物联网是一把双刃剑。虽然拥有一个带有智能锁的智能家居和一个可以自动煮沸早茶水的 Wi-Fi 水壶让生活变得更加简单,但它的价格可能比价格标签上的价格要高得多。
在物联网安全中,存在安全权衡,不幸的是,这些权衡弊大于利,几乎让您怀念电视没有任何“智能”的日子!
让我们看一些例子,在我们欢迎这项技术进入我们的家庭、行业和日常生活之前,让我们明白安全的重要性。
物联网安全:您的联网设备如何使您容易受到攻击
黑客可以从您网络上最无害的设备进入您的网络。网络安全公司 Darktrace 的首席执行官妮可·伊根 (Nicole Eagan) 讲述了在北美一家未命名的赌场发生的一起事件,攻击者能够访问赌徒的高额赌徒数据库。
他们通过利用智能温度计中的低风险漏洞来做到这一点,该漏洞用于监测水族箱的温度。
但这只是一个例子。在继续讨论物联网设备安全性的指针之前,让我们看一下物联网安全漏洞的更多示例。
家用消费类智能设备
如果您已经阅读了有关 Alexa 和 Google Home 智能助手中的安全漏洞如何被暴露为网络钓鱼和窃听用户的报告,那么我们只能说您担心是对的。尽管亚马逊和谷歌每次都采取反制措施,但他们继续使用新技术来挫败。
除此之外,还有三星的智能冰箱,其显示屏旨在与用户的Gmail日历集成,这样他们就可以在出门前看到自己的一天是什么样子。除了,无论听起来多么美妙,它都并不那么整洁。尽管部署了SSL来保护Gmail集成,但冰箱本身未能验证SSL / TLS证书,从而为黑客进入同一网络并窃取登录凭据敞开了大门。
值得称赞的是,三星在软件更新中修复了该错误,但是当可靠的品牌遭到破坏时,这非常令人不安。它揭示了一个几乎不可避免的事实,即功能通常优先于安全性,即使在应该更了解的公司中也是如此。更重要的是,在2015年,三星还警告我们他们打算如何在智能电视政策中收集和使用我们的数据:
“请注意,如果您的口语包含个人或其他敏感信息,则该信息将成为通过使用语音识别捕获并传输给第三方的数据之一。”
不过,感谢上帝赐予苹果,对吧?让我们暂时保持这个想法。2019 年 2 月,在 Apple 的 FaceTime 应用程序中发现了一个严重的漏洞,该漏洞允许攻击者在接受或拒绝来电之前访问某人的 iPhone 摄像头和麦克风。
随着攻击者找到巧妙的方法来逃避安全控制以窃取数据、造成损害或仅仅造成破坏,因此在安全方面犯错是合理的。不过,如果你仍然喜欢智能家居,嗯......祝你好运?
物联网设备用于 Mirai 等大型僵尸网络
Mirai 是一种以物联网为中心的恶意软件,它会感染凭据较弱的设备,将它们变成一个由远程控制的僵尸或机器人组成的网络。尽管Mirai的原始创建者已被抓获,但他们之前发布了该恶意软件的源代码(可能是为了混淆和分散当局的注意力),现在它有几个突变。
僵尸网络已被用于发起几次 DDoS 攻击,其中包括对罗格斯大学的攻击和对 Dyn(为 Netflix、Twitter 等提供域名服务的公司)的攻击。
植入式医疗器械
在技术领域,没有什么是神圣的,也没有任何东西可以逃脱网络犯罪分子的控制。这包括医疗设备。
在 2018 年的 Black Hat 会议上,WhiteScope 的 Billy Rios 和 QED Secure Solutions 的 Jonathan Butts 展示了旨在挽救患者生命的医疗植入物如何被黑客远程控制并操纵以造成不必要的伤害。这两名安全研究人员展示了他们如何禁用胰岛素泵并控制美敦力制造的起搏器设备系统。作为回应,美敦力最初将报告的漏洞视为“低风险”漏洞,没有承认情况的严重性。即使在研究首次提交调查结果后 570 天,他们也拒绝解决问题!
我们可以花费数小时来推测如何使用远程控制的物联网设备网络来摧毁电网(或用于配水站的SCADA系统,用于控制天然气管道等),或者对婴儿监视器被黑客入侵的想法感到不安。但可以肯定的是,物联网将继续存在。因此,如果我们要避免肆无忌惮的危机,制造商需要更加注意所涉及的安全风险(高级持续威胁 [APT] 是最危险的)。
最大的物联网安全风险是什么?
虽然我们可能在这件事上没有太多发言权,但我们可以在某种程度上通过采取一些安全措施来保护我们的设备来限制它对我们生活的控制。开放 Web 应用程序安全项目 (OWASP) 基金会是一个全球性的非营利组织,旨在提高人们对 Web 应用程序安全、移动安全等领域的安全风险的认识,以便个人和组织能够做出明智的决策。
下表列出了 2014 年和 2018 年在智能设备中发现的 OWASP 十大物联网漏洞:
十大 | 2014物联网十佳 | 2018物联网十佳 |
1 | 不安全的 Web 界面 | 弱密码、可猜测密码或硬编码密码 |
2 | 身份验证/授权不足 | 不安全的网络服务 |
3 | 不安全的网络服务 | 不安全的生态系统接口 |
4 | 缺少传输加密/完整性验证 | 缺乏安全更新机制 |
5 | 隐私问题 | 使用不安全或过时的组件 (NEW) |
6 | 不安全的云界面 | 隐私保护不足 |
7 | 不安全的移动界面 | 不安全的数据传输和存储 |
8 | 安全性可配置性不足 | 缺乏设备管理 |
9 | 不安全的软件/固件 | 不安全的默认设置(新) |
10 | 物理安全性差 | 缺乏物理硬化 |
为您的组织提供 IoT 安全的十大提示
如果您的智能设备配备了不可更改的凭据或任何类型的身份验证/授权机制,请帮自己一个大忙,不要购买它!从OWASP 2018年十大物联网漏洞列表中可以看出,不安全的生态系统(Web界面、云界面等)、数据安全和物理安全等几个问题保留了2014年之前的前10名位置。这让我们对物联网设备安全的发展方向和速度有所了解。它还对物联网安全解决方案的有效性和采用率提出了相关问题。
然而,由于物联网正在成为我们日常生活中不可或缺的一部分,我们必须尽最大努力保护我们的连接设备、数据和网络。这里有一些方法可以做到这一点。
1. 了解您的网络及其上的连接设备
当您的设备连接到互联网时,如果设备没有得到充分保护,这些连接会使您的整个网络容易受到攻击,并容易受到攻击者的攻击。随着越来越多的设备配备了 Web 界面,很容易忘记哪些设备可以通过线路访问。为了保持安全,了解您的网络至关重要——网络上的设备以及它们容易泄露的信息类型(特别是如果它们的相应应用程序具有社交共享功能)。
网络犯罪分子使用您的位置、您的个人详细信息等信息来密切关注您——这可能会转化为现实世界的危险。
2. 评估网络上的 IoT 设备
一旦您知道哪些设备已连接到您的网络,请审核您的设备以了解其安全性。物联网安全可以通过及时安装制造商网站的安全补丁和更新、检查具有更强安全功能的新型号等来实现。此外,在购买之前,请仔细阅读以了解该品牌的安全性是多么重要。问问自己:
- 其任何产品是否报告了导致违规的安全漏洞?
- 公司是否在向潜在客户推销产品时满足网络安全需求?
- 如何在他们的智能解决方案中实施安全控制?
3. 实施强密码来保护您的所有设备和帐户
使用不容易被猜到的强大、独特的密码来保护您的所有帐户和设备。摆脱默认密码或常见密码,如“admin”或“password123”。如果需要,请使用密码管理器来跟踪您的所有密码。确保您和您的员工不要在多个帐户中使用相同的密码,并确保定期更改它们。
这些步骤有助于防止您的所有帐户遭到入侵,即使其中一个帐户暴露了任何敏感的帐户信息。除了密码到期日期外,请务必对错误密码尝试的次数设置限制,并实施帐户锁定策略。
4. 为您的智能设备使用单独的网络
为您的智能设备使用独立于家庭或商业网络的网络可能是实现物联网安全的最具战略性的方法之一。通过网络分段,即使攻击者找到了进入您的智能设备的方法,他们也无法访问您的业务数据或嗅探您从个人笔记本电脑进行的银行转账。
5. 重新配置默认设备设置
通常情况下,我们的许多智能设备都带有不安全的默认设置。更糟糕的是,有时,您无法修改这些设备配置!弱默认凭据、侵入性功能和权限、开放端口等需要根据您的要求进行评估和重新配置。
6. 安装防火墙和其他信誉良好的物联网安全解决方案以识别漏洞
安装防火墙以阻止未经授权的线路流量,并运行入侵检测系统/入侵防御系统 (IDS/IPS) 以监控和分析网络流量。您还可以使用自动漏洞扫描程序来发现网络基础架构中的安全漏洞。使用端口扫描器来识别打开的端口并查看正在运行的网络服务。确定是否绝对需要这些端口,并检查在其上运行的服务是否存在已知漏洞。
7. 使用强加密并避免通过不安全的网络进行连接
如果您决定远程检查您的智能设备,切勿使用公共 Wi-Fi 网络或未实施可靠加密协议的网络进行检查。确保您自己的网络设置不会在 WEP 或 WPA 等过时的标准上运行,而是使用 WPA2。不安全的互联网连接可能会使您的数据和设备暴露在攻击者面前。尽管发现 WPA2 本身容易受到密钥重新安装攻击 (KRACK) 的攻击,并且 WPA3 容易受到 Dragonblood 攻击,但安装更新和补丁是前进的唯一途径,接受最低级别的风险。
8. 在不使用设备和功能时断开它们
查看应用程序权限并阅读这些应用程序的隐私政策,以了解它们打算如何使用您共享的信息。禁用远程访问或语音控制等功能,除非您正在使用它们来实施更顽强的物联网安全检查。如果需要,您可以随时启用它们。当您不使用设备时,请考虑完全断开它们与网络的连接。
9. 关闭通用即插即用 (UPnP)
虽然通用即插即用旨在无缝联网设备而无需配置麻烦,但由于 UPnP 协议中的漏洞,它还使这些相同的设备更容易被本地网络外部的黑客发现。默认情况下,UPnP 在多个路由器上处于启用状态,因此请检查您的设置并确保它已禁用,除非您愿意为了方便起见而牺牲安全性。
10. 通过实施物理安全来保护您的设备安全
尽量不要丢失您的手机,尤其是当它加载了控制您的物联网设备的应用程序时!如果您这样做,除了在您的设备上具有 PIN/密码/生物识别保护外,请确保您有能力远程擦除您的手机。设置自动备份或有选择地备份您可能需要的任何设备数据
此外,限制您的智能设备的可访问性。例如,您的冰箱需要 USB 端口吗?提供对最小数量的端口的访问权限,并在可行的情况下考虑没有 Web 访问(仅本地访问)。
物联网安全分析工具
除了前面讨论的物联网安全解决方案外,还有一些其他工具可用于更好地了解和控制您的网络。Wireshark 和 tcpdump(命令行实用程序)是两个开源工具,可用于监控和分析网络流量。Wireshark 更加人性化,因为它带有 GUI 并具有各种排序和过滤选项。
Shodan、Censys、Thingful 和 ZoomEye 是可用于物联网设备的工具(如搜索引擎)。对于新用户来说,ZoomEye 可能是最容易弄清楚的一种,因为当您单击过滤器时,搜索查询会自动生成。
ByteSweep 是一个面向设备制造商的免费安全分析平台,是测试人员可以在任何产品发货前用来运行检查的另一种工具。
物联网安全概要
无论风险如何,物联网技术都具有巨大的潜力,这是不言而喻的。物联网的连通性已被证明可用于解决各种设置和任务的问题。当公司急于采用最“符合”的东西,并且急于成为领导者时,问题就出现了,他们要么完全忽略了潜在的安全风险,要么没有足够认真地对待它。
在开发安全可靠的产品方面做出更一致和真诚的努力,提高客户的意识,并在发布设备之前进行严格的测试,可以在很大程度上解决许多目前更多是疏忽而不是缺乏技能的问题。
