當今企業面臨的7大物聯網風險
2016年10月,有史以來最復雜和最具破壞性的網絡攻擊之一摧毀了Twitter等主要網站,同時大大惡化了其他多個知名網站的用戶體驗,包括PayPal、Spotify、CNN、Mashable、Yelp、華爾街日報和紐約時報。這種分布式拒絕服務攻擊(DDOS)的規模非常驚人,這要歸功于來自數十萬個獨特互聯網地址的巨大流量。原來,一名黑客發現了某種型號安全攝像頭的漏洞。通過接管這些攝像頭,攻擊者可以將大量流量引導到目標網站,這使得合法用戶無法訪問這些網站。毫無疑問,物聯網有許多好處。然而,這次攻擊是一個典型的例子,說明物聯網在惡意者手中是一種極具破壞性的武器。這并不是說只有攝像頭可以被劫持,從汽車、冰箱到恒溫器和智能鎖,任何與網絡連接的東西都是黑客的誘人目標。
互聯網不再只是一個由服務器、路由器、交換機、臺式電腦、筆記本電腦、平板電腦和智能手機等傳統計算設備組成的網絡。事實上,預計物聯網設備的數量最終將遠遠超過傳統的計算設備。從傳達食物新鮮度更新的冰箱,到向車主傳輸油位信息的汽車,物聯網在許多方面都代表著便利性,然而,正如一些與物聯網相關的網絡攻擊所顯示的那樣,它也帶來了不可忽視的巨大風險。下面我們將介紹一些最大的物聯網風險。
1. 物聯網設備制造過程
制造商每天都向市場發布無數的物聯網設備,其中許多都是新型號,并且具有未發現的漏洞。制造商疏忽是困擾物聯網設備絕大多數安全問題的原因所在。許多設備制造商將網絡連接視為其設備功能的一個優勢,而不是核心功能。因此,他們并沒有投入應有的時間和資源來確保其產品免受網絡攻擊。
例如,一些具有藍牙連接功能的健身追蹤器在啟動配對后,任何人都可以連接到該設備而無需身份驗證;一些智能冰箱會暴露郵箱登錄憑證。(來源:物聯之家iothome)沒有一個通用的標準來保護物聯網設備。然而,這并不是制造安全性差設備的合理理由。制造過程中產生的最大物聯網風險包括密碼安全性不足、硬件不安全、缺少補丁機制以及不安全的數據存儲。
2. 用戶缺乏意識和知識
由于幾十年的認知,普通互聯網用戶相當擅長于避免網絡釣魚郵件、忽略可疑附件、在計算機上運行病毒掃描或創建強密碼。但是物聯網是一個新領域,即使對許多經驗豐富的IT專業人員來說,它仍然是陌生和被誤解的。
盡管大多數最大的物聯網風險可以追溯到制造過程,但用戶是物聯網安全風險的更危險驅動因素,尤其是當用戶不了解物聯網功能時。“欺騙手段”通常是在不引起懷疑的情況下侵入到受限網絡的最簡單方法,而黑客可以使用物聯網設備來做到這一點。
2010年對伊朗核設施的震網蠕蟲攻擊是由離心機控制軟件通過插入工廠計算機上的U盤感染引起的。現代離心機是一種物聯網設備,因為它們嚴重依賴信息技術。一些報告估計震網實際損壞了大約1000臺離心機。
3. 補丁和更新管理困難
無論制造商為其物聯網產品在創建安全硬件和軟件方面做了多少工作,在未來的某個時刻都不可避免地會發現新的漏洞,因此,需要更新以確保物聯網設備的安全性。然而,物聯網設備的性質和用途決定了它們并不總是易于定期更新——如果有的話。
想想遍布數百畝農田的傳感器,或是工廠車間的物聯網設備,它們無法在不影響生產的情況下離線更新。更糟糕的是,即使可以定期更新補丁,如果更新導致軟件損壞或不穩定,用戶通常也無法將更新回滾到最后已知的良好狀態。
4. 物理安全
物聯網設備應該在很少或沒有人為干預的情況下運行。有時,這些設備被安裝在偏遠的地方,在那里它們可能會停留數周或數月,而沒有人對它們進行物理檢查。這種情況使它們面臨被盜或物理篡改的嚴重危險,犯罪分子可以竊取設備或使用閃存驅動器來引入惡意軟件,這可能會使攻擊者獲得對敏感信息的訪問權限,它們還可能干擾物聯網設備的功能,導致其收集和轉發的任何數據都不可靠。
5. 僵尸網絡
2016年大規模的Mirai僵尸網絡DDoS攻擊是不安全物聯網設備造成潛在危險的一個標志。單個受感染的物聯網設備除了對其收集的數據造成影響以外,并不是重大威脅。然而,當集中控制的惡意軟件感染了成千上萬臺設備時,情況就不同了,如此多的流氓設備可能會對網站和網絡造成巨大破壞。物聯網設備更容易受到惡意僵尸網絡的攻擊,因為它們不太可能做到定期更新。物聯網驅動的僵尸網絡不僅會摧毀知名網站,而且還會危及電網、交通系統、水處理設施和制造工廠。
6. 失去隱私和機密
黑客、政府和商業競爭對手可以使用物聯網設備來監視和侵犯毫無戒心的個人和組織的隱私。此類第三方可在未經業主許可或知情的情況下訪問、泄露和使用敏感機密信息。在最基本層面上,有人可以接管一個安全攝像頭,并用它來監視目標的行為和習慣;在更大的工業規模上,黑客可以從多個物聯網設備中捕獲數據,并使用它來敲詐目標或將其出售給競爭對手。
7. 設備識別挑戰
在您開始規劃設備和網絡的安全性之前,你必須對要保護的東西有一個清晰的概念。當涉及日常計算機設備時,IT團隊已經在設備識別方面遇到困難。(來源:物聯之家網)考慮到設備類型、品牌、型號和版本的多樣性,識別物聯網設備要困難得多。
識別連接到網絡的物聯網設備僅僅只是一個開始,然后,您必須執行風險評估,以明確了解設備擁有哪些網絡權限以及這些權限是否有必要。最后,您必須在規劃的企業級滲透測試中包含這些設備。
總結
物聯網旨在為日常流程帶來效率,然而,物聯網仍然面臨著諸多安全和風險挑戰,而且未來還會出現更多。隨著物聯網設備多樣性的增加,安全挑戰的復雜性也隨之增加。為了獲得物聯網的好處,必須通過降低最大的物聯網風險來確保這些設備的安全性。
