雖然物聯網設備和工具有很多用途,可以讓人們的工作和生活變得更輕鬆,但許多設備和工具可能有一些安全漏洞。
物聯網是一把雙刃劍。從配備智能門鎖的智能家居到通過Wi-Fi自動煮沸早茶的水壺,物聯網技術讓人們的生活變得簡單得多,但其成本也可能要高得多。在物聯網安全中,存在一些安全性權衡因素,並且可能弊大於利。
在物聯網技術進入企業、家庭以及日常生活之前,人們需要了解表明安全重要性的一些例子。
物聯網安全性:物聯網設備使人們容易受傷害
黑客可以通過網絡上的設備進入企業的網絡。網絡安全服務商Darktrace公司首席執行官Nicole Eagan介紹了一起物聯網設備安全事例,該事例發生在美國一家未透露名稱的賭場,網絡攻擊者能夠通過該賭場的一個水族館智能溫度計的漏洞訪問其數據庫。
在討論物聯網設備安全性指南之前,人們需要了解一些物聯網安全漏洞的例子。
家用消費類智能設備的安全漏洞
如果看過有關Alexa和Google Home智能助理中的安全漏洞是如何被欺詐並竊聽用戶的調查報告,那麼人們對物聯網設備安全性的擔心是對的。儘管亞馬遜公司和谷歌公司每次都會採取應對措施,但他們仍被更新的網絡攻擊技術所挫敗。
除此之外,三星公司推出的智能冰箱也有安全漏洞,由於其顯示屏與用戶的Gmail日曆集成在一起,即使已部署SSL來確保Gmail集成的安全,冰箱本身也無法驗證SSL/TLS證書,這為黑客進入其所在網絡並竊取登錄憑據打開了大門。
值得稱讚的是,三星公司在軟件更新中修復了該錯誤,但當這個知名品牌都會遭到網絡攻擊並導致破壞時,這將讓大量用戶感到不安。這揭示了一個幾乎不可避免的事實,即功能性往往優先於安全性,對於知名廠商更是如此。更重要的是,2015年,三星集團還表示將在其智能電視中收集和使用用戶的數據:如果用戶的口令包含個人信息或其他敏感信息,則這些信息可能通過使用語音識別技術捕獲並傳輸給第三方。
例如全球知名的蘋果公司在遭遇網絡攻擊方面也難以倖免。2019年2月,用戶在蘋果公司的FaceTime應用程序中發現了一個嚴重漏洞,網絡攻擊者可以在接受或拒絕來電之前訪問某人的iPhone攝像頭和麥克風。
隨著網絡攻擊者找到巧妙的方法來逃避安全控制以竊取數據,造成的破壞或許只是一種破壞性的行為,但是,如果這樣的事例發生在智能家居設施,那麼將會發生什麼?
物聯網設備被Mirai公司等大型殭屍網絡利用
Mirai是一種以物聯網為中心的惡意軟件,它以弱憑據來感染物聯網設備,將其轉變為遠程控制的殭屍或機器人網絡。儘管Mirai的創建者已被抓獲,但他們已對外發布了該惡意軟件的源代碼(可能是為了混淆和分散注意力),現在它具有多個變體。
殭屍網絡已被用來發起多種DDoS攻擊,其中一種攻擊是針對羅格斯大學的網絡攻擊,另一種針對為Netflix和Twitter等知名廠商提供域名服務的Dyn公司的攻擊。
植入式醫療器械的安全漏洞
在科技領域,幾乎沒有什麼設備能逃脫網絡罪犯的控制,其中包括醫療設備。
在2018年召開的一次黑帽會議上,WhiteScope公司的Billy Rios和QED Secure Solutions公司的Jonathan Butts展示了黑客如何通過遠程控制技術攻擊可以挽救患者生命的植入式醫療器械,並可能進行操縱對患者造成傷害。兩位安全研究人員演示瞭如何禁用胰島素泵並控制美敦力公司生產的心臟起搏器系統。作為回應,美敦力公司將這個漏洞清除,但並未承認這種情況的嚴重性,甚至在這個漏洞警報提交給他們570天之後,該公司仍沒有積極解決這個問題。
人們為此可能推測,由遠程控制的物聯網設備組成的網絡如何被用來摧毀電網(或用於供水系統的監控與數據採集系統,或控制天然氣管道等),或者嬰兒監護儀可能被黑客攻擊,這些設想會令人感到不安。但仍然可以肯定的是物聯網設備的漏洞將會繼續存在。因此,如果要避免危機,物聯網設備製造商需要更加註意其中的安全風險,高級持續性威脅(APT)更加危險。
物聯網最大的安全風險是什麼?
儘管人們對物聯網面臨的最大安全風險沒有太多發言權,但可以在某種程度上通過採取一些安全措施來保護物聯網設備。開放式網絡應用程序安全項目(OWASP)基金會是一個全球性的非營利性組織,旨在提高企業對網絡應用程序安全性、移動設備安全性等領域中的安全風險的意識,以便組織和個人可以做出明智的決定。
下表列出了開放式網絡應用程序安全項目(OWASP)基金會於2014和2018年在智能設備中發現的十大物聯網漏洞:
企業保證物聯網安全的十大技巧
如果企業的智能設備配備了不可更改的憑據或任何類型的身份驗證/授權機制,那麼不要購買和使用。從開放式網絡應用程序安全項目(OWASP)列出的2018年十大物聯網漏洞列表中可以看出,不安全的生態系統(Web接口和雲平臺接口等)、數據安全性和物理安全性等一些問題在2014年以前一直保持前10位。這使人們對物聯網設備安全性發展的方向和速度有了一個清晰的認識。它還提出了有關物聯網安全解決方案的有效性和採用率的相關問題。
然而,由於物聯網正成為人們日常生活中不可或缺的一部分,必須盡最大努力保護聯網設備、數據和網絡。以下是一些可以採用的措施和方法。
1.瞭解採用的網絡及其連接設備
當企業的設備連接到全球互聯網時,這些連接會使企業的網絡容易受到攻擊,並且如果設備沒有得到足夠的安全保護,網絡攻擊者也可以使用這些設備。由於越來越多的設備配備了網絡接口,因此企業工作人員很容易忘記哪些設備可以通過網絡訪問。為了確保安全,企業IT人員必須瞭解其網絡、網絡上的設備,以及容易洩露的信息類型(尤其是具有社交共享功能的應用程序)。
網絡攻擊者使用諸如位置和個人詳細信息等來跟蹤人員的情況,這可能會轉化為現實中的危險。
2.評估網絡上的物聯網設備
在知道哪些設備連接到網絡後,需要對設備進行審核以瞭解其安全性。可以通過從製造商的網站上安裝安全補丁和更新,檢查具有更強安全功能的更新設備等措施來實現物聯網安全。此外,在購買設備之前,需要了解該品牌設備的安全性。企業採購和應用人員需要問自己一些問題:
•其產品是否報告了導致危害的安全漏洞?
•設備商在向潛在客戶推銷產品時是否滿足網絡安全需求?
•如何在其智能解決方案中實施安全控制?
3.實施強密碼保護企業的所有設備和帳戶
企業需要使用不易被猜到的、安全性強的獨特密碼來保護其所有帳戶和設備。不要採用默認密碼或普通密碼(例如“admin”或“password123”)。如果需要,使用密碼管理器來跟蹤所有密碼。確保企業和其員工不在多個帳戶中使用相同的密碼,並確保定期進行更改。
這些步驟有助於防止其所有帳戶遭到洩露。除了密碼到期日期外,需要確保設置了錯誤密碼嘗試次數的限制,並實施帳戶鎖定策略。
4.為智能設備使用單獨的網絡
企業為其智能設備使用與家庭或企業網絡不同的網絡,這可能是提高物聯網安全性最具戰略意義的方法之一。通過網絡分段措施,即使網絡攻擊者找到了進入企業智能設備的途徑,他們也無法訪問企業的業務數據。
5.重新配置默認設備設置
通常情況下,許多智能設備在出廠時都帶有不安全的默認設置。更糟糕的是,有時無法修改這些設備的配置。企業需要根據其要求評估和重新配置默認憑據、侵入式功能和權限、開放端口等。
6.安裝防火牆和其他知名的物聯網安全解決方案以識別漏洞
安裝防火牆以阻止未經授權的網絡流量,並運行入侵檢測系統(IDS)/入侵防禦系統(IPS)來監視和分析網絡流量。企業還可以使用自動漏洞掃描程序來發現網絡基礎設施中的安全漏洞。使用端口掃描程序來識別打開的端口並查看正在運行的網絡服務。確定是否需要這些端口,並檢查它們上運行的服務是否存在已知漏洞。
7.使用強加密並避免通過不安全的網絡連接
如果企業決定遠程檢查智能設備,則切勿使用公共Wi-Fi網絡或未實施可靠加密協議的網絡進行檢查。企業確保自己的網絡設置未在過時的標準(例如WEP或WPA)上運行,而是使用WPA2標準。不安全的互聯網連接會使企業數據和設備容易受到網絡攻擊者的攻擊。儘管發現WPA2本身很容易受到密鑰重新安裝攻擊或KRACK的攻擊,而WPA3容易受到Dragonblood攻擊的影響,但是安裝更新和補丁程序是保持業務安全運營的唯一途徑,並且可以將風險降至最低。
8.在不使用設備和功能時斷開網絡連接
查看應用程序權限並閱讀這些應用程序的隱私權政策,以瞭解它們打算如何使用其共享的信息。除非企業要使用遠程訪問或語音控制等功能來實施更持久的物聯網安全檢查,否則必須禁用它們。如果需要,可以隨時啟用它們。當企業不使用設備時,需要考慮將它們與網絡完全斷開。
9.關閉通用的即插即用(UPnP)功能
通用即插即用功能旨在無縫地連接網絡設備,而無需進行配置,但由於UPnP協議中的漏洞,這些設備也更容易被黑客發現。即插即用(UPnP)功能在默認情況下會在多個路由器上啟用,因此除非企業為方便起見而願意犧牲安全性,否則需要檢查設置並確保已經禁用。
10.通過實施物理安全保護設備安全
儘量不要丟失手機,尤其是當手機中裝有可控制物聯網設備的應用程序時。如果這樣做,除了在設備上具有PIN/密碼/生物識別保護外,需要確保用戶具有遠程擦除手機數據的功能。需要設置自動備份或有選擇地備份企業可能需要的任何設備數據。
此外,限制企業的智能設備的可訪問性。例如冰箱需要USB端口嗎?允許訪問最小數量的端口,並在可行的情況下考慮不進行Web訪問(僅本地訪問)。
物聯網安全的一些分析工具
除了以上討論的物聯網安全解決方案之外,企業還有一些其他工具可用於更好地查看和控制其網絡。Wireshark和tcpdump(命令行實用程序)是兩個開源工具,可以用來監視和分析網絡流量。Wireshark更加用戶友好,因為它帶有一個GUI,並且有各種排序和過濾選項。
Shodan、Censys、Thingful和ZoomEye是可以用於物聯網設備的工具(如搜索引擎)。ZoomEye也許是更適用於新用戶的工具,因為單擊過濾器後會自動生成搜索查詢。
ByteSweep是設備製造商提供的一個免費安全分析平臺,它是測試人員可以在產品出廠之前用來進行檢查的另一個工具。
物聯網安全的概述
無論風險有多大,物聯網技術都有著巨大的潛力,這是一個毋庸置疑的事實。物聯網的連接性證明了它在解決各種環境和任務方面的有用性。而企業急於採用一些並不成熟的技術和產品時可能會出現問題,這些企業或者完全忽略了潛在的安全風險,或者沒有足夠重視。
在開發安全可靠的產品、提高客戶意識以及推出新設備之前,需要進行嚴格的測試,這可以在很大程度上解決當前許多被忽視的物聯網安全問題。
