物聯(lián)網(wǎng)安全威脅
2016年10月21日,美國最主要域名服務(wù)器提供商DYN的服務(wù)器遭遇了大規(guī)模DDoS攻擊����,導致美國東海岸大面積斷網(wǎng)�����。這次攻擊為我們敲響了警鐘——攻擊者能夠利用15萬個安全性不夠的物聯(lián)網(wǎng)終端設(shè)備發(fā)起惡意攻擊���。面對物聯(lián)網(wǎng)安全問題,我們生產(chǎn)服務(wù)商應該怎么做呢?
物聯(lián)網(wǎng)領(lǐng)域主要存在四方面安全威脅:
(1)數(shù)據(jù)保護���。很多設(shè)備收集的是敏感數(shù)據(jù)�,不論是從商業(yè)角度�����,還是從管控角度�����,數(shù)據(jù)的傳輸、存儲和處理都應該在安全情況下進行�����。
(2)攻擊界面擴大化����。物聯(lián)網(wǎng)時代會有更多的設(shè)備在網(wǎng)上,這樣IT基礎(chǔ)設(shè)施會進一步擴大�,攻擊者會試探著去破解。與用戶的終端不同���,很多物聯(lián)網(wǎng)設(shè)備需要永久在線和實時連接��,這一特征使得它們更容易成為攻擊的目標���。
(3)對物聯(lián)網(wǎng)運行過程的攻擊。那些想干擾一個特定企業(yè)活動的行為�����,會讓更多基礎(chǔ)設(shè)施����、設(shè)備和應用成為攻擊目標���,通過DoS攻擊或通過危及、破壞個人設(shè)備�����。
(4)僵尸網(wǎng)絡(luò)����。未得到有效保護的物聯(lián)網(wǎng)設(shè)備可能會招致僵尸網(wǎng)絡(luò)攻擊��,大大降低企業(yè)的效率��,長期如此將會導致企業(yè)聲譽的損失�。
所有這些威脅在一定程度上依賴于物聯(lián)網(wǎng)設(shè)備的潛在漏洞,因此在部署和管理物聯(lián)網(wǎng)設(shè)備時應該有安全的意識�����,精心設(shè)計���,大量的工作應該列為高優(yōu)先級����。
為了應對盤旋于物聯(lián)網(wǎng)安全架構(gòu)周邊的、日益增長的恐懼和疑慮���,在物聯(lián)網(wǎng)系統(tǒng)的安全防護方面也做了長期的實踐和研究�����,以下我們將詳細解說���。
在四大環(huán)節(jié)開啟防御對策:
我們的物聯(lián)網(wǎng)系統(tǒng)主要分成終端、無線接入層��、LoRa網(wǎng)關(guān)���、云平臺幾個環(huán)節(jié)�����,我們物聯(lián)網(wǎng)系統(tǒng)的安全防護也可以從這幾個方面來分別說明:
1.LoRa終端
終端沒有操作系統(tǒng)����,不能遠程登錄控制����,不用擔心被黑客攻擊后用來執(zhí)行惡意代碼;
程序代碼寫死在flash上面��,無法通過遠程篡改來讓其停止工作;
2.無線通信
使用OTAA方式入網(wǎng)���,無線終端接入網(wǎng)絡(luò)前要先經(jīng)過SN和KEY的校驗,可以避免假冒終端攻擊;
無線通信過程使用高級加密標準(AES)以及128位的密鑰進行加密�����,通信報文不會被破解;
3.LoRa網(wǎng)關(guān)
LoRa網(wǎng)關(guān)本身只開放很少的服務(wù)端口�,避免黑客利用常見網(wǎng)絡(luò)協(xié)議服務(wù)端口的漏洞進行攻擊;
和LoRa終端之間的通信為無線通信�,防護機制見“無線通信”部分
和云平臺之間的通信為有線TCP/IP通信,使用會議密鑰進行加密;
4.云平臺
公有云平臺有防火墻防護�,還是私有云整合到無線控制器WAC上面,WAC本身具有防護能力;
云平臺只開放很少的服務(wù)端口���,避免黑客利用常見網(wǎng)絡(luò)協(xié)議服務(wù)端口的漏洞進行攻擊;
公有云平臺不允許使用弱密碼�,私有云平臺會檢測客戶是否使用弱密碼����,如果是就提示客戶修改;
每個項目發(fā)布之前,都會使用多種漏洞掃描工具對平臺進行檢測����,確認平臺不存在可以被黑客攻擊的漏洞����。
物聯(lián)網(wǎng)安全需要一個多層次的方法論����。從設(shè)備的角度看,應該從設(shè)計和開發(fā)的初始就著重考慮安全性��,并保持硬件���、軟件和數(shù)據(jù)在整個設(shè)備生命周期中的安全����。在設(shè)計安全功能時應采取積極主動�����,而不是被動的方法�����,研發(fā)更好的產(chǎn)品和解決方案。
(原文來源:中國傳動網(wǎng))
物聯(lián)網(wǎng)中存在的五個安全問題分析
在一項年度消費者調(diào)查中���,超過一半的受訪者擔心自己的隱私�,并有三分之一的受訪者擔心受到黑客攻擊�。這些擔憂并非完全沒有依據(jù),因為物聯(lián)網(wǎng)確實存在一些安全問題:
問題1�、缺少漏洞管理
雖然計算機和通信設(shè)備(例如智能手機和平板電腦)會定期接收新的更新,以修復最近發(fā)現(xiàn)的安全漏洞�,但對于物聯(lián)網(wǎng)設(shè)備來說,這通常既沒有計劃����,也沒有技術(shù)上的可行性。
解決方案:物聯(lián)網(wǎng)解決方案需要漏洞修復功能����,以通過軟件更新來修復安全隱患���。
問題2����、缺少質(zhì)量保證
安全專家警告說物聯(lián)網(wǎng)設(shè)備的質(zhì)量保證不足�。在爭奪市場份額的斗爭中,制造商往往會忽略安全性,這樣他們就可以在市場上擊敗競爭對手���。較短的產(chǎn)品周期和較低的產(chǎn)品利潤進一步加劇了這種趨勢���。
解決方案:需要質(zhì)量保證標準來保護設(shè)備免受黑客攻擊。此外����,BUG懸賞計劃已經(jīng)證明了它們在產(chǎn)品開發(fā)中的有效性。在這些計劃中����,安全專家專門搜索軟件漏洞,如果發(fā)現(xiàn)任何漏洞�,就可以得到現(xiàn)金獎勵。對于制造商而言��,即使是付出豐厚獎金也是值得的�����,因為可以節(jié)省召回產(chǎn)品的成本并提高聲譽�。
問題3、隱私保護
許多物聯(lián)網(wǎng)設(shè)備收集服務(wù)數(shù)據(jù)并將其發(fā)送給制造商����,例如���,在即將發(fā)生故障之前執(zhí)行預測性維護。這樣的數(shù)據(jù)流���,必須得到充分保護�����,因為它們可以被黑客竊取����。
解決方案:必須始終使用具有強身份驗證的加密連接來建立數(shù)據(jù)連接�。
問題4:安全概念需考慮客戶的使用方式
即使制造商提供的硬件和軟件都是安全的,但用戶的使用方式不夠安全也會帶來風險�。用戶使用的簡單密碼使黑客能夠輕松訪問物聯(lián)網(wǎng)系統(tǒng)。
解決方案:用戶必須設(shè)置復雜密碼�,以將人為風險因素降至最低��。這些要求包括安全密碼和SSL傳輸?shù)氖褂谩?/span>
問題5����、過時的合規(guī)政策
物聯(lián)網(wǎng)設(shè)備制造商的現(xiàn)有安全策略通常已經(jīng)過時,可能無法覆蓋到傳輸中的用戶數(shù)據(jù)。此數(shù)據(jù)位于網(wǎng)關(guān)上��,IT人員可以隨便查看�。
解決方案:合規(guī)性策略必須成為產(chǎn)品開發(fā)的一部分,并且用戶數(shù)據(jù)只能以加密形式在網(wǎng)關(guān)上出現(xiàn)��。
誠然���,所有這些聽起來都是理所當然的���,但不幸的是,事實并非如此�。黑客很久以前就意識到了他們在物聯(lián)網(wǎng)解決方案中的潛力,并利用了他們能夠找到的漏洞發(fā)起攻擊�。例如,“Mirai僵尸網(wǎng)絡(luò)”:這是一個由數(shù)十萬個安全性較差的攝像頭組成的網(wǎng)絡(luò)���,而三名美國學生在2016年8月使用了該攝像頭僵尸大軍��,這是當時最大的拒絕服務(wù)攻擊事件之一�����。
菲亞特-克萊斯勒也是“聲名遠揚”��。計算機專家利用車載信息娛樂系統(tǒng)中的幾個漏洞��,遠程入侵了一輛吉普切諾基�,并迅速關(guān)閉了引擎以進行演示。這對制造商的聲譽造成了無法估量的損失���,并由此召回了140萬輛汽車�。
因此����,制造商仍然需要確保物聯(lián)網(wǎng)解決方案的最高安全性,并就標準達成一致��;用戶也應該關(guān)注安全問題�,并在購買時優(yōu)先考慮它們,畢竟���,“一環(huán)軟弱���,全鏈不強”!
(原文來源:物聯(lián)網(wǎng)中存在的五個安全問題分析 - 物聯(lián)網(wǎng) - 電子發(fā)燒友網(wǎng)http://www.elecfans.com/iot/1108933.html)��,
物聯(lián)網(wǎng)面臨的10大安全漏洞
物聯(lián)網(wǎng)(IoT)技術(shù)無處不在�,如果沒有適當?shù)陌踩Wo措施,它們將很容易受到敏感數(shù)據(jù)泄漏的影響����。從制造商到商業(yè)用戶再到消費者,每個人都擔心網(wǎng)絡(luò)犯罪分子會侵入其物聯(lián)網(wǎng)設(shè)備和系統(tǒng)�����。那么�����,在設(shè)計����、部署或運行物聯(lián)網(wǎng)設(shè)備時,需要考慮的最關(guān)鍵問題是什么�?
根據(jù)OWASP漏洞列表分析,我們目前面臨10大物聯(lián)網(wǎng)安全漏洞:
1�、弱、可猜測或硬編碼密碼
弱密碼是簡短的����、簡單的、系統(tǒng)默認的����,或者可以通過使用一系列可能的密碼列表(如字典中的單詞�����、熟悉的名稱等)執(zhí)行暴力攻擊而很快就能猜到的東西���。
2、不安全的網(wǎng)絡(luò)服務(wù)
設(shè)備上運行的不安全服務(wù)可能會暴露給互聯(lián)網(wǎng)��,從而使攻擊者可以破壞物聯(lián)網(wǎng)設(shè)備�����。
3���、不安全的生態(tài)系統(tǒng)接口
此問題涉及使消費者能夠與其智能設(shè)備進行通信的API��、移動和Web應用程序��。這些接口中的任何漏洞都將使網(wǎng)絡(luò)犯罪分子能夠危害設(shè)備�����。
4����、缺乏安全的更新機制
如果某臺設(shè)備的更新過程不安全�,就有可能成為惡意攻擊的受害者。在這種情況下���,您可能會在更新過程中無意中安裝來自攻擊者的惡意代碼�����。更新過程必須通過加密渠道安全可靠地完成�。
5���、使用不安全或過時的組件
在代碼中使用不安全或過時的組件可能會導致設(shè)備的安全性完全受損�。這包括操作系統(tǒng)平臺的弱定制以及使用來自受損供應商的第三方軟件或硬件組件����。
6、隱私保護不足
個人資料非常重要���。如果被濫用��,無論是有意還是無意�,都會對人們的生活產(chǎn)生重大影響。物聯(lián)網(wǎng)設(shè)備可以獲得大量關(guān)于它們所處環(huán)境和使用它們的人的數(shù)據(jù)����。
7、不安全的數(shù)據(jù)傳輸和存儲
每當智能設(shè)備接收到數(shù)據(jù)并通過網(wǎng)絡(luò)傳輸��,或在新位置收集數(shù)據(jù)時����,這些數(shù)據(jù)被泄露的可能性就會增加。(來自物聯(lián)之家網(wǎng))為了降低這些風險���,您應該限制對敏感數(shù)據(jù)的訪問���,并確保數(shù)據(jù)始終是加密的。
8���、缺乏設(shè)備管理
了解環(huán)境中的資產(chǎn)非常重要�����,有效管理資產(chǎn)也同樣重要——您無法保護自己不知道的資產(chǎn)���。在這一點上的失敗可能會導致整個網(wǎng)絡(luò)被黑客攻擊���。
9、不安全的默認設(shè)置
物聯(lián)網(wǎng)設(shè)備通常帶有弱默認設(shè)置�。通常,我們只是不懂而已�,沒有更改這些默認設(shè)置����。在其他情況下,由于您受到限制并且沒有執(zhí)行此操作所需的權(quán)限��,因此無法更改系統(tǒng)配置����。
10、缺乏物理硬化
必須對設(shè)備進行加固以防物理攻擊�。此時失敗將使?jié)撛诠粽攉@得敏感數(shù)據(jù),這些數(shù)據(jù)有助于黑客發(fā)起遠程攻擊或獲得對設(shè)備的本地控制��。
積極考慮這些風險有助于降低因網(wǎng)絡(luò)罪犯數(shù)量不斷增多而受到危害的風險��。
(原文來源:物聯(lián)之家網(wǎng))
物聯(lián)網(wǎng)安全的主要漏洞以及解決方法
物聯(lián)網(wǎng)全球市場�����,收入超過了1000億美元,而2025年的收入預測將達到1.5萬億美元��。雖然這意味著更多的便利和改進的服務(wù)���,但也為網(wǎng)絡(luò)犯罪分子創(chuàng)造了更多機會��。
物聯(lián)網(wǎng)設(shè)備面臨網(wǎng)絡(luò)安全漏洞����。他們無需我們授權(quán)即可工作����,這使得在被破壞之前威脅識別變得更加困難。但是�,如果您知道危險潛伏在哪里,則可以找到一種方法最大程度地降低網(wǎng)絡(luò)安全風險��。以下是2020年物聯(lián)網(wǎng)的五個重大網(wǎng)絡(luò)安全漏洞�����。
威脅是絕對真實的���,首先我們了解下2016年10月發(fā)生的一個攻擊事件����。黑客識別了安全攝像機模型中的薄弱環(huán)節(jié)。同時�����,有超過300,000臺攝像機連接了互聯(lián)網(wǎng)����。
黑客利用該漏洞并使用這些IoT設(shè)備對社交媒體平臺發(fā)起了大規(guī)模攻擊�。一些主要的社交媒體平臺,包括Twitter�,停運了幾個小時。這種類型的惡意軟件攻擊稱為僵尸網(wǎng)絡(luò)攻擊�。它由數(shù)百個攜帶惡意軟件并同時感染數(shù)千個IoT設(shè)備的機器人提供動力。顯然����,由于各種原因,物聯(lián)網(wǎng)設(shè)備特別容易受到這些攻擊��。接下來讓我們一個個進行分析:
系統(tǒng)漏洞分類
在大多數(shù)情況下���,研究人員專注于各種類型的漏洞�。典型的潛在缺陷列表包括以下條目:
● 未修補的軟件。許多人無視的直接漏洞����。如果您是普通網(wǎng)民,則可以使用許多應用程序��。他們中的大多數(shù)正在不斷發(fā)展���。開發(fā)人員使他們適應解決問題�����。在某些情況下����,修補程序和更新可解決嚴重的漏洞�。當人們拒絕更新時,就會出現(xiàn)威脅�����。
● 配置錯誤����。這個概念涉及系統(tǒng)的各種變更�。示例之一與用戶開始使用新服務(wù)時獲得的默認設(shè)置有關(guān)����。通常,默認設(shè)置不關(guān)注安全性����。您的路由器是不應保留其默認設(shè)置的小工具之一。相反��,您應該定期更改憑據(jù)��。因此��,您將防止未經(jīng)授權(quán)的訪問或通信攔截�。
● 憑據(jù)差�。簡單或重復使用的密碼仍然是一個問題。盡管網(wǎng)絡(luò)安全行業(yè)已經(jīng)為每個網(wǎng)友提供了選擇�,但是使用原始和復雜密碼的建議仍然被忽略。取而代之的是���,人們想出了舒適的密碼�。這是什么意思?人們可以輕松記住的組合�,以及可悲的是,黑客可以輕松猜測的組合�����。了解憑證填充攻擊的性質(zhì)后�����,您將需要一個非常復雜的密碼來保證安全����。
● 惡意軟件,網(wǎng)絡(luò)釣魚和網(wǎng)絡(luò)����。如今,惡意軟件已成為Internet不可或缺的一部分(即使我們不喜歡它)���。駭客每天都會散布各種復雜的變體��,研究人員并不一定總能向我們發(fā)出警告����。網(wǎng)絡(luò)釣魚也是與到達用戶郵箱的欺詐和欺詐性報價有關(guān)的主要威脅之一。
● 信任關(guān)系���。這些漏洞觸發(fā)了連鎖反應��。例如�����,各種系統(tǒng)可以彼此鏈接以允許訪問��。如果一個網(wǎng)絡(luò)遭到破壞����,其他網(wǎng)絡(luò)也可能崩潰���。
● 憑據(jù)受損����。這種威脅是指對您的憑據(jù)的不道德勒索�����。后來���,它們被用來獲得未經(jīng)授權(quán)的訪問�����。例如�����,我們可以使用未經(jīng)正確加密的系統(tǒng)之間的通信�����。然后�,黑客可以攔截此交換并以純文本形式檢索密碼���。
● 惡毒的內(nèi)幕����。系統(tǒng)中的某些參與者可以利用他們的特權(quán)并執(zhí)行惡意操作�。
● 加密不正確。黑客或其他惡意資源可以攔截網(wǎng)絡(luò)上加密不良的通信��。由于存在此類漏洞,因此可能會發(fā)生許多災難性的情況�����。例如�,騙子可以獲取機密信息或在部門之間散布虛假信息。
● 零日漏洞和其他缺陷�。此類漏洞無法解決,并且會繼續(xù)困擾著系統(tǒng)���。黑客將嘗試利用此類缺陷���,并查看哪些系統(tǒng)可能受到威脅。
沒有經(jīng)驗的用戶:是最大的漏洞
物聯(lián)網(wǎng)是一個復雜的概念�����。大多數(shù)使用互聯(lián)網(wǎng)連接設(shè)備的人遠非精通技術(shù)的專家�����。沒有人告訴他們他們的咖啡機可能被入侵��,或者他們的相機可以被用來發(fā)起DDoS攻擊��。網(wǎng)絡(luò)安全專家在過去的二十年中一直在強調(diào)強密碼的重要性�����,而不是單擊電子郵件中的惡意鏈接����。
消費者認為公司和服務(wù)有責任確保其數(shù)據(jù)安全。他們甚至建議企業(yè)應采取法律行動�。這是什么意思?好吧��,用戶希望公司將其安全性看作不是遵守規(guī)則��,而是自然而然的責任�����。但是����,這種態(tài)度可能會導致非常嚴重的漏洞。用戶可以將所有責任留給政府和其他機構(gòu)����。如果不將自己視為重要變量,他們可能不會實施必要的網(wǎng)絡(luò)安全步驟。因此����,我們認為需要保持平衡。公司和消費者都需要積極主動地保護自己的信息�����。
制造過程中的缺陷
物聯(lián)網(wǎng)市場爆炸性增長是因為物聯(lián)網(wǎng)設(shè)備提供了更多的便利�,易于使用并帶來了真正的價值。但是���,這個市場呈指數(shù)增長的另一個原因是-物聯(lián)網(wǎng)設(shè)備價格合理�。您無需再變得超級富有�,即可將整個家庭變成一個智能家居。
制造商將其視為機遇����,并爭先恐后地搶占了自己的物聯(lián)網(wǎng)市場。結(jié)果–無監(jiān)督且便宜的制造過程�,以及缺乏或完全缺乏合規(guī)性。這是制造難以妥協(xié)的物聯(lián)網(wǎng)設(shè)備的秘訣�����,只有政府才能通過嚴格的法律和法規(guī)來解決。因此���,錯誤的生產(chǎn)可能導致各種問題�����,例如注入缺陷。
所有程序和服務(wù)都必須在認為內(nèi)容合適之前對其進行過濾�。如果此類過程缺少適當?shù)纳矸蒡炞C步驟,則它們可以充當更大問題的網(wǎng)關(guān)���。輸入的另一個問題是跨站點腳本(XSS)���。簡而言之,它是指為Web應用程序提供帶有輸入的JavaScript標記的過程�����?�?梢奢斎氲哪康目赡苡兴煌?��?���?赡苁橇夹缘模部赡苁菒阂獾?���。
不定期更新
大多數(shù)著名的物聯(lián)網(wǎng)品牌一詞都在不斷地致力于發(fā)現(xiàn)其設(shè)備上的漏洞。一旦找到后門�����,他們就會發(fā)布更新和補丁以提供必要的安全修復程序��。最終用戶需要更新其IoT設(shè)備����,這是一個潛在的問題,因為人們?nèi)匀徊辉父缕渲悄苁謾C和計算機�����。研究人員發(fā)布了最具破壞性的漏洞列表�。其中包括尚未修補的缺陷,并將繼續(xù)威脅用戶的安全����。其中之一允許黑客通過誘騙的Microsoft Office文檔運行惡意軟件����。另一個反映了Drupal的關(guān)鍵性質(zhì)��,它允許黑客傳播被稱為Kitty的惡意軟件病毒���。
有許多具有自動更新功能的IoT設(shè)備�����,但是此過程存在安全問題。設(shè)備應用更新之前����,它將備份發(fā)送到服務(wù)器。黑客可以利用這一機會來竊取數(shù)據(jù)�����。公共Wi-Fi和加密網(wǎng)絡(luò)上的IoT設(shè)備特別容易受到此類攻擊�。可以通過使用在線VPN來防止這種情況�����。它加密連接并屏蔽網(wǎng)絡(luò)上所有設(shè)備的IP地址。
影子物聯(lián)網(wǎng)設(shè)備
即使本地網(wǎng)絡(luò)完全安全�����,并且其上所有IoT設(shè)備的固件和軟件都已更新到最新版本��,影子IoT設(shè)備也可能造成嚴重破壞���。這些設(shè)備(也稱為流氓IoT設(shè)備)可以完美地復制為替代而構(gòu)建的IoT設(shè)備����。
隨著BYOD成為垂直行業(yè)的主要趨勢����,員工可以將自己感染的IoT設(shè)備帶入工作中。一旦連接到網(wǎng)絡(luò)���,惡意的IoT設(shè)備就可以下載并發(fā)送或處理數(shù)據(jù)���。潛在的損害是無法理解的。
在線物聯(lián)網(wǎng)設(shè)備的數(shù)量每天都在增加�。物聯(lián)網(wǎng)的這些網(wǎng)絡(luò)安全問題應同時涉及個人和企業(yè)用戶。如果我們想看到結(jié)果��,則必須最小化與IoT相關(guān)的安全漏洞。憑著物聯(lián)網(wǎng)行業(yè)的當前狀況以及最終用戶的意識��,可以肯定地說���,我們將至少看到更多由物聯(lián)網(wǎng)驅(qū)動的大規(guī)模網(wǎng)絡(luò)攻擊����。我們只有更加關(guān)注消費者和公司對待漏洞的方式�。在發(fā)生前阻止破壞行動。(作者名稱:Anas Baig)
(原文來源:物聯(lián)網(wǎng)安全:5個主要漏洞以及解決方法_設(shè)備 https://www.sohu.com/a/431054741_100065701)
文章來源:微信公眾號“中瀚安全”
在線咨詢
在線咨詢
0371-63319761