2016年10月,有史以来最复杂和最具破坏性的网络攻击之一摧毁了Twitter等主要网站,同时大大恶化了其他多个知名网站的用户体验,包括PayPal、Spotify、CNN、Mashable、Yelp、华尔街日报和纽约时报。这种分布式拒绝服务攻击(DDOS)的规模非常惊人,这要归功于来自数十万个独特互联网地址的巨大流量。原来,一名黑客发现了某种型号安全摄像头的漏洞。通过接管这些摄像头,攻击者可以将大量流量引导到目标网站,这使得合法用户无法访问这些网站。毫无疑问,物联网有许多好处。然而,这次攻击是一个典型的例子,说明物联网在恶意者手中是一种极具破坏性的武器。这并不是说只有摄像头可以被劫持,从汽车、冰箱到恒温器和智能锁,任何与网络连接的东西都是黑客的诱人目标。
互联网不再只是一个由服务器、路由器、交换机、台式电脑、笔记本电脑、平板电脑和智能手机等传统计算设备组成的网络。事实上,预计物联网设备的数量最终将远远超过传统的计算设备。从传达食物新鲜度更新的冰箱,到向车主传输油位信息的汽车,物联网在许多方面都代表着便利性,然而,正如一些与物联网相关的网络攻击所显示的那样,它也带来了不可忽视的巨大风险。下面我们将介绍一些最大的物联网风险。
1. 物联网设备制造过程
制造商每天都向市场发布无数的物联网设备,其中许多都是新型号,并且具有未发现的漏洞。制造商疏忽是困扰物联网设备绝大多数安全问题的原因所在。许多设备制造商将网络连接视为其设备功能的一个优势,而不是核心功能。因此,他们并没有投入应有的时间和资源来确保其产品免受网络攻击。
例如,一些具有蓝牙连接功能的健身追踪器在启动配对后,任何人都可以连接到该设备而无需身份验证;一些智能冰箱会暴露邮箱登录凭证。没有一个通用的标准来保护物联网设备。然而,这并不是制造安全性差设备的合理理由。制造过程中产生的最大物联网风险包括密码安全性不足、硬件不安全、缺少补丁机制以及不安全的数据存储。
2. 用户缺乏意识和知识
由于几十年的认知,普通互联网用户相当擅长于避免网络钓鱼邮件、忽略可疑附件、在计算机上运行病毒扫描或创建强密码。但是物联网是一个新领域,即使对许多经验丰富的IT专业人员来说,它仍然是陌生和被误解的。
尽管大多数最大的物联网风险可以追溯到制造过程,但用户是物联网安全风险的更危险驱动因素,尤其是当用户不了解物联网功能时。“欺骗手段”通常是在不引起怀疑的情况下侵入到受限网络的最简单方法,而黑客可以使用物联网设备来做到这一点。
2010年对伊朗核设施的震网蠕虫攻击是由离心机控制软件通过插入工厂计算机上的U盘感染引起的。现代离心机是一种物联网设备,因为它们严重依赖信息技术。一些报告估计震网实际损坏了大约1000台离心机。
3. 补丁和更新管理困难
无论制造商为其物联网产品在创建安全硬件和软件方面做了多少工作,在未来的某个时刻都不可避免地会发现新的漏洞,因此,需要更新以确保物联网设备的安全性。然而,物联网设备的性质和用途决定了它们并不总是易于定期更新——如果有的话。
想想遍布数百亩农田的传感器,或是工厂车间的物联网设备,它们无法在不影响生产的情况下离线更新。更糟糕的是,即使可以定期更新补丁,如果更新导致软件损坏或不稳定,用户通常也无法将更新回滚到最后已知的良好状态。
4. 物理安全
物联网设备应该在很少或没有人为干预的情况下运行。有时,这些设备被安装在偏远的地方,在那里它们可能会停留数周或数月,而没有人对它们进行物理检查。这种情况使它们面临被盗或物理篡改的严重危险,犯罪分子可以窃取设备或使用闪存驱动器来引入恶意软件,这可能会使攻击者获得对敏感信息的访问权限,它们还可能干扰物联网设备的功能,导致其收集和转发的任何数据都不可靠。
5. 僵尸网络
2016年大规模的Mirai僵尸网络DDoS攻击是不安全物联网设备造成潜在危险的一个标志。单个受感染的物联网设备除了对其收集的数据造成影响以外,并不是重大威胁。然而,当集中控制的恶意软件感染了成千上万台设备时,情况就不同了,如此多的流氓设备可能会对网站和网络造成巨大破坏。物联网设备更容易受到恶意僵尸网络的攻击,因为它们不太可能做到定期更新。物联网驱动的僵尸网络不仅会摧毁知名网站,而且还会危及电网、交通系统、水处理设施和制造工厂。
6. 失去隐私和机密
黑客、政府和商业竞争对手可以使用物联网设备来监视和侵犯毫无戒心的个人和组织的隐私。此类第三方可在未经业主许可或知情的情况下访问、泄露和使用敏感机密信息。在最基本层面上,有人可以接管一个安全摄像头,并用它来监视目标的行为和习惯;在更大的工业规模上,黑客可以从多个物联网设备中捕获数据,并使用它来敲诈目标或将其出售给竞争对手。
7. 设备识别挑战
在您开始规划设备和网络的安全性之前,你必须对要保护的东西有一个清晰的概念。当涉及日常计算机设备时,IT团队已经在设备识别方面遇到困难。考虑到设备类型、品牌、型号和版本的多样性,识别物联网设备要困难得多。
识别连接到网络的物联网设备仅仅只是一个开始,然后,您必须执行风险评估,以明确了解设备拥有哪些网络权限以及这些权限是否有必要。最后,您必须在规划的企业级渗透测试中包含这些设备。
总结
物联网旨在为日常流程带来效率,然而,物联网仍然面临着诸多安全和风险挑战,而且未来还会出现更多。随着物联网设备多样性的增加,安全挑战的复杂性也随之增加。为了获得物联网的好处,必须通过降低最大的物联网风险来确保这些设备的安全性。
