果網絡攻擊者設法攻擊或破壞網絡,他們仍然可以攔截到傳輸到該設備或從該設備傳輸的憑據和其他重要信息。
(3)低處理能力阻礙及時的安全更新
許多物聯網應用程序的設計方式使其能夠經濟地使用數據,從而降低成本并延長電池壽命。但是這使得向這些設備發送無線(OTA)更新進行安全設置變得困難。這使這些設備更容易受到黑客攻擊。
其他常見問題包括最初不是為云計算連接設計的傳統資產、使用同一網絡與具有不同安全設置的多種設備共享網絡訪問、由于缺乏通用標準以及缺少固件更新而導致的不一致安全標準等。
對過去安全漏洞的分析可以提供寶貴的見解
雖然隨著技術不斷發展,每年都會出現無數的攻擊媒介和零日漏洞,但分析過去的安全漏洞可以幫助預測惡意行為者的行為和動機。例如,以上提到的對Colonial輸油管道的網絡攻擊就是勒索攻擊行為。
同樣,2016年Mirai僵尸網絡案例也是臭名昭著,這是因為這個惡意軟件設法將145607臺監控攝像頭和IP攝像頭納入到僵尸網絡中,以造成嚴重破壞。這個僵尸網絡是由一名黑客創建的,由不安全的物聯網設備聚合而成。在多次網絡攻擊中,僵尸網絡首先使Minecraft服務器崩潰,隨后迅速對法國網絡托管服務OVH公司以及Netflix、Twitter、Reddit、衛報和CNN的網站發起攻擊。更令人擔憂的是,該惡意軟件的代碼仍然在互聯網上傳播,而且Mirai的繼任者繼續進行網絡攻擊,例如劫持加密貨幣挖礦業務。
更令人擔憂的是,美國食品和藥物管理局(FDA)于2017年宣布,制造商St.Jude Medical的46.5萬多個植入式心臟起搏器設備容易受到黑客攻擊。雖然并沒有遭遇到黑客攻擊的新聞報道,而且St.Jude Medica公司也迅速修補了設備的安全漏洞,但這是一個令人不安的發現,可能具有致命的影響。如果黑客來控制這些心臟起搏器,他們可能會通過耗盡電池或改變心率讓患者面臨致命的風險。
熟悉保護應用程序的策略和解決方案
那么企業可以做些什么來保證他們的物聯網設備的安全呢?企業應該從以前的網絡攻擊事件中吸取教訓,從一開始就將保護其應用程序的解決方案納入新設備的設計和使用協議中。
一方面,企業應該充分利用物理安全措施(例如圍欄、門、百葉窗)來確保他們的設備安全。另一個特定于蜂窩物聯網設備的問題是許多關鍵信息存儲在SIM卡上。一般來說,SIM卡是可移動的,這使得這些數據更容易受到攻擊。然而使用eSIM是更好的選擇,因為eSIM直接焊接到電路板上,因此很難進行物理訪問。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號