如今���,全球各地使用的連接設(shè)備已經(jīng)高達(dá)數(shù)十億臺(tái)���,并且這個(gè)數(shù)字每年都在不斷增加。不幸的是�����,現(xiàn)存的這些物聯(lián)網(wǎng)設(shè)備�����,以及目前正在開(kāi)發(fā)和部署的許多物聯(lián)網(wǎng)設(shè)備都缺乏關(guān)鍵的安全功能,這使得它們很容易成為黑客和僵尸網(wǎng)絡(luò)的目標(biāo)���。如果沒(méi)有適當(dāng)?shù)陌踩胧?����,這些物聯(lián)網(wǎng)設(shè)備可能會(huì)導(dǎo)致災(zāi)難性事件��。
數(shù)據(jù)盜竊
一旦設(shè)備遭到破壞���,網(wǎng)絡(luò)攻擊者就可以竊取存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備上的數(shù)據(jù),其中可能包含個(gè)人信息���、密碼��,甚至***信息�����。更糟糕的是��,在某些情況下��,黑客還會(huì)使用物聯(lián)網(wǎng)設(shè)備來(lái)收集數(shù)據(jù)����。帶有麥克風(fēng)和攝像頭的智能電視可以變成監(jiān)聽(tīng)設(shè)備�����,以收集其中的音頻和視頻信息����。該設(shè)備可以嗅探網(wǎng)絡(luò)流量并將其泄漏以進(jìn)行脫機(jī)分析,并繪制網(wǎng)絡(luò)布局圖�����,從而找到其他攻擊目標(biāo)��。
數(shù)據(jù)損壞
許多物聯(lián)網(wǎng)設(shè)備從各種傳感器中收集數(shù)據(jù)��。然后����,它們會(huì)將收集到的數(shù)據(jù)傳輸?shù)皆朴?jì)算系統(tǒng)進(jìn)行分析,并將其輸入到各種業(yè)務(wù)系統(tǒng)中����。如果物聯(lián)網(wǎng)設(shè)備被黑客攻陷���,那么該設(shè)備產(chǎn)生的數(shù)據(jù)將無(wú)法被信任。此外�����,許多物聯(lián)網(wǎng)設(shè)備缺乏強(qiáng)大的身份驗(yàn)證機(jī)制��。從這些設(shè)備收集數(shù)據(jù)的云計(jì)算系統(tǒng)無(wú)法信任它們正在從真實(shí)設(shè)備中接收數(shù)據(jù)�����。黑客可以輕松創(chuàng)建克隆或欺騙設(shè)備����,以將不良數(shù)據(jù)反饋到云計(jì)算系統(tǒng),從而破壞相關(guān)的業(yè)務(wù)流程�����。
竊取網(wǎng)絡(luò)憑證
黑客已經(jīng)能夠從幾乎所有智能設(shè)備中提取Wi-Fi密碼���,包括燈泡���、門(mén)鎖��、門(mén)鈴�����、**監(jiān)視器��,甚至是玩具。一旦黑客入侵了這些物聯(lián)網(wǎng)設(shè)備���,就可以將其用作網(wǎng)絡(luò)攻擊和提取網(wǎng)絡(luò)數(shù)據(jù)的入口���。例如,在2017年��,黑客通過(guò)具有Wi-Fi功能的魚(yú)缸從一個(gè)賭場(chǎng)竊取了10 GB的****�����。
拒絕服務(wù)攻擊(DoS)
具有靜態(tài)或默認(rèn)憑據(jù)的物聯(lián)網(wǎng)設(shè)備使大型物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)數(shù)量得以激增���。Mirai僵尸網(wǎng)絡(luò)(物聯(lián)網(wǎng)設(shè)備僵尸網(wǎng)絡(luò)的“杰出代表”)感染了數(shù)百萬(wàn)個(gè)物聯(lián)網(wǎng)設(shè)備��,并被用來(lái)針對(duì)包括域名系統(tǒng)提供商DYN公司在內(nèi)的多個(gè)目標(biāo)發(fā)起大規(guī)模的��、組織有序的拒絕服務(wù)攻擊����,從而導(dǎo)致歐洲和北美地區(qū)的大規(guī)模互聯(lián)網(wǎng)癱瘓���。Mirai僵尸網(wǎng)絡(luò)掃描了互聯(lián)網(wǎng)的大量?jī)?nèi)容���,以尋找開(kāi)放的Telnet端口,然后嘗試使用已知的默認(rèn)用戶名/密碼組合列表進(jìn)行登錄����。這使其能夠聚集60多萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備,用于淹沒(méi)包括DYN公司在內(nèi)的目標(biāo)企業(yè)���,并發(fā)出大量請(qǐng)求致使眾多服務(wù)器宕機(jī)��。
物理攻擊
在許多情況下�����,物聯(lián)網(wǎng)設(shè)備控制著制造業(yè)���、醫(yī)療保健�����、運(yùn)輸和其他關(guān)鍵基礎(chǔ)設(shè)施中的關(guān)鍵系統(tǒng)�����。過(guò)去�����,針對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行物理攻擊的例子包括,對(duì)德國(guó)一家鋼鐵廠的控制系統(tǒng)的攻擊導(dǎo)致高爐受損;對(duì)美國(guó)和烏克蘭電網(wǎng)的攻擊;對(duì)飛機(jī)控制系統(tǒng)的網(wǎng)絡(luò)攻擊��,以及可以遠(yuǎn)程控制切諾基吉普車(chē)駛離路面的安全研究等等�����。
數(shù)據(jù)中心的各個(gè)控制系統(tǒng)���,包括電源��、暖通空調(diào)系統(tǒng)(HVAC)和建筑安全系統(tǒng)都容易受到網(wǎng)絡(luò)攻擊���。而針對(duì)這些系統(tǒng)的攻擊可以直接影響數(shù)據(jù)中心和基于云計(jì)算的計(jì)算操作����。
物聯(lián)網(wǎng)設(shè)備中的漏洞
急于將新的物聯(lián)網(wǎng)設(shè)備推向市場(chǎng)導(dǎo)致了眾多設(shè)計(jì)漏洞�����,例如使用硬編碼密碼���、不需要用戶身份驗(yàn)證的控制界面�����,以及明文發(fā)送敏感信息的通信協(xié)議�����。這種設(shè)計(jì)漏洞會(huì)導(dǎo)致設(shè)備缺乏安全啟動(dòng)功能或經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程固件更新����。
現(xiàn)代家庭一般都擁有數(shù)十種或更多與云連接的設(shè)備��,每一種設(shè)備都有可能被感染并被用作針對(duì)網(wǎng)絡(luò)��、企業(yè)和組織的攻擊機(jī)器人。
制造商必須著手解決這些安全漏洞��,首先評(píng)估其設(shè)備的漏洞�����,確定要采取的防護(hù)措施���,然后確定所需的安全功能���。
安全能力
在物聯(lián)網(wǎng)設(shè)備中添加一些基本的安全功能,可以大大降低遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)��。這些功能可以在設(shè)計(jì)階段內(nèi)置���,以確保跨多個(gè)用例的設(shè)備的身份安全和完整性���,這些用例可能包括工業(yè)物聯(lián)網(wǎng)(IIoT)����、汽車(chē)��、航空��、智能城市、能源���、醫(yī)療等�����。
安全啟動(dòng)(Secure boot)
安全啟動(dòng)利用密碼代碼簽名技術(shù)����,確保設(shè)備僅執(zhí)行原始設(shè)備制造商(OEM)或其他受信方產(chǎn)生的代碼�����。其設(shè)計(jì)之初作用是防止惡意軟件侵入�����,當(dāng)電腦引導(dǎo)器被病毒修改之后��,它會(huì)給出提醒并拒絕啟動(dòng)���,避免可能帶來(lái)的進(jìn)一步損失���。安全啟動(dòng)技術(shù)的使用可防止黑客用惡意版本替換固件�����,從而阻止各種攻擊����。
安全的遠(yuǎn)程固件更新
安全更新可確保設(shè)備可以更新�����,但只能使用原始設(shè)備制造商(OEM)設(shè)備或其他受信任方的固件進(jìn)行更新���。與安全啟動(dòng)一樣���,安全的固件更新可確保設(shè)備始終運(yùn)行受信任的代碼,并阻止任何利用設(shè)備的固件更新過(guò)程的嘗試���。
安全通信
TLS、DTLS和IPSec等安全協(xié)議的使用為物聯(lián)網(wǎng)設(shè)備增加了身份驗(yàn)證和動(dòng)態(tài)數(shù)據(jù)保護(hù)功能���。由于不以明文形式發(fā)送關(guān)鍵數(shù)據(jù)����,黑客很難竊聽(tīng)通信并獲得密碼、設(shè)備配置或其他敏感信息����。
嵌入式防火墻
嵌入式防火墻提供基于規(guī)則的過(guò)濾和入侵檢測(cè)功能。狀態(tài)數(shù)據(jù)包檢查(SPI)通過(guò)將防火墻技術(shù)直接內(nèi)置到設(shè)備中來(lái)保護(hù)設(shè)備免受攻擊���。嵌入式防火墻可以查看來(lái)自Web或家庭網(wǎng)絡(luò)的傳入消息�����,并通過(guò)內(nèi)置且定期更新的黑名單來(lái)拒絕以前未批準(zhǔn)的任何消息�����。狀態(tài)數(shù)據(jù)包檢查(SPI)過(guò)濾會(huì)拒絕嘗試?yán)肨CP協(xié)議中的弱點(diǎn)作為拒絕服務(wù)攻擊一部分的數(shù)據(jù)包����。
安全元素或TPM集成
原始設(shè)備制造商(OEM)和醫(yī)療設(shè)備制造商應(yīng)該使用安全元素����,例如受信任的平臺(tái)模塊(TPM)兼容的安全元素,或用于安全密鑰存儲(chǔ)的嵌入式安全元素����。安全密鑰存儲(chǔ)使用在安全元素中生成的密鑰對(duì)來(lái)實(shí)現(xiàn)安全啟動(dòng)和公共密鑰基礎(chǔ)架構(gòu)(PKI)的注冊(cè)�����,從而提供很高級(jí)別的防護(hù)功能�����,免受攻擊影響����。
數(shù)據(jù)保護(hù)
當(dāng)數(shù)據(jù)跨網(wǎng)絡(luò)傳輸時(shí)�����,安全協(xié)議可以為數(shù)據(jù)提供保護(hù)�����,但是當(dāng)數(shù)據(jù)存儲(chǔ)在設(shè)備上時(shí)����,安全協(xié)議則不保護(hù)數(shù)據(jù)。大型數(shù)據(jù)泄露通常是由于從被盜或廢棄設(shè)備中恢復(fù)的數(shù)據(jù)造成的����。對(duì)存儲(chǔ)在設(shè)備上的所有敏感數(shù)據(jù)進(jìn)行加密,可在設(shè)備被丟棄�����、被盜或未經(jīng)授權(quán)的一方訪問(wèn)時(shí)提供保護(hù)�����。例如�����,大多數(shù)辦公室��、企業(yè)和個(gè)人打印機(jī)內(nèi)部都有一個(gè)可以存儲(chǔ)數(shù)千個(gè)文檔的硬盤(pán)��。
基于證書(shū)的身份驗(yàn)證
可以在制造期間將設(shè)備***書(shū)注入設(shè)備中��,以便在安裝到網(wǎng)絡(luò)上以及與系統(tǒng)中的其他設(shè)備進(jìn)行通信之前對(duì)它們進(jìn)行身份驗(yàn)證���。
物聯(lián)網(wǎng)用戶因素
作為物聯(lián)網(wǎng)設(shè)備的用戶����,確保安全性的工作量很少。消費(fèi)者不太可能知道所連接的設(shè)備是否安全�����,因此他們幾乎沒(méi)有能力改變他們的購(gòu)買(mǎi)選擇���。但是�����,當(dāng)其產(chǎn)品提供內(nèi)置安全性時(shí)��,用戶必須啟用適當(dāng)級(jí)別的安全性���,刪除默認(rèn)密碼,并設(shè)置更強(qiáng)的密碼����。
歸根結(jié)底,物聯(lián)網(wǎng)安全的責(zé)任在很大程度上落在企業(yè)身上��,這些企業(yè)只需購(gòu)買(mǎi)安全級(jí)別很高的設(shè)備��,就可以獲取理想的投資回報(bào)率��。
如果可以單獨(dú)或以任何組合方式使用安全啟動(dòng)、防火墻或入侵檢測(cè)��,則可以將受到感染并用作Mirai僵尸網(wǎng)絡(luò)感染中僵尸程序的攝像頭免受這種攻擊���。
通過(guò)添加一些基本功能,可以顯著提高任何物聯(lián)網(wǎng)設(shè)備的安全性����。通過(guò)保護(hù)物聯(lián)網(wǎng)邊緣設(shè)備(需要連接到云平臺(tái)以提供有價(jià)值的服務(wù)和功能的端點(diǎn)),也可以保護(hù)它們所支持的數(shù)據(jù)中心和云平臺(tái)����。
