物聯(lián)網(wǎng)還面臨著哪些安全和風(fēng)險(xiǎn)挑戰(zhàn)
2016年10月,有史以來最復(fù)雜和最具破壞性的網(wǎng)絡(luò)攻擊之一摧毀了Twitter等主要網(wǎng)站,同時(shí)大大惡化了其他多個(gè)知名網(wǎng)站的用戶體驗(yàn),包括PayPal、Spotify、CNN、Mashable、Yelp、華爾街日報(bào)和紐約時(shí)報(bào)。這種分布式拒絕服務(wù)攻擊(DDOS)的規(guī)模非常驚人,這要?dú)w功于來自數(shù)十萬個(gè)獨(dú)特互聯(lián)網(wǎng)地址的巨大流量。原來,一名黑客發(fā)現(xiàn)了某種型號(hào)安全攝像頭的漏洞。通過接管這些攝像頭,攻擊者可以將大量流量引導(dǎo)到目標(biāo)網(wǎng)站,這使得合法用戶無法訪問這些網(wǎng)站。毫無疑問,物聯(lián)網(wǎng)有許多好處。然而,這次攻擊是一個(gè)典型的例子,說明物聯(lián)網(wǎng)在惡意者手中是一種極具破壞性的武器。這并不是說只有攝像頭可以被劫持,從汽車、冰箱到恒溫器和智能鎖,任何與網(wǎng)絡(luò)連接的東西都是黑客的誘人目標(biāo)。
互聯(lián)網(wǎng)不再只是一個(gè)由服務(wù)器、路由器、交換機(jī)、臺(tái)式電腦、筆記本電腦、平板電腦和智能手機(jī)等傳統(tǒng)計(jì)算設(shè)備組成的網(wǎng)絡(luò)。事實(shí)上,預(yù)計(jì)物聯(lián)網(wǎng)設(shè)備的數(shù)量最終將遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的計(jì)算設(shè)備。從傳達(dá)食物新鮮度更新的冰箱,到向車主傳輸油位信息的汽車,物聯(lián)網(wǎng)在許多方面都代表著便利性,然而,正如一些與物聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)攻擊所顯示的那樣,它也帶來了不可忽視的巨大風(fēng)險(xiǎn)。下面我們將介紹一些最大的物聯(lián)網(wǎng)風(fēng)險(xiǎn)。
1、物聯(lián)網(wǎng)設(shè)備制造過程
制造商每天都向市場發(fā)布無數(shù)的物聯(lián)網(wǎng)設(shè)備,其中許多都是新型號(hào),并且具有未發(fā)現(xiàn)的漏洞。制造商疏忽是困擾物聯(lián)網(wǎng)設(shè)備絕大多數(shù)安全問題的原因所在。許多設(shè)備制造商將網(wǎng)絡(luò)連接視為其設(shè)備功能的一個(gè)優(yōu)勢,而不是核心功能。因此,他們并沒有投入應(yīng)有的時(shí)間和資源來確保其產(chǎn)品免受網(wǎng)絡(luò)攻擊。
例如,一些具有藍(lán)牙連接功能的健身追蹤器在啟動(dòng)配對后,任何人都可以連接到該設(shè)備而無需身份驗(yàn)證;一些智能冰箱會(huì)暴露郵箱登錄憑證。沒有一個(gè)通用的標(biāo)準(zhǔn)來保護(hù)物聯(lián)網(wǎng)設(shè)備。然而,這并不是制造安全性差設(shè)備的合理理由。制造過程中產(chǎn)生的最大物聯(lián)網(wǎng)風(fēng)險(xiǎn)包括密碼安全性不足、硬件不安全、缺少補(bǔ)丁機(jī)制以及不安全的數(shù)據(jù)存儲(chǔ)。
2、用戶缺乏意識(shí)和知識(shí)
由于幾十年的認(rèn)知,普通互聯(lián)網(wǎng)用戶相當(dāng)擅長于避免網(wǎng)絡(luò)釣魚郵件、忽略可疑附件、在計(jì)算機(jī)上運(yùn)行病毒掃描或創(chuàng)建強(qiáng)密碼。但是物聯(lián)網(wǎng)是一個(gè)新領(lǐng)域,即使對許多經(jīng)驗(yàn)豐富的IT專業(yè)人員來說,它仍然是陌生和被誤解的。
盡管大多數(shù)最大的物聯(lián)網(wǎng)風(fēng)險(xiǎn)可以追溯到制造過程,但用戶是物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的更危險(xiǎn)驅(qū)動(dòng)因素,尤其是當(dāng)用戶不了解物聯(lián)網(wǎng)功能時(shí)。“欺騙手段”通常是在不引起懷疑的情況下侵入到受限網(wǎng)絡(luò)的最簡單方法,而黑客可以使用物聯(lián)網(wǎng)設(shè)備來做到這一點(diǎn)。
2010年對伊朗核設(shè)施的震網(wǎng)蠕蟲攻擊是由離心機(jī)控制軟件通過插入工廠計(jì)算機(jī)上的U盤感染引起的?,F(xiàn)代離心機(jī)是一種物聯(lián)網(wǎng)設(shè)備,因?yàn)樗鼈儑?yán)重依賴信息技術(shù)。一些報(bào)告估計(jì)震網(wǎng)實(shí)際損壞了大約1000臺(tái)離心機(jī)。
3、補(bǔ)丁和更新管理困難
無論制造商為其物聯(lián)網(wǎng)產(chǎn)品在創(chuàng)建安全硬件和軟件方面做了多少工作,在未來的某個(gè)時(shí)刻都不可避免地會(huì)發(fā)現(xiàn)新的漏洞,因此,需要更新以確保物聯(lián)網(wǎng)設(shè)備的安全性。然而,物聯(lián)網(wǎng)設(shè)備的性質(zhì)和用途決定了它們并不總是易于定期更新——如果有的話。
想想遍布數(shù)百畝農(nóng)田的傳感器,或是工廠車間的物聯(lián)網(wǎng)設(shè)備,它們無法在不影響生產(chǎn)的情況下離線更新。更糟糕的是,即使可以定期更新補(bǔ)丁,如果更新導(dǎo)致軟件損壞或不穩(wěn)定,用戶通常也無法將更新回滾到最后已知的良好狀態(tài)。
4、物理安全
物聯(lián)網(wǎng)設(shè)備應(yīng)該在很少或沒有人為干預(yù)的情況下運(yùn)行。有時(shí),這些設(shè)備被安裝在偏遠(yuǎn)的地方,在那里它們可能會(huì)停留數(shù)周或數(shù)月,而沒有人對它們進(jìn)行物理檢查。這種情況使它們面臨被盜或物理篡改的嚴(yán)重危險(xiǎn),犯罪分子可以竊取設(shè)備或使用閃存驅(qū)動(dòng)器來引入惡意軟件,這可能會(huì)使攻擊者獲得對敏感信息的訪問權(quán)限,它們還可能干擾物聯(lián)網(wǎng)設(shè)備的功能,導(dǎo)致其收集和轉(zhuǎn)發(fā)的任何數(shù)據(jù)都不可靠。
5、僵尸網(wǎng)絡(luò)
2016年大規(guī)模的Mirai僵尸網(wǎng)絡(luò)DDoS攻擊是不安全物聯(lián)網(wǎng)設(shè)備造成潛在危險(xiǎn)的一個(gè)標(biāo)志。單個(gè)受感染的物聯(lián)網(wǎng)設(shè)備除了對其收集的數(shù)據(jù)造成影響以外,并不是重大威脅。然而,當(dāng)集中控制的惡意軟件感染了成千上萬臺(tái)設(shè)備時(shí),情況就不同了,如此多的流氓設(shè)備可能會(huì)對網(wǎng)站和網(wǎng)絡(luò)造成巨大破壞。物聯(lián)網(wǎng)設(shè)備更容易受到惡意僵尸網(wǎng)絡(luò)的攻擊,因?yàn)樗鼈儾惶赡茏龅蕉ㄆ诟?。物?lián)網(wǎng)驅(qū)動(dòng)的僵尸網(wǎng)絡(luò)不僅會(huì)摧毀知名網(wǎng)站,而且還會(huì)危及電網(wǎng)、交通系統(tǒng)、水處理設(shè)施和制造工廠。
6、失去隱私和機(jī)密
黑客、政府和商業(yè)競爭對手可以使用物聯(lián)網(wǎng)設(shè)備來監(jiān)視和侵犯毫無戒心的個(gè)人和組織的隱私。此類第三方可在未經(jīng)業(yè)主許可或知情的情況下訪問、泄露和使用敏感機(jī)密信息。在最基本層面上,有人可以接管一個(gè)安全攝像頭,并用它來監(jiān)視目標(biāo)的行為和習(xí)慣;在更大的工業(yè)規(guī)模上,黑客可以從多個(gè)物聯(lián)網(wǎng)設(shè)備中捕獲數(shù)據(jù),并使用它來敲詐目標(biāo)或?qū)⑵涑鍪劢o競爭對手。
7、設(shè)備識(shí)別挑戰(zhàn)
在您開始規(guī)劃設(shè)備和網(wǎng)絡(luò)的安全性之前,你必須對要保護(hù)的東西有一個(gè)清晰的概念。當(dāng)涉及日常計(jì)算機(jī)設(shè)備時(shí),IT團(tuán)隊(duì)已經(jīng)在設(shè)備識(shí)別方面遇到困難??紤]到設(shè)備類型、品牌、型號(hào)和版本的多樣性,識(shí)別物聯(lián)網(wǎng)設(shè)備要困難得多。
識(shí)別連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備僅僅只是一個(gè)開始,然后,您必須執(zhí)行風(fēng)險(xiǎn)評(píng)估,以明確了解設(shè)備擁有哪些網(wǎng)絡(luò)權(quán)限以及這些權(quán)限是否有必要。最后,您必須在規(guī)劃的企業(yè)級(jí)滲透測試中包含這些設(shè)備。
總結(jié)
物聯(lián)網(wǎng)旨在為日常流程帶來效率,然而,物聯(lián)網(wǎng)仍然面臨著諸多安全和風(fēng)險(xiǎn)挑戰(zhàn),而且未來還會(huì)出現(xiàn)更多。隨著物聯(lián)網(wǎng)設(shè)備多樣性的增加,安全挑戰(zhàn)的復(fù)雜性也隨之增加。為了獲得物聯(lián)網(wǎng)的好處,必須通過降低最大的物聯(lián)網(wǎng)風(fēng)險(xiǎn)來確保這些設(shè)備的安全性。