物联网(IoT)是一个由设备、车辆、家用电器和其他物品组成的网络,使用传感器、软件和网络连接来收集和交换数据。
这些连接设备正在改变我们的生活、工作和交流方式。伴随着无数的好处,它们也为犯罪分子开辟了新的途径。因此,物联网设备已成为当今世界上最易受到攻击的设备。
随着制造商越来越多地废弃“哑”设备,转而采用智能联网版本,智能家居正在围绕着其主人而发展,在主人不知不觉中包围着。曾经被浪漫化的智能家居概念,经常在电视上被描绘成无缝生活的愉快助手,但现在已经让位于隐私侵犯、数据泄露和针对网络附加存储的无情勒索软件攻击。如果配置不当,或者在质量保证过程中存在被忽视的漏洞和安全隐患,这些设备可能会给隐私和数据完整性带来灾难。它们甚至可能危及互联网本身的完整性。
2023年物联网安全形势报告:主要发现
NETGEAR最近发布的《2023年物联网安全形势报告》重点关注了涉及物联网设备的巨大安全问题。NETGEAR研究基于对全球260万个智能家居采样的威胁情报,调查了近1.2亿个物联网设备。研究显示,物联网设备每天在全球范围内产生多达36亿起安全事件。这意味着每个家庭有20台联网设备,每24小时就会发生8起网络攻击。毫无疑问,这份报告揭露了智能家居的漏洞,令人震惊。为了更清楚地了解这些智能家居,下面来看看最流行的设备以及影响其的主要漏洞:
- 智能手机:几乎41%的连接到家庭路由器的设备是智能手机。此数字包括可以临时与网络关联的访客设备。
- 计算机:计算机和笔记本电脑是联网家庭中最常见的设备。尽管它们在普及方面输给了移动设备,但仍在全球范围内稳步增长。
- 流媒体设备:流媒体设备是将“哑”电视变成互联网连接设备的流行方式。
- 平板电脑:随着学校开始发行用于在线教育的平板电脑,平板电脑在COVID-19爆发期间获得了巨大的关注。
- 控制台:游戏机还兼作娱乐中心。其配备了用于玩游戏的专用硬件和软件,通常连接到电视或显示器上来显示游戏。
物联网设备的常见漏洞
从2022年的安全事件来看,去年发现的大多数攻击都依赖于自动攻击工具包中包含的已知常见漏洞和暴露(CVE)。尽管物联网供应商和攻击者都知道这些常见漏洞,但固件供应商可能需要花费大量时间来评估、修补和为智能家居中已部署的设备提供修复程序。这可能为网络犯罪分子提供了可乘之机。为了阻止这些攻击,需要采用分层技术来阻止它们到达网络中易受攻击的物联网设备。
物联网设备的利用目标不同,具体取决于设备类型和用途、连接选项和盈利机会。漏洞的后果包括破坏系统执行预期功能的能力、在设备上执行代码并劫持其功能。
需要考虑的物联网风险
- 网络安全风险:由于许多物联网设备的安全措施薄弱,智能家居很容易受到网络攻击。这可以让黑客获取个人信息,例如密码和财务数据,甚至控制智能设备。
- 隐私问题:许多智能设备都配备了摄像头、麦克风和其他传感器,这些传感器可在用户不知情或未经同意的情况下收集用户数据。这可能会导致侵犯隐私,这对于内部部署来说是特别值得关注的问题。
- 物理安全风险:智能插头、门锁和摄像头变得越来越流行。这些设备控制物理安全方面,例如照明、访问控制和监视。任何操作中断或失控都会影响物理安全。
2023年预测
- 隐私问题需要改变:物联网设备依靠大数据蓬勃发展。FTC 2015年的一项研究估计,"不到1万个家庭可以“每天产成1.5亿个离散数据点”,或者说,大约每个家庭每六秒产成一个数据点。而今,情况甚至更糟。Deloitte的《2022年连接和移动趋势调查》指出,一半的物联网用户对智能家居设备中的安全漏洞表示担忧,这些漏洞可能会暴露所收集的大量信息,而40%的受访者担心其可能会被监视
- 僵尸网络将继续增长:物联网设备将越来越多地成为僵尸网络的目标,僵尸网络可以发起大规模分布式拒绝服务(DDoS)攻击,网络犯罪分子将继续在利用和持久性机制方面投入大量精力,以帮助其扩大受感染设备的基础。
- 物联网安全在得到改善之前还会变得更糟:供应商对漏洞披露和修补的缓慢反应将持续到2023年。尽管新法规,例如《欧盟网络弹性法案》,预计将对欧盟内销售的产品实施强制性的网络安全标准来提供一些缓解,但这些标准预计至少要到2025年才会实施。
保护物联网设备安全的六大最佳实践
- 家庭用户和员工都应该了解其网络中的活动物联网设备,并使其保持最新状态。如果某些设备已经过时,请立即更新。
- 将所有智能设备移至专用访客网络,以将其与主网络隔离。
- 当有新的固件版本可用时,立即修补设备。
- 使用具有内置安全性的路由器或网关。
- 使用智能家居扫描仪探测家庭网络中易受攻击的设备。
- 除非必要,否则避免将局域网设备暴露于互联网。