摘要: 物聯(lián)網(wǎng)是設(shè)備通過(guò)互聯(lián)網(wǎng)的連接�����。就像社交網(wǎng)絡(luò)或電子郵件服務(wù)一樣����,物聯(lián)網(wǎng)實(shí)際上并沒(méi)有連接人���,而是連接了智能設(shè)備����,這些智能設(shè)備包括但不限于您的計(jì)算機(jī)��,智能手機(jī)�,智能家電,自動(dòng)化工具等���。但是���,與現(xiàn)有的所有類(lèi)型的技術(shù)類(lèi)似,物聯(lián)網(wǎng)也是一把雙刃劍�����。 它有它的優(yōu)點(diǎn)��,但是伴隨著這項(xiàng)技術(shù)存在著嚴(yán)重的 ...
物聯(lián)網(wǎng)是設(shè)備通過(guò)互聯(lián)網(wǎng)的連接。就像社交網(wǎng)絡(luò)或電子郵件服務(wù)一樣����,物聯(lián)網(wǎng)實(shí)際上并沒(méi)有連接人,而是連接了智能設(shè)備��,這些智能設(shè)備包括但不限于您的計(jì)算機(jī)�,智能手機(jī),智能家電���,自動(dòng)化工具等��。
但是�����,與現(xiàn)有的所有類(lèi)型的技術(shù)類(lèi)似��,物聯(lián)網(wǎng)也是一把雙刃劍����。 它有它的優(yōu)點(diǎn)���,但是伴隨著這項(xiàng)技術(shù)存在著嚴(yán)重的威脅���。由于制造商相互競(jìng)爭(zhēng)以將最新設(shè)備推向市場(chǎng)����,因此很少有人考慮與其物聯(lián)網(wǎng)設(shè)備相關(guān)的安全性問(wèn)題�����。
最常見(jiàn)的物聯(lián)網(wǎng)安全威脅
物聯(lián)網(wǎng)目前面臨的最大安全威脅和挑戰(zhàn)是什么�?此問(wèn)題是各種最終用戶(hù)最常詢(xún)問(wèn)的問(wèn)題之一���?�;旧?����,在我們?nèi)粘J褂玫奈锫?lián)網(wǎng)設(shè)備中�����,存在著許多物聯(lián)網(wǎng)安全威脅��,這使得這個(gè)技術(shù)世界更加脆弱��。
為了讓我們的物聯(lián)網(wǎng)系統(tǒng)遠(yuǎn)離安全漏洞�����,我們必須識(shí)別最常見(jiàn)的物聯(lián)網(wǎng)安全威脅 并解決威脅和挑戰(zhàn)�����。在這里���,我們確定一個(gè)最常見(jiàn)的物聯(lián)網(wǎng)安全威脅列表����,這將有助于我們采取適當(dāng)?shù)谋U洗胧?/span>
1.缺乏更新
目前�,全球約有230億個(gè)IoT設(shè)備。Statista報(bào)告稱(chēng)��,到2020年�����,這一數(shù)字將增至近300億�����。物聯(lián)網(wǎng)連接設(shè)備數(shù)量的巨大增長(zhǎng)并非沒(méi)有任何后果。
2015年至2025年全球物聯(lián)網(wǎng)(IoT)連接設(shè)備的安裝數(shù)量(十億)
所有生產(chǎn)這些設(shè)備的公司所面臨的最大問(wèn)題是���,在處理與設(shè)備相關(guān)的安全問(wèn)題和風(fēng)險(xiǎn)方面����,他們很粗心�����。這些連接的設(shè)備大多數(shù)都無(wú)法獲得足夠的安全更新�����。有些根本無(wú)法更新�����。
曾經(jīng)被認(rèn)為是安全的設(shè)備隨著技術(shù)的發(fā)展而變得完全脆弱和不安全���,使它們易于受到網(wǎng)絡(luò)罪犯和黑客的攻擊。
制造商每天都在相互競(jìng)爭(zhēng)并發(fā)布設(shè)備���,而沒(méi)有過(guò)多地考慮安全風(fēng)險(xiǎn)和問(wèn)題�����。
大多數(shù)制造商確實(shí)提供了“空中傳送”(OTA)固件更新����,但一旦他們開(kāi)始使用新設(shè)備,這些更新就會(huì)停止���,使他們的前一代設(shè)備面臨攻擊�。
如果這些公司不能定期為他們的設(shè)備提供安全更新��,那么他們的客戶(hù)群將面臨潛在的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露����。
2.受感染的物聯(lián)網(wǎng)設(shè)備發(fā)送垃圾郵件
技術(shù)的發(fā)展為我們帶來(lái)了許多智能設(shè)備,包括但不限于智能設(shè)備����,智能家居系統(tǒng)等。這些設(shè)備使用與其他IoT連接設(shè)備類(lèi)似的計(jì)算能力�,并且可以用于各種活動(dòng)。
受到感染的設(shè)備可以變成電子郵件服務(wù)器�����。根據(jù)互聯(lián)網(wǎng)安全公司Proofpoint的一份報(bào)告,一臺(tái)智能冰箱被用來(lái)發(fā)送數(shù)千封垃圾郵件�����,而其所有者卻沒(méi)有任何線(xiàn)索���。這些智能設(shè)備中的大多數(shù)都可以轉(zhuǎn)變?yōu)殡娮余]件服務(wù)器���,以發(fā)送大量垃圾電子郵件。
3.被納入僵尸網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備
類(lèi)似于被劫持并變成大量垃圾郵件的電子郵件服務(wù)器的設(shè)備���,智能物聯(lián)網(wǎng)設(shè)備也可用作僵尸網(wǎng)絡(luò),以進(jìn)行DDoS(分布式拒絕服務(wù))攻擊����。
過(guò)去,黑客曾使用嬰兒監(jiān)視器�,網(wǎng)絡(luò)攝像頭,流媒體盒���,打印機(jī)甚至智能手表來(lái)進(jìn)行大規(guī)模DDoS攻擊���。制造商需要了解與物聯(lián)網(wǎng)連接設(shè)備相關(guān)的風(fēng)險(xiǎn)�,并采取所有必要步驟來(lái)保護(hù)其設(shè)備�����。
4.不安全通信
許多IoT設(shè)備在通過(guò)網(wǎng)絡(luò)發(fā)送消息時(shí)不會(huì)對(duì)消息進(jìn)行加密���。這是目前最大的物聯(lián)網(wǎng)安全挑戰(zhàn)之一����。公司需要確保設(shè)備和云服務(wù)之間的通信是安全和加密的�。
確保安全通信的最佳實(shí)踐是使用傳輸加密并使用TLS等標(biāo)準(zhǔn)。通過(guò)使用不同的網(wǎng)絡(luò)隔離設(shè)備還有助于創(chuàng)建安全的私有通信��,從而使傳輸?shù)臄?shù)據(jù)保持安全和機(jī)密�。大多數(shù)應(yīng)用和服務(wù)已開(kāi)始加密其消息,以確保其用戶(hù)信息的安全��。
5.使用默認(rèn)密碼
大多數(shù)公司在出廠時(shí)均使用默認(rèn)密碼����,甚至不告訴客戶(hù)對(duì)其進(jìn)行更改。這是最大的物聯(lián)網(wǎng)安全威脅之一�,因?yàn)槟J(rèn)密碼是常識(shí)��,犯罪分子可以輕松地獲取密碼進(jìn)行暴力破解���。
憑據(jù)薄弱幾乎使所有與IoT連接的設(shè)備容易遭受暴力破解和密碼黑客攻擊。在其IoT設(shè)備上使用不安全憑據(jù)的公司正在使其客戶(hù)和企業(yè)面臨遭受直接攻擊和被蠻力嘗試感染的風(fēng)險(xiǎn)�����。
6.遠(yuǎn)程訪(fǎng)問(wèn)
WikiLeaks發(fā)布的文件提到����,美國(guó)中央情報(bào)局(CIA)一直在入侵物聯(lián)網(wǎng)設(shè)備,并在所有者不知情的情況下打開(kāi)攝像頭/麥克風(fēng)����。攻擊者可能在您不知情的情況下進(jìn)入您的設(shè)備并竊取各種信息。
他們的文件指出��,Android和iOS等最新軟件存在大量漏洞����,這意味著犯罪分子也可以利用這些漏洞實(shí)施令人發(fā)指的犯罪��。
7.個(gè)人信息泄漏
經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)犯罪分子可以通過(guò)不安全的IoT設(shè)備找出互聯(lián)網(wǎng)協(xié)議(IP)地址��,這些地址可用于查明用戶(hù)的位置及其實(shí)際居住地址。
這就是為什么許多互聯(lián)網(wǎng)安全專(zhuān)家建議通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)保護(hù)您的IoT連接的原因��。在路由器上安裝VPN將加密通過(guò)ISP的所有流量��。VPN可以使您的Internet協(xié)議地址私有����,并保護(hù)整個(gè)家庭網(wǎng)絡(luò)。
8.家庭入侵
如前所述��,不安全的IoT設(shè)備可能會(huì)泄漏您的IP地址����,該IP地址可用于查明您的居住地址。
黑客可以將這些信息出售給犯罪組織經(jīng)營(yíng)的地下網(wǎng)站��。 此外���,如果您使用的是物聯(lián)網(wǎng)連接的智能家居安全系統(tǒng)����,那么這些也可能受到損害��。這就是為什么您需要通過(guò)IoT安全性和使用VPN保護(hù)連接的設(shè)備的原因���。
9.遠(yuǎn)程車(chē)輛訪(fǎng)問(wèn)
當(dāng)我們都渴望駕駛智能汽車(chē)時(shí)����,這些與物聯(lián)網(wǎng)相連的汽車(chē)也存在著很高的風(fēng)險(xiǎn)。
熟練的黑客可能會(huì)訪(fǎng)問(wèn)您的智能汽車(chē)�,并通過(guò)遠(yuǎn)程訪(fǎng)問(wèn)劫持它。 這是一個(gè)令人恐懼的想法��,因?yàn)槠渌丝刂颇钠?chē)會(huì)使您容易遭受更大傷害��。
幸運(yùn)的是��,智能汽車(chē)制造商正在密切關(guān)注這些“物聯(lián)網(wǎng)安全”威脅�,并努力保護(hù)其設(shè)備免受任何形式的破壞。
10.勒索軟件
勒索軟件已經(jīng)在PC和公司網(wǎng)絡(luò)上使用了很長(zhǎng)時(shí)間��。 犯罪分子會(huì)加密您的整個(gè)系統(tǒng)���,并威脅要?jiǎng)h除您的所有數(shù)據(jù)��,除非您支付贖金�。
攻擊者開(kāi)始鎖定不同的智能設(shè)備并要求贖金進(jìn)行解鎖只是時(shí)間問(wèn)題����。研究人員已經(jīng)找到了一種在智能恒溫器上安裝勒索軟件的方法,這非常令人震驚�����,因?yàn)榉缸锓肿涌梢陨呋蚪档蜏囟?�,直到勒索贖金得到支付為止�����。更加可怕的是����,攻擊者獲得了對(duì)家庭安全系統(tǒng)或智能設(shè)備的控制。
11.數(shù)據(jù)盜竊
黑客總是緊追數(shù)據(jù)����,這些數(shù)據(jù)包括但不限于客戶(hù)名稱(chēng),客戶(hù)地址��,信用卡號(hào)�����,財(cái)務(wù)詳細(xì)信息等等�。 即使公司擁有嚴(yán)格的IoT安全性����,網(wǎng)絡(luò)犯罪分子也可以利用不同的攻擊媒介�。
例如,一個(gè)易受攻擊的物聯(lián)網(wǎng)設(shè)備足以破壞整個(gè)網(wǎng)絡(luò)并獲得對(duì)敏感信息的訪(fǎng)問(wèn)�����。 如果將此類(lèi)設(shè)備連接到公司網(wǎng)絡(luò)�,則黑客可以訪(fǎng)問(wèn)該網(wǎng)絡(luò)并提取所有有價(jià)值的數(shù)據(jù)。 然后����,黑客濫用這些數(shù)據(jù),或?qū)⑵浯罅砍鍪劢o其他罪犯��。
12.損害醫(yī)療器械
美國(guó)電視連續(xù)劇曾播出過(guò)一次襲擊事件��,罪犯以植入的醫(yī)療設(shè)備為目標(biāo)刺殺一個(gè)人��。
雖然這種攻擊不是在現(xiàn)實(shí)生活中進(jìn)行的����。但這種威脅仍然使美國(guó)前副總統(tǒng)迪克·切尼(Dick Cheney)移除了植入的除顫器的無(wú)線(xiàn)功能,以避免出現(xiàn)這種情況。隨著越來(lái)越多的醫(yī)療設(shè)備連接到物聯(lián)網(wǎng)�����,這些類(lèi)型的攻擊隨時(shí)有可能發(fā)生�。
13.更多的設(shè)備�����,更多的威脅
這是物聯(lián)網(wǎng)設(shè)備大幅增長(zhǎng)的不利方面����。在過(guò)去的十年中,防火墻背后的設(shè)備數(shù)量已大大增加����。過(guò)去,我們只需要擔(dān)心保護(hù)個(gè)人計(jì)算機(jī)不受外部攻擊����。
現(xiàn)在,在這個(gè)時(shí)代�����,我們有很多不同的物聯(lián)網(wǎng)設(shè)備需要擔(dān)心。從我們的日常智能手機(jī)到智能家電等等�。由于有太多可以被黑客入侵的設(shè)備,黑客將始終在尋找最薄弱的鏈接并將其破壞���。
14.小型物聯(lián)網(wǎng)攻擊
我們兩年前就聽(tīng)說(shuō)過(guò)Mirai僵尸網(wǎng)絡(luò)����。在Mirai之前�����,有一種比Mirai更危險(xiǎn)的Reaper�,Reaper比Mirai危險(xiǎn)得多。大規(guī)模攻擊會(huì)造成更大的破壞�����,但我們也應(yīng)該警惕經(jīng)常未被發(fā)現(xiàn)的小規(guī)模攻擊����。
小規(guī)模的攻擊通常會(huì)逃避檢測(cè)并從漏洞中逃脫。黑客將試圖利用這些微攻擊來(lái)執(zhí)行他們的計(jì)劃����,而不是大手筆��。
15.自動(dòng)化與人工智能
AI工具已經(jīng)在世界范圍內(nèi)使用�����。有一些人工智能工具幫助制造汽車(chē)�����,而另一些工具則在篩選大量數(shù)據(jù)。然而����,使用自動(dòng)化有一個(gè)缺點(diǎn),因?yàn)橹恍枰a中的一個(gè)錯(cuò)誤或錯(cuò)誤的算法就可以搞垮整個(gè)AI網(wǎng)絡(luò)以及它控制的整個(gè)基礎(chǔ)設(shè)施�����。
AI和自動(dòng)化只是一種代碼���。如果有人能夠訪(fǎng)問(wèn)這些代碼�����,他們就可以控制自動(dòng)化并執(zhí)行他們想要的任何事情�����。因此���,我們必須確保我們的工具在此類(lèi)攻擊和威脅面前保持安全����。
16.人為因素
由于設(shè)備數(shù)量的增加��,與IoT交互的人員數(shù)量也會(huì)增加����。并非每個(gè)人都在關(guān)注網(wǎng)絡(luò)安全。有些甚至對(duì)數(shù)字攻擊一無(wú)所知����。
在保護(hù)其物聯(lián)網(wǎng)設(shè)備時(shí),此類(lèi)人員通常具有最低的安全標(biāo)準(zhǔn)����。如果這些人及其不安全的設(shè)備連接到組織或公司網(wǎng)絡(luò),則它們可能會(huì)給組織或公司網(wǎng)絡(luò)帶來(lái)厄運(yùn)�。
17.知識(shí)不足
這也是可以通過(guò)正確共享知識(shí)輕松解決的另一種威脅。人們要么對(duì)物聯(lián)網(wǎng)了解不多�����,要么不在乎。缺乏知識(shí)通?����?赡苁菍?duì)公司或個(gè)人網(wǎng)絡(luò)造成巨大破壞的原因����。
應(yīng)該優(yōu)先考慮提供有關(guān)物聯(lián)網(wǎng),連接的設(shè)備以及對(duì)每個(gè)人的威脅的所有基本知識(shí)�。 具有有關(guān)物聯(lián)網(wǎng)及其安全威脅的影響的基本知識(shí)可能是擁有安全網(wǎng)絡(luò)和數(shù)據(jù)泄露之間的區(qū)別�。
18.缺乏時(shí)間與金錢(qián)
大多數(shù)人或組織不會(huì)在安全的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施上進(jìn)行投資,因?yàn)樗麄冇X(jué)得這太耗時(shí)或太昂貴��。這種情況必須改變�����。否則����,公司將因襲擊而面臨巨大的財(cái)務(wù)損失。
數(shù)據(jù)是任何公司都可以擁有的最有價(jià)值的資產(chǎn)��。數(shù)據(jù)泄露意味著巨大損失。投資安全的IoT設(shè)置不會(huì)像大規(guī)模的數(shù)據(jù)泄露那樣昂貴�。
19.機(jī)器網(wǎng)絡(luò)釣魚(yú)
機(jī)器網(wǎng)絡(luò)釣魚(yú)將成為未來(lái)幾年的一個(gè)重要問(wèn)題。黑客將滲透物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)�,發(fā)送假信號(hào),這將導(dǎo)致所有者采取行動(dòng)���,可能會(huì)損害運(yùn)營(yíng)網(wǎng)絡(luò)�。
例如���,物聯(lián)網(wǎng)安全威脅處理程序可能會(huì)發(fā)出一個(gè)虛假的制造工廠報(bào)告�,它正在處理一半的產(chǎn)能��。而它實(shí)際正在處理100%���,工廠運(yùn)營(yíng)商將試圖進(jìn)一步增加可能對(duì)工廠造成破壞的負(fù)荷�����。
20.較弱的身份驗(yàn)證協(xié)議
隨著這么多物聯(lián)網(wǎng)設(shè)備充斥市場(chǎng)����,制造商忽略了一個(gè)事實(shí)����,即每個(gè)設(shè)備都需要一個(gè)適當(dāng)和強(qiáng)大的認(rèn)證協(xié)議�����。這種糟糕的授權(quán)機(jī)制常常導(dǎo)致向用戶(hù)提供比預(yù)期更高的訪(fǎng)問(wèn)權(quán)限���。
大多數(shù)設(shè)備缺乏密碼復(fù)雜度、缺省憑證�����、缺少加密�、沒(méi)有雙因素認(rèn)證和不安全的密碼恢復(fù)。這些安全漏洞很容易導(dǎo)致黑客輕松訪(fǎng)問(wèn)設(shè)備和網(wǎng)絡(luò)���。
21.隱私問(wèn)題
大多數(shù)設(shè)備收集各種類(lèi)型的數(shù)據(jù),其中包括敏感信息�����。當(dāng)設(shè)備開(kāi)始收集個(gè)人信息時(shí)��,如果沒(méi)有針對(duì)該數(shù)據(jù)的任何適當(dāng)保護(hù)方法�,則會(huì)引起隱私問(wèn)題�����。
如今����,幾乎所有智能手機(jī)應(yīng)用程序都需要在iOS和Android上具有某種類(lèi)型的權(quán)限和數(shù)據(jù)收集�����。 您需要查看這些權(quán)限���,并查看這些應(yīng)用程序正在收集什么樣的數(shù)據(jù)�����。 如果收集的數(shù)據(jù)屬于個(gè)人和敏感性質(zhì)�,那么最好放棄該應(yīng)用程序����。
22.物理安全性差
現(xiàn)在,到目前為止��,我們一直在談?wù)摂?shù)字安全性��,但這并不是對(duì)IoT設(shè)備的唯一威脅。 如果物理安全性較差���,則黑客無(wú)需進(jìn)行大量工作即可輕松訪(fǎng)問(wèn)設(shè)備���。
物理弱點(diǎn)是黑客可以很容易地拆卸設(shè)備并訪(fǎng)問(wèn)其存儲(chǔ)。比如設(shè)備有暴露的USB端口或其他類(lèi)型的端口�����,可能導(dǎo)致黑客訪(fǎng)問(wèn)設(shè)備的存儲(chǔ)介質(zhì)并破壞設(shè)備上的任何數(shù)據(jù)���。
23.RFID竊取
這是一種掠奪的形式���,黑客從借記卡,信用卡�,ID卡/護(hù)照和其他文件上使用的RFID芯片中攔截?zé)o線(xiàn)信息和數(shù)據(jù)。
掠奪此數(shù)據(jù)的目的是竊取用于高級(jí)身份盜用的個(gè)人信息�。 黑客使用NFC支持的設(shè)備來(lái)記錄RFID芯片中所有未加密的數(shù)據(jù)�����,然后通過(guò)無(wú)線(xiàn)信號(hào)進(jìn)行廣播�����。
24.中間人攻擊(Man-in-the-Middle Attacks)
這是一種攻擊,黑客通過(guò)不安全的IoT設(shè)備或網(wǎng)絡(luò)中的漏洞攔截了兩方之間的通信�,然后他們?cè)陔p方認(rèn)為彼此通信的同時(shí)更改了消息。 這些攻擊對(duì)于相關(guān)方而言可能是災(zāi)難性的�����,因?yàn)樵谕ㄐ胚^(guò)程中其所有敏感信息都處于危險(xiǎn)之中�����。
25.污水坑計(jì)劃(Sinkhole Schemes)
黑客可以輕松地從無(wú)線(xiàn)傳感器網(wǎng)絡(luò)(WSN)節(jié)點(diǎn)吸引所有流量�,以建立一個(gè)漏洞。 這種類(lèi)型的攻擊會(huì)產(chǎn)生隱喻性的漏洞��,損害數(shù)據(jù)的機(jī)密性����,并拒絕向網(wǎng)絡(luò)提供任何服務(wù)。這是通過(guò)丟棄所有數(shù)據(jù)包而不是將它們發(fā)送到目的地來(lái)完成的�����。
總結(jié)
隨著時(shí)間的推移,物聯(lián)網(wǎng)規(guī)模變得越來(lái)越大�。伴隨而來(lái)的安全威脅也將越來(lái)越大。與物聯(lián)網(wǎng)產(chǎn)業(yè)相關(guān)的制造商和其他人必須認(rèn)真對(duì)待安全問(wèn)題和威脅����。
知識(shí)是抵御這種威脅的第一道防線(xiàn)。所以��,你需要讓自己跟上物聯(lián)網(wǎng)安全威脅及其對(duì)策的速度�。
本文出自:https://www.toutiao.com/a6778268624269345283/
在線(xiàn)咨詢(xún)
在線(xiàn)咨詢(xún)
0371-63319761