【51CTO.com快譯】物聯(lián)網(wǎng)就像一把雙刃劍，它既能夠給我們帶來擁有智能鎖的智能家居、以及可自動煮早茶的Wi-Fi水壺，又在價格上不菲的同時，給我們的各種實用場景帶來潛在的安全隱患。

[[324481]]

黑客們可以通過物聯(lián)網(wǎng)所連接的設(shè)備輕松地進入您的網(wǎng)絡(luò)。據(jù)說，在北美一家賭場里，攻擊者就曾通過一個用于監(jiān)控魚缸溫度的智能溫度計上的低風(fēng)險漏洞，攻破了其所在的物聯(lián)網(wǎng)，并訪問到了賭場客戶的高端數(shù)據(jù)庫。

如果您覺得上述案例只是個別現(xiàn)象的話，那么下面發(fā)生在大公司物聯(lián)網(wǎng)產(chǎn)品上的安全事件，就代表著一定的普遍性：

• Amazon的Alexa和Google的Home智能助手都曾存在著安全性漏洞，某些網(wǎng)絡(luò)釣魚程序可以輕松地竊聽用戶的信息(請參見：https://www.washingtonpost.com/technology/2019/05/06/alexa-has-been-eavesdropping-you-this-whole-time/)。
• Samsung智能冰箱上的顯示屏被設(shè)計為與用戶的Gmail日歷相集成，但是由于無法驗證SSL/TLS證書，因此黑客可以潛入同一網(wǎng)段，并竊取登錄憑據(jù)。
• 2019年2月，Apple在其FaceTime應(yīng)用中發(fā)現(xiàn)了一個嚴重漏洞，攻擊者可以在接受或拒絕來電之前，訪問目標用戶的iPhone攝像頭和麥克風(fēng)(請參見：https://www.macworld.co.uk/news/iphone/facetime-bug-hack-3691275/)。
• 在2018年的黑帽子大會上，兩位安全研究人員演示了如何遠程控制植入到人體內(nèi)的微型醫(yī)療器械，來禁用胰島素泵，并控制起搏器的設(shè)備系統(tǒng)。

此外，Mirai也是一種以物聯(lián)網(wǎng)為中心的惡意軟件，它以較弱的憑據(jù)去感染目標設(shè)備，然后將其轉(zhuǎn)變?yōu)槟軌驅(qū)嵤┻h程控制的僵尸網(wǎng)絡(luò)(zombies或bots)。盡管Mirai的原始創(chuàng)建者已被發(fā)現(xiàn)，其源代碼也被公布，但是它已經(jīng)具有了多個變種。它們會專門發(fā)起各種DDoS攻擊，其中包括：Rutgers University攻擊，以及針對Dyn(針對Netflix和Twitter等提供域名服務(wù)的公司)的攻擊。

最大的物聯(lián)網(wǎng)安全風(fēng)險是什么?

可見，我們需要通過安全措施來保護物聯(lián)網(wǎng)設(shè)備，限制其對我們生活的窺探。由開放Web應(yīng)用安全項目(Open Web Application Security Project，OWASP)基金會創(chuàng)建的針對Web應(yīng)用安全、以及移動安全等方面的風(fēng)險意識表，就值得各類組織與個人予以借鑒和采用。下表列出了2014和2018年OWASP在智能設(shè)備中發(fā)現(xiàn)的十大物聯(lián)網(wǎng)漏洞：

(請參見：https://owasp.org/www-project-internet-of-things/)

從上述OWASP 2018版的十大物聯(lián)網(wǎng)漏洞列表中，我們可以看出：不安全的生態(tài)系統(tǒng)(包括Web接口、云接口等)，數(shù)據(jù)安全性，以及物理安全性等問題，都是早在2014年以前就已經(jīng)上榜，而且一直保持在該列表之中的。這些有助于我們對物聯(lián)網(wǎng)設(shè)備的安全性發(fā)展方向和速度，有一個清晰的認識。與此同時，這些也提出了有關(guān)物聯(lián)網(wǎng)安全解決方案的效力和采用率等相關(guān)問題。

安全加固物聯(lián)網(wǎng)設(shè)備的十條“軍規(guī)”

由于物聯(lián)網(wǎng)已成為了我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?，因此我們必須合理地加固各種連接設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。在此，我們將和您討論十種常規(guī)且能夠盡快“落地”的十種方法。

1. 了解您的網(wǎng)絡(luò)及其所連接的設(shè)備

首先，您必須明白，一旦您的設(shè)備連接到了互聯(lián)網(wǎng)上，那么整個網(wǎng)絡(luò)就被暴露到了各種潛在的攻擊面前。因此如果設(shè)備本身的安全性不足，那么攻擊者就很容易得逞。隨著越來越多的設(shè)備都配備了可訪問的Web界面，我們很容易及時地發(fā)現(xiàn)在網(wǎng)絡(luò)中，有哪些相鄰的設(shè)備“掉線”了。為了保障安全，您需要通過分析，順藤摸瓜地了解自己的物聯(lián)網(wǎng)絡(luò)、網(wǎng)絡(luò)上的設(shè)備、以及它們?nèi)菀仔孤兜男畔㈩愋?。而且特別值得注意的是設(shè)備上的應(yīng)用程序是否具有社交共享等屬性。網(wǎng)絡(luò)攻擊性會使用諸如位置信息、用戶個人詳細信息等元素，來跟蹤甚至竊取他們感興趣的其他內(nèi)容，進而造成安全攻擊事故。

2. 評估在線的物聯(lián)網(wǎng)設(shè)備

我們需要持續(xù)對連接在自己物聯(lián)網(wǎng)中的設(shè)備進行態(tài)勢評估，及時從制造廠商的網(wǎng)站上安裝與設(shè)備相對應(yīng)的安全補丁與更新，檢索具有更強安全功能的新型號設(shè)備予以更換。當然，在采購和添置之前，您應(yīng)當盡量通過各種渠道，了解如下方面的信息：

• 其對應(yīng)的產(chǎn)品是否能夠及時披露或報告各種安全漏洞?
• 在向潛在客戶推銷其產(chǎn)品的同時，是否提及且滿足網(wǎng)絡(luò)安全的各項需求?
• 它是如何在自己的智能解決方案中實施安全控制的?

3. 用強密碼來保護您的設(shè)備和帳戶

請棄用默認密碼或普通密碼(例如“admin”或“password123”)，改用不易被猜測且獨特的強密碼，來保護您的所有帳戶和設(shè)備。當然，如果需要，您也可以使用密碼管理器來跟蹤并管理所有的密碼。同時，我們還應(yīng)確保自己、以及團隊其他成員不在多個設(shè)備的帳戶中使用相同的密碼，并能夠定期對它們進行變更。此外，除了密碼的固定過期周期之外，也請您設(shè)置好錯誤密碼嘗試輸入的次數(shù)限制，并實施適當?shù)膸翩i定策略。

4. 為智能設(shè)備提供單獨的網(wǎng)絡(luò)

如有可能，請將您的智能設(shè)備與家庭或企業(yè)的現(xiàn)有網(wǎng)絡(luò)分離開來，這也是物聯(lián)網(wǎng)安全性最具戰(zhàn)略意義的方法之一。有了這種網(wǎng)絡(luò)分離的方式，即便攻擊者找到了進入智能設(shè)備的途徑，他們也無法訪問到您的業(yè)務(wù)數(shù)據(jù)，或是嗅探到您通過個人電腦的銀行轉(zhuǎn)帳記錄。

5. 重新配置設(shè)備上的默認設(shè)置

通常，各種智能設(shè)備在出廠時都會帶有一些基本的，但并不安全的默認設(shè)置。更糟的是，有時您都無法修改設(shè)備上的這些設(shè)置。因此，您需要在設(shè)備選型和設(shè)備配置階段，通過全面評估來重新配置默認的信任憑據(jù)，易受攻擊的功能和賬號權(quán)限，以及開放的端口等。

6. 啟用防火墻和其他主流物聯(lián)網(wǎng)安全解決方案以識別漏洞

您需要安裝防火墻以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量，運行入侵檢測系統(tǒng)和入侵防御系統(tǒng)(IDS/IPS)來監(jiān)視和分析現(xiàn)有的網(wǎng)絡(luò)流量。您還可以使用自動漏洞掃描程序，來發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的安全漏洞;以及使用端口掃描程序，來識別已開啟的端口，并檢查正在運行的網(wǎng)絡(luò)服務(wù)是否存在著已知漏洞。

7. 使用強加密來避免不安全的網(wǎng)絡(luò)連接

如果您需要遠程檢查智能化設(shè)備，那么請切勿使用公共Wi-Fi網(wǎng)絡(luò)、或未采用可靠加密協(xié)議的網(wǎng)絡(luò)。不過，如果您必須使用公共Wi-Fi的話，請驗證它是否啟用了WPA2，而不是那些諸如WEP或WPA等過時的標準。顯然，不安全的互聯(lián)網(wǎng)連接會使您的數(shù)據(jù)和設(shè)備輕易地受到攻擊。當然，如今業(yè)界已發(fā)現(xiàn)WPA2本身也可能受到key重裝攻擊(KRACK，請參見：https://www.blackhat.com/docs/eu-17/materials/eu-17-Vanhoef-Key-Reinstallation-Attacks-Breaking-The-WPA2-Protocol-wp.pdf)，而就算是WPA3也容易受到Dragonblood的攻擊。

8. 在不使用設(shè)備及其功能時應(yīng)斷開其連接

請檢查物聯(lián)網(wǎng)設(shè)備上應(yīng)用程序的運行權(quán)限，并閱讀它們的隱私權(quán)政策，以獲悉它們將如何使用您提供共享的信息。如果并不需要，請禁用設(shè)備上的遠程訪問、或語音控制等功能，而且在此類設(shè)備的非使用的時段，將它們與連接的網(wǎng)絡(luò)完全斷開。

9. 關(guān)閉通用即插即用(Universal Plug and Play，UPnP)

通用即插即用的主要功能是：在無需配置的情況下，無縫地連接到網(wǎng)絡(luò)設(shè)備上。不過，由于UPnP協(xié)議存在著漏洞，攻擊者可以很容易地從外部滲透到您的網(wǎng)絡(luò)中，并發(fā)現(xiàn)各種已連接的設(shè)備。由于UPnP在多臺路由器上是默認開啟的，因此除非您一定需要，否則請及時檢查設(shè)置并禁用之。

10. 通過實施物理安全來保護設(shè)備

盡量不要丟失那些已經(jīng)裝有管控物聯(lián)網(wǎng)設(shè)備應(yīng)用的手機。除了在設(shè)備上實施PIN/密碼/生物識別保護外，也請您安裝具有遠程擦除功能的手機APP。同時，請設(shè)置好自動或有選擇性的備份策略，以轉(zhuǎn)存任何重要的數(shù)據(jù)。

此外，您也應(yīng)當限制智能設(shè)備的可訪問性。例如，是否應(yīng)該關(guān)閉冰箱的USB端口?限制某個端口允許并發(fā)訪問的最大連數(shù)，以及在可行的情況下考慮禁用Web訪問(即僅開放本地訪問的方式)。

物聯(lián)網(wǎng)安全分析工具

除了前面討論的物聯(lián)網(wǎng)安全加固方法之外，您還可以使用各種工具來更好地監(jiān)視和控制物聯(lián)網(wǎng)絡(luò)。例如，Wireshark和tcpdump(命令行實用程序)是兩個開源的工具，它們可用于監(jiān)視與分析網(wǎng)絡(luò)流量。其中，Wireshark帶有GUI，除了具有各種排序和過濾的功能項，它還提供友好的用戶界面。

此外，Shodan、Censys、Thingful和ZoomEye也都是可用于搜索和管理物聯(lián)網(wǎng)設(shè)備的工具。其中，ZoomEye非常適合于新用戶，他們通過單擊過濾器，便可自動生成相應(yīng)的搜索查詢結(jié)果。

最后，值得一提的是ByteSweep。它是設(shè)備制造商提供的一種免費安全分析平臺，可讓測試人員在產(chǎn)品出廠之前，對目前設(shè)備的安全態(tài)勢進行全面檢查。

原文標題：10 IoT Security Tips You Can Use to Secure Your IoT Devices，作者：Lumena Mukherjee

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】