物联网是一把双刃剑。虽然拥有智能家居和自动煮水的 Wi-Fi 水壶使生活简单得多,但价格可能会比价格标签的价格高出很多。在 IoT 安全中,有安全权衡,不幸的是,这些可以弊大于利,几乎让你错过那些没有”智能”的电视的日子!

让我们先看一些例子,在欢迎这项技术进入我们的家庭、行业和日常生活中之前,将安全的重要性带回家。

IoT 安全性:连接的设备如何使您易受攻击

IoT

黑客可以从您网络上的最无害设备进入您的网络。网络安全公司Darktrace的首席执行官妮可·伊根(Nicole Eagan)讲述了北美一家未透露姓名的赌场发生的一起事件,当时攻击者能够访问赌徒的高辊数据库。他们利用智能温度计中的低风险漏洞来监测水族馆的温度。

但这只是一个例子。在继续使用 IoT 设备安全性上的指针之前,让我们再看一些 IoT 安全漏洞的示例。

家庭消费智能设备

如果您已经阅读了有关 Alexa 和 Google Home 智能助手中的安全漏洞如何被暴露为网络钓鱼和对用户的窃听的报告,让我们说您担心是对的。尽管亚马逊和谷歌每次都采取对策,但它们继续被使用较新的技术挫败。

除此之外,还有三星的智能冰箱,其显示器被设计成与用户的Gmail日历集成,这样他们才能在走出家门之前看到他们的一天是什么样子即使部署了 SSL 来保护 Gmail 集成,冰箱本身也未能验证 SSL/TLS 证书,让黑客无法进入同一网络并窃取登录凭据。

值得称道的是,三星在软件更新中修复了这个错误,但是当可信的品牌被攻破时,这相当令人不安。它揭示了一个几乎不可避免的事实,即功能往往优先于安全性,即使在那些应该更了解的公司也是如此。此外,在 2015 年,三星还警告我们他们打算如何在智能电视政策中收集和使用我们的数据:

请注意,如果您的口语包含个人或其他敏感信息,则该信息将包含在通过您使用语音识别捕获并传输到第三方的数据中。

感谢上帝感谢苹果,对吧?让我们抓住那个想法片刻。2019 年 2 月,在 Apple 的 FaceTime 应用程序中发现了一个严重错误,允许攻击者在接受或拒绝来电之前访问某人的 iPhone 摄像头和麦克风

攻击者找到巧妙的方法来逃避安全控制以窃取数据、造成损坏或只是造成破坏,因此在安全方面犯错是合理的。不过,如果你仍然喜欢一个聪明的家,嗯…祝你好运?

IoT 设备用于像 Mirai 这样的大型僵尸网络

Mirai 是一种以 IoT 为中心的恶意软件,使用弱凭据感染设备,将其转变为远程控制的僵尸或机器人网络。尽管 Mirai 的原始创建者已被捕获,但他们以前发布了恶意软件的源代码(可能是为了迷惑和分散权威的注意力),现在它有几个突变。

僵尸网络已经被用来发起几次DDoS攻击与攻击罗格斯大学和Dyn(该公司提供域名服务,如Netflix,Twitter等)。

植入式医疗设备

在技术方面,没有什么是神圣的,也不是从网络罪犯的魔爪中幸免于难的。这包括医疗设备。

在2018年的黑帽会议上,WhiteScope的比利·里奥斯和QED安全解决方案的乔纳森·布茨展示了旨在挽救患者生命的医疗植入物如何被黑客远程控制,并加以操纵,造成不必要的伤害。两位安全研究人员展示了他们如何禁用胰岛素泵并控制美敦力最初将所报告的漏洞视为”低风险”漏洞,但不承认情况的严重性。甚至在研究首次提交调查结果570天后,他们仍拒绝解决这个问题!

我们可以花几个小时来猜测如何利用远程控制的物联网设备网络来关闭电网(或供水站中使用的SCADA系统,控制天然气管道等),或者对婴儿监视器被黑客攻击的想法感到不自在。但可以肯定的是,物联网将留在这里。因此,如果我们要避免无节制危机,制造商需要更加注意所涉及的安全风险(高级持续威胁[APT]是最危险的)。

最大的 IoT 安全风险是什么?

虽然我们对此事可能没有多大发言权,但在某种程度上,我们可以采取一些安全措施来保护我们的设备,从而限制其对生命的控制。开放 Web 应用程序安全项目 (OWASP)基金会是一个全球性的非营利组织,它旨在提高 Web 应用程序安全、移动安全等域的安全风险意识,以便个人和组织能够做出明智的决策。

下表列出了2014 年和 2018 年在智能设备中发现的OWASP 前 10 大 IoT 漏洞

前十名 2014 年物联网前十名 2018 年物联网前十名
1 不安全的 Web 界面 弱密码、可猜测密码或硬编码密码
2 身份验证/授权不足 不安全的网络服务
3 不安全的网络服务 不安全的生态系统接口
4 缺乏传输加密/完整性验证 缺乏安全更新机制
5 隐私问题 使用不安全或过时的组件 (NEW)
6 不安全的云接口 隐私保护不足
7 不安全的移动接口 不安全的数据传输和存储
8 安全可配置性不足 缺乏设备管理
9 不安全的软件/固件 不安全的默认设置(新)
10 物理安全性差 缺乏物理硬化

组织物联网安全十大提示

如果您的智能设备配备了不可更改的凭据或任何类型的

然而,由于物联网正在成为我们日常生活不可或缺的一部分,我们必须尽最大努力保护我们的互联设备、数据和网络。以下是一些可以做到这一点的方法。

1. 了解您的网络和设备上的连接设备

当您的设备连接到互联网时,这些连接会使整个网络易受攻击,如果设备没有得到充分保护,则对攻击者开放。随着越来越多的设备配备了 Web 界面,很容易丢失跟踪哪些设备可以通过线访问。为了保持安全,必须了解您的网络 – 网络上的设备以及它们容易泄露的信息类型(特别是如果其相应的应用附带社交共享功能)。

网络犯罪分子使用您的位置、您的个人信息等信息来监视您,这可能会转化为真实世界的危险。

2. 评估网络上的物联网设备

了解哪些设备已连接到您的网络后,审核您的设备以了解其安全性。通过及时从制造商的网站安装安全修补程序和更新、检查具有更强安全功能的较新型号等,可以实现物联网安全性。此外,在购买之前,请阅读了解该品牌的优先级、安全性。问问自己:

  • 其任何产品是否报告存在导致违规的安全错误?
  • 公司在向潜在客户推销产品时是否满足网络安全需求?
  • 如何在其智能解决方案中实施安全控制?

3. 实施强密码以保护您的所有设备和帐户

使用强而独特的密码,无法轻易猜到,以确保您的所有帐户和设备的安全。删除默认密码或常用密码,如”管理员”或”密码123″。如果需要,请使用密码管理器来跟踪所有密码。 确保您和您的员工不要在多个帐户上使用相同的密码,并确保定期更改密码。

这些步骤有助于防止您的帐户受到危害,即使其中一个帐户公开了任何敏感的帐户信息

4. 为您的智能设备使用单独的网络

为您的智能设备利用比家庭或业务网络分开的网络可能是物联网安全最具战略意义的方法之一。通过网络细分,即使攻击者找到进入智能设备的方法,他们也不能访问您的业务数据或嗅探您从个人笔记本电脑进行的银行转账。

5. 重新配置默认设备设置

很多时候,我们的许多智能设备都附带不安全的默认设置。更糟糕的是,有时,你不能修改这些设备配置!需要根据您的要求评估和重新配置弱的默认凭据、侵入式功能和权限、开放端口等。

6. 安装防火墙和其他信誉良好的 IoT 安全解决方案,以识别漏洞

安装防火墙以阻止通过网络进行未经授权的流量,并运行入侵检测系统/入侵防御系统 (IDS/IPS) 以监视和分析网络流量。您还可以使用自动漏洞扫描程序来发现网络基础结构中的安全漏洞。使用端口扫描程序标识打开的端口并查看正在运行的网络服务。确定是否绝对需要这些端口,并检查运行在这些端口上的服务是否存在已知漏洞。

7. 使用强加密,避免通过不安全的网络连接

如果您决定远程检查智能设备,切勿使用公共 Wi-Fi 网络或未实现可靠加密协议的网络。确保您自己的网络设置不会在诸如 WEP 或 WPA 等过时标准上运行, 而是使用 WPA2。不安全的互联网连接会使您的数据和设备暴露在攻击者面前。虽然 WPA2 本身容易受到关键重新安装攻击(KRACK)的攻击,WPA3 容易受到龙血攻击,但安装更新和修补程序是前进的唯一途径,接受最低风险级别。

8. 不使用设备和功能时断开连接

查看应用权限并阅读这些应用的隐私政策,以了解它们打算如何使用您共享的信息。禁用远程访问或语音控制等功能,除非您使用它们以实现更顽强的物联网安全检查。在需要时,您可以随时启用它们。不使用设备时,请考虑将它们与网络完全断开连接。

9. 关闭通用即插即用 (UPnP)

虽然通用即插即用设计为无缝地将设备联网,无需配置的麻烦,但由于 UPnP 协议中的漏洞,这些完全相同的设备也更容易被本地网络外部的黑客发现

10. 通过实施物理安全来保证设备的安全

尽量不要丢失您的手机,特别是如果手机加载了控制 IoT 设备的应用程序!如果您这样做,除了在设备上提供 PIN/密码/生物识别保护外,请确保能够远程擦除手机。设置自动备份或有选择地备份可能需要的任何设备数据

此外,限制智能设备的可访问性。例如,您的冰箱是否需要 USB 端口?授予对最少数量的端口的访问,并考虑在可行的情况下没有 Web 访问(仅限本地访问)。

IoT 安全分析工具

除了前面讨论的 IoT 安全解决方案之外,还有其他一些工具可用于更好地了解和控制网络。Wireshark 和 tcpdump(命令行实用程序)是两个开源工具,可用于监视和分析网络流量。Wireshark 更加用户友好,因为它配备了 GUI,并具有各种排序和过滤选项。

ShodanShodan、Censys、Thingful 和ZoomEye是可用于物联网设备的工具(如搜索引擎)。 Censys ThingfulZoomEye 可能是新用户最容易了解的,因为当您单击筛选器时,搜索查询会自动生成。

ByteSweep是一个面向设备制造商的免费安全分析平台,是测试人员在产品发货前可用于运行检查的另一种工具。

摘要中的 IoT 安全性

无论风险如何,IoT 技术具有巨大潜力,这是一个不费脑筋的问题。IoT 的连接已证明可用于解决各种问题的各种设置和任务。当公司急于采用最”在”的事情时,问题就出现了,而且,他们急于在高层走出来,要么错过了完全考虑潜在的安全风险,要么没有足够重视。

在开发安全可靠的产品、提高客户意识以及发布设备之前进行严格测试方面,可以更一致和真诚地努力解决目前更多的是忽视而不是缺乏技能的许多问题。

Comments are closed.