幾年來，物聯網一直在飛速發展，據最近的數據顯示，目前物聯網設備的數量已經超過了70億臺，并且還在不斷增加。但是，與許多技術領域一樣，物聯網越大，它就越成為網絡犯罪分子的目標。雖然這并不是什么新鮮事，但犯罪分子所擁有的成功數量——尤其是惡意軟件攻擊——正開始引發擔憂。也許迄今為止最引人注目的攻擊是2016年底的Mirai惡意軟件，它成功地將數十萬基于Linux的物聯網設備變成了僵尸網絡大軍，這支大軍隨后被用來在世界各地發動一系列極具破壞性的DDoS攻擊。最近，安全分析師發現了越來越多的加密貨幣惡意軟件，因為黑客正在探索利用物聯網設備獲取財務收益的合理性。

[[251962]]

隨著對物聯網攻擊數量和種類的不斷增多，它提出了最大問題：為什么?不幸的是，答案很簡單，絕大多數物聯網設備幾乎沒有采取任何安全措施可以防范它們。本文將更深入研究這一現象的原因所在，并探討如果物聯網安全有所提高，需要如何改變。

一種新的惡意軟件

大多數物聯網設備的簡單性迫使網絡犯罪分子重新思考他們的方法。由于物聯網設備的性質，很少有物聯網設備會在其上保存有大量敏感數據，從而使傳統勒索軟件變得沒用。相反，網絡犯罪分子將注意力轉向了惡意軟件如何用來奴役物聯網設備(例如Mirai )或鎖定用戶，阻止它們實現預期目的。雖然后者看起來似乎相當無害，但當考慮到物聯網設備現在被用作心臟起搏器或控制醫院病人的藥物劑量時，后果可能是致命的。

物聯網過去糟糕的安全記錄是其當前困境的罪魁禍首

如上所述，許多攻擊成功的原因是物聯網糟糕的安全記錄。此話怎講?同樣，答案很簡單，隨著物聯網的普及，制造商和銷售商紛紛將新產品推向市場，不幸的是，這些設備的安全性遠遠落于許多優先級別，通常被視為僅僅是事后的想法。因此，目前絕大多數物聯網設備都使用默認憑據和密碼，配置和協議也不安全，而且眾所周知的是難以升級?？傊?，它們太容易被攻擊了。更糟糕的是，像KRACK這樣低級協議黑客的出現正在創建危及物聯網基礎設施，并注入或操縱數據的新方法，從而對同步或接收來自云應用程序控制消息的設備產生嚴重影響。

需要一種新的，安全第一的方法

面對日益嚴重的威脅，制造商和供應商需要清醒過來，并開始在所有物聯網設備中實施更強有力的安全措施，重點關注三個核心領域：

• 采用現代軟件安全標準：任何進入市場的新設備都應嚴格遵守現代安全實踐，例如內置密碼保護，強制用戶在購買時更改默認密碼。新設備還必須包括售后軟件支持，并包括在需要時遠程修補或更新它的能力，以及針對新形式的惡意軟件進行防御。
• 構建強大的防篡改硬件：物理安全是新設備的另一個主要考慮因素。簡單的事情，包括物理開關，讓用戶可以關閉他們不使用的功能，如麥克風靜音按鈕，可以防止不必要的竊聽。將防篡改措施集成到設備的物理結構中也意味著任何可以直接訪問設備的人都不會在未經許可情況下破壞或解碼信息。
• 使用安全網絡協議：物聯網設備和后端管理或存儲解決方案之間的任何數據交換都必須有安全協議，如HTTPS。還應使用強大的身份驗證方法來防止欺詐性訪問。

在物聯網設備的早期階段，制造商們不顧既定的安全慣例，急于將新產品推向市場。最終結果導致利用這些漏洞的惡意軟件不斷增多，更不幸的是，通常是消費者付出了代價。但這并不全是厄運和沮喪——最終用戶可以采取措施來幫助降低風險，包括：

• 為路由器起一個不同尋常的名稱：網絡罪犯可以使用路由器附帶的名稱來識別其品牌或型號，并獲得對設備的訪問權限。
• 定期重置路由器：安全專家建議重置路由器，以防止網絡犯罪分子利用VPNFilter惡意軟件收集和利用信息。
• 更改默認用戶名和密碼：常見設備的標準用戶名和密碼是眾所周知的，黑客可以使用。
• 檢查不必要功能的默認設置：在物聯網設備上激活的許多服務(如遠程訪問)會帶來不必要的風險，有些功能你可能不需要它們。
• 為訪客創建單獨的網絡：訪客和朋友可以登錄到單獨的Wi-Fi賬戶，而無需訪問所有設備。
• 使用雙因素身份驗證：許多應用程序和設備提供額外的身份驗證級別，例如向手機發送驗證碼，這可以增加保護。
• 更新軟件和固件：收到通知后立即更新，你的設備可能需要改進安全功能或補丁來修復安全缺陷。

雖然已經有數以百萬計已經使用的物聯網設備無法返回提高安全性，但在新設備中更好地實施現代安全實踐將大大緩解這一問題。然后，隨著舊的、不太安全的設備開始結束其生命周期，我們應該開始看到整個物聯網的安全性將得到大幅提高。