物聯網是一把雙刃劍。雖然擁有一個帶有智能鎖的智能家居和一個可以自動煮沸早茶水的 Wi-Fi 水壺讓生活變得更加簡單，但它的價格可能比價格標簽上的價格要高得多。

在物聯網安全中，存在安全權衡，不幸的是，這些權衡弊大于利，幾乎讓您懷念電視沒有任何“智能”的日子！

讓我們看一些例子，在我們歡迎這項技術進入我們的家庭、行業和日常生活之前，讓我們明白安全的重要性。

物聯網安全：您的聯網設備如何使您容易受到攻擊

黑客可以從您網絡上最無害的設備進入您的網絡。網絡安全公司 Darktrace 的首席執行官妮可·伊根 （Nicole Eagan） 講述了在北美一家未命名的賭場發生的一起事件，攻擊者能夠訪問賭徒的高額賭徒數據庫。

他們通過利用智能溫度計中的低風險漏洞來做到這一點，該漏洞用于監測水族箱的溫度。

但這只是一個例子。在繼續討論物聯網設備安全性的指針之前，讓我們看一下物聯網安全漏洞的更多示例。

家用消費類智能設備

如果您已經閱讀了有關 Alexa 和 Google Home 智能助手中的安全漏洞如何被暴露為網絡釣魚和竊聽用戶的報告，那么我們只能說您擔心是對的。盡管亞馬遜和谷歌每次都采取反制措施，但他們繼續使用新技術來挫敗。

除此之外，還有三星的智能冰箱，其顯示屏旨在與用戶的Gmail日歷集成，這樣他們就可以在出門前看到自己的一天是什么樣子。除了，無論聽起來多么美妙，它都并不那么整潔。盡管部署了SSL來保護Gmail集成，但冰箱本身未能驗證SSL / TLS證書，從而為黑客進入同一網絡并竊取登錄憑據敞開了大門。

值得稱贊的是，三星在軟件更新中修復了該錯誤，但是當可靠的品牌遭到破壞時，這非常令人不安。它揭示了一個幾乎不可避免的事實，即功能通常優先于安全性，即使在應該更了解的公司中也是如此。更重要的是，在2015年，三星還警告我們他們打算如何在智能電視政策中收集和使用我們的數據：

“請注意，如果您的口語包含個人或其他敏感信息，則該信息將成為通過使用語音識別捕獲并傳輸給第三方的數據之一。”

不過，感謝上帝賜予蘋果，對吧？讓我們暫時保持這個想法。2019 年 2 月，在 Apple 的 FaceTime 應用程序中發現了一個嚴重的漏洞，該漏洞允許攻擊者在接受或拒絕來電之前訪問某人的 iPhone 攝像頭和麥克風。

隨著攻擊者找到巧妙的方法來逃避安全控制以竊取數據、造成損害或僅僅造成破壞，因此在安全方面犯錯是合理的。不過，如果你仍然喜歡智能家居，嗯......祝你好運？

物聯網設備用于 Mirai 等大型僵尸網絡

Mirai 是一種以物聯網為中心的惡意軟件，它會感染憑據較弱的設備，將它們變成一個由遠程控制的僵尸或機器人組成的網絡。盡管Mirai的原始創建者已被抓獲，但他們之前發布了該惡意軟件的源代碼（可能是為了混淆和分散當局的注意力），現在它有幾個突變。

僵尸網絡已被用于發起幾次 DDoS 攻擊，其中包括對羅格斯大學的攻擊和對 Dyn（為 Netflix、Twitter 等提供域名服務的公司）的攻擊。

植入式醫療器械

在技術領域，沒有什么是神圣的，也沒有任何東西可以逃脫網絡犯罪分子的控制。這包括醫療設備。

在 2018 年的 Black Hat 會議上，WhiteScope 的 Billy Rios 和 QED Secure Solutions 的 Jonathan Butts 展示了旨在挽救患者生命的醫療植入物如何被黑客遠程控制并操縱以造成不必要的傷害。這兩名安全研究人員展示了他們如何禁用胰島素泵并控制美敦力制造的起搏器設備系統。作為回應，美敦力最初將報告的漏洞視為“低風險”漏洞，沒有承認情況的嚴重性。即使在研究首次提交調查結果后 570 天，他們也拒絕解決問題！

我們可以花費數小時來推測如何使用遠程控制的物聯網設備網絡來摧毀電網（或用于配水站的SCADA系統，用于控制天然氣管道等），或者對嬰兒監視器被黑客入侵的想法感到不安。但可以肯定的是，物聯網將繼續存在。因此，如果我們要避免肆無忌憚的危機，制造商需要更加注意所涉及的安全風險（高級持續威脅 [APT] 是最危險的）。

最大的物聯網安全風險是什么？

雖然我們可能在這件事上沒有太多發言權，但我們可以在某種程度上通過采取一些安全措施來保護我們的設備來限制它對我們生活的控制。開放 Web 應用程序安全項目 （OWASP） 基金會是一個全球性的非營利組織，旨在提高人們對 Web 應用程序安全、移動安全等領域的安全風險的認識，以便個人和組織能夠做出明智的決策。

下表列出了 2014 年和 2018 年在智能設備中發現的 OWASP 十大物聯網漏洞：

為您的組織提供 IoT 安全的十大提示

如果您的智能設備配備了不可更改的憑據或任何類型的身份驗證/授權機制，請幫自己一個大忙，不要購買它！從OWASP 2018年十大物聯網漏洞列表中可以看出，不安全的生態系統（Web界面、云界面等）、數據安全和物理安全等幾個問題保留了2014年之前的前10名位置。這讓我們對物聯網設備安全的發展方向和速度有所了解。它還對物聯網安全解決方案的有效性和采用率提出了相關問題。

然而，由于物聯網正在成為我們日常生活中不可或缺的一部分，我們必須盡最大努力保護我們的連接設備、數據和網絡。這里有一些方法可以做到這一點。

1. 了解您的網絡及其上的連接設備

當您的設備連接到互聯網時，如果設備沒有得到充分保護，這些連接會使您的整個網絡容易受到攻擊，并容易受到攻擊者的攻擊。隨著越來越多的設備配備了 Web 界面，很容易忘記哪些設備可以通過線路訪問。為了保持安全，了解您的網絡至關重要——網絡上的設備以及它們容易泄露的信息類型（特別是如果它們的相應應用程序具有社交共享功能）。

網絡犯罪分子使用您的位置、您的個人詳細信息等信息來密切關注您——這可能會轉化為現實世界的危險。

2. 評估網絡上的 IoT 設備

一旦您知道哪些設備已連接到您的網絡，請審核您的設備以了解其安全性。物聯網安全可以通過及時安裝制造商網站的安全補丁和更新、檢查具有更強安全功能的新型號等來實現。此外，在購買之前，請仔細閱讀以了解該品牌的安全性是多么重要。問問自己：

• 其任何產品是否報告了導致違規的安全漏洞？
• 公司是否在向潛在客戶推銷產品時滿足網絡安全需求？
• 如何在他們的智能解決方案中實施安全控制？

3. 實施強密碼來保護您的所有設備和帳戶

使用不容易被猜到的強大、獨特的密碼來保護您的所有帳戶和設備。擺脫默認密碼或常見密碼，如“admin”或“password123”。如果需要，請使用密碼管理器來跟蹤您的所有密碼。確保您和您的員工不要在多個帳戶中使用相同的密碼，并確保定期更改它們。

這些步驟有助于防止您的所有帳戶遭到入侵，即使其中一個帳戶暴露了任何敏感的帳戶信息。除了密碼到期日期外，請務必對錯誤密碼嘗試的次數設置限制，并實施帳戶鎖定策略。

4. 為您的智能設備使用單獨的網絡

為您的智能設備使用獨立于家庭或商業網絡的網絡可能是實現物聯網安全的最具戰略性的方法之一。通過網絡分段，即使攻擊者找到了進入您的智能設備的方法，他們也無法訪問您的業務數據或嗅探您從個人筆記本電腦進行的銀行轉賬。

5. 重新配置默認設備設置

通常情況下，我們的許多智能設備都帶有不安全的默認設置。更糟糕的是，有時，您無法修改這些設備配置！弱默認憑據、侵入性功能和權限、開放端口等需要根據您的要求進行評估和重新配置。

6. 安裝防火墻和其他信譽良好的物聯網安全解決方案以識別漏洞

安裝防火墻以阻止未經授權的線路流量，并運行入侵檢測系統/入侵防御系統 （IDS/IPS） 以監控和分析網絡流量。您還可以使用自動漏洞掃描程序來發現網絡基礎架構中的安全漏洞。使用端口掃描器來識別打開的端口并查看正在運行的網絡服務。確定是否絕對需要這些端口，并檢查在其上運行的服務是否存在已知漏洞。

7. 使用強加密并避免通過不安全的網絡進行連接

如果您決定遠程檢查您的智能設備，切勿使用公共 Wi-Fi 網絡或未實施可靠加密協議的網絡進行檢查。確保您自己的網絡設置不會在 WEP 或 WPA 等過時的標準上運行，而是使用 WPA2。不安全的互聯網連接可能會使您的數據和設備暴露在攻擊者面前。盡管發現 WPA2 本身容易受到密鑰重新安裝攻擊 （KRACK） 的攻擊，并且 WPA3 容易受到 Dragonblood 攻擊，但安裝更新和補丁是前進的唯一途徑，接受最低級別的風險。

8. 在不使用設備和功能時斷開它們

查看應用程序權限并閱讀這些應用程序的隱私政策，以了解它們打算如何使用您共享的信息。禁用遠程訪問或語音控制等功能，除非您正在使用它們來實施更頑強的物聯網安全檢查。如果需要，您可以隨時啟用它們。當您不使用設備時，請考慮完全斷開它們與網絡的連接。

9. 關閉通用即插即用 （UPnP）

雖然通用即插即用旨在無縫聯網設備而無需配置麻煩，但由于 UPnP 協議中的漏洞，它還使這些相同的設備更容易被本地網絡外部的黑客發現。默認情況下，UPnP 在多個路由器上處于啟用狀態，因此請檢查您的設置并確保它已禁用，除非您愿意為了方便起見而犧牲安全性。

10. 通過實施物理安全來保護您的設備安全

盡量不要丟失您的手機，尤其是當它加載了控制您的物聯網設備的應用程序時！如果您這樣做，除了在您的設備上具有 PIN/密碼/生物識別保護外，請確保您有能力遠程擦除您的手機。設置自動備份或有選擇地備份您可能需要的任何設備數據

此外，限制您的智能設備的可訪問性。例如，您的冰箱需要 USB 端口嗎？提供對最小數量的端口的訪問權限，并在可行的情況下考慮沒有 Web 訪問（僅本地訪問）。

物聯網安全分析工具

除了前面討論的物聯網安全解決方案外，還有一些其他工具可用于更好地了解和控制您的網絡。Wireshark 和 tcpdump（命令行實用程序）是兩個開源工具，可用于監控和分析網絡流量。Wireshark 更加人性化，因為它帶有 GUI 并具有各種排序和過濾選項。

Shodan、Censys、Thingful 和 ZoomEye 是可用于物聯網設備的工具（如搜索引擎）。對于新用戶來說，ZoomEye 可能是最容易弄清楚的一種，因為當您單擊過濾器時，搜索查詢會自動生成。

ByteSweep 是一個面向設備制造商的免費安全分析平臺，是測試人員可以在任何產品發貨前用來運行檢查的另一種工具。

物聯網安全概要

無論風險如何，物聯網技術都具有巨大的潛力，這是不言而喻的。物聯網的連通性已被證明可用于解決各種設置和任務的問題。當公司急于采用最“符合”的東西，并且急于成為領導者時，問題就出現了，他們要么完全忽略了潛在的安全風險，要么沒有足夠認真地對待它。

在開發安全可靠的產品方面做出更一致和真誠的努力，提高客戶的意識，并在發布設備之前進行嚴格的測試，可以在很大程度上解決許多目前更多是疏忽而不是缺乏技能的問題。