物聯(lián)網(wǎng)是一把雙刃劍。雖然擁有一個(gè)帶有智能鎖的智能家居和一個(gè)可以自動(dòng)煮沸早茶水的 Wi-Fi 水壺讓生活變得更加簡(jiǎn)單，但它的價(jià)格可能比價(jià)格標(biāo)簽上的價(jià)格要高得多。

在物聯(lián)網(wǎng)安全中，存在安全權(quán)衡，不幸的是，這些權(quán)衡弊大于利，幾乎讓您懷念電視沒(méi)有任何“智能”的日子！

讓我們看一些例子，在我們歡迎這項(xiàng)技術(shù)進(jìn)入我們的家庭、行業(yè)和日常生活之前，讓我們明白安全的重要性。

物聯(lián)網(wǎng)安全：您的聯(lián)網(wǎng)設(shè)備如何使您容易受到攻擊

黑客可以從您網(wǎng)絡(luò)上最無(wú)害的設(shè)備進(jìn)入您的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全公司 Darktrace 的首席執(zhí)行官妮可·伊根 （Nicole Eagan） 講述了在北美一家未命名的賭場(chǎng)發(fā)生的一起事件，攻擊者能夠訪問(wèn)賭徒的高額賭徒數(shù)據(jù)庫(kù)。

他們通過(guò)利用智能溫度計(jì)中的低風(fēng)險(xiǎn)漏洞來(lái)做到這一點(diǎn)，該漏洞用于監(jiān)測(cè)水族箱的溫度。

但這只是一個(gè)例子。在繼續(xù)討論物聯(lián)網(wǎng)設(shè)備安全性的指針之前，讓我們看一下物聯(lián)網(wǎng)安全漏洞的更多示例。

家用消費(fèi)類智能設(shè)備

如果您已經(jīng)閱讀了有關(guān) Alexa 和 Google Home 智能助手中的安全漏洞如何被暴露為網(wǎng)絡(luò)釣魚和竊聽用戶的報(bào)告，那么我們只能說(shuō)您擔(dān)心是對(duì)的。盡管亞馬遜和谷歌每次都采取反制措施，但他們繼續(xù)使用新技術(shù)來(lái)挫敗。

除此之外，還有三星的智能冰箱，其顯示屏旨在與用戶的Gmail日歷集成，這樣他們就可以在出門前看到自己的一天是什么樣子。除了，無(wú)論聽起來(lái)多么美妙，它都并不那么整潔。盡管部署了SSL來(lái)保護(hù)Gmail集成，但冰箱本身未能驗(yàn)證SSL / TLS證書，從而為黑客進(jìn)入同一網(wǎng)絡(luò)并竊取登錄憑據(jù)敞開了大門。

值得稱贊的是，三星在軟件更新中修復(fù)了該錯(cuò)誤，但是當(dāng)可靠的品牌遭到破壞時(shí)，這非常令人不安。它揭示了一個(gè)幾乎不可避免的事實(shí)，即功能通常優(yōu)先于安全性，即使在應(yīng)該更了解的公司中也是如此。更重要的是，在2015年，三星還警告我們他們打算如何在智能電視政策中收集和使用我們的數(shù)據(jù)：

“請(qǐng)注意，如果您的口語(yǔ)包含個(gè)人或其他敏感信息，則該信息將成為通過(guò)使用語(yǔ)音識(shí)別捕獲并傳輸給第三方的數(shù)據(jù)之一?！?/p>

不過(guò)，感謝上帝賜予蘋果，對(duì)吧？讓我們暫時(shí)保持這個(gè)想法。2019 年 2 月，在 Apple 的 FaceTime 應(yīng)用程序中發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞，該漏洞允許攻擊者在接受或拒絕來(lái)電之前訪問(wèn)某人的 iPhone 攝像頭和麥克風(fēng)。

隨著攻擊者找到巧妙的方法來(lái)逃避安全控制以竊取數(shù)據(jù)、造成損害或僅僅造成破壞，因此在安全方面犯錯(cuò)是合理的。不過(guò)，如果你仍然喜歡智能家居，嗯......祝你好運(yùn)？

物聯(lián)網(wǎng)設(shè)備用于 Mirai 等大型僵尸網(wǎng)絡(luò)

Mirai 是一種以物聯(lián)網(wǎng)為中心的惡意軟件，它會(huì)感染憑據(jù)較弱的設(shè)備，將它們變成一個(gè)由遠(yuǎn)程控制的僵尸或機(jī)器人組成的網(wǎng)絡(luò)。盡管Mirai的原始創(chuàng)建者已被抓獲，但他們之前發(fā)布了該惡意軟件的源代碼（可能是為了混淆和分散當(dāng)局的注意力），現(xiàn)在它有幾個(gè)突變。

僵尸網(wǎng)絡(luò)已被用于發(fā)起幾次 DDoS 攻擊，其中包括對(duì)羅格斯大學(xué)的攻擊和對(duì) Dyn（為 Netflix、Twitter 等提供域名服務(wù)的公司）的攻擊。

植入式醫(yī)療器械

在技術(shù)領(lǐng)域，沒(méi)有什么是神圣的，也沒(méi)有任何東西可以逃脫網(wǎng)絡(luò)犯罪分子的控制。這包括醫(yī)療設(shè)備。

在 2018 年的 Black Hat 會(huì)議上，WhiteScope 的 Billy Rios 和 QED Secure Solutions 的 Jonathan Butts 展示了旨在挽救患者生命的醫(yī)療植入物如何被黑客遠(yuǎn)程控制并操縱以造成不必要的傷害。這兩名安全研究人員展示了他們?nèi)绾谓靡葝u素泵并控制美敦力制造的起搏器設(shè)備系統(tǒng)。作為回應(yīng)，美敦力最初將報(bào)告的漏洞視為“低風(fēng)險(xiǎn)”漏洞，沒(méi)有承認(rèn)情況的嚴(yán)重性。即使在研究首次提交調(diào)查結(jié)果后 570 天，他們也拒絕解決問(wèn)題！

我們可以花費(fèi)數(shù)小時(shí)來(lái)推測(cè)如何使用遠(yuǎn)程控制的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)來(lái)摧毀電網(wǎng)（或用于配水站的SCADA系統(tǒng)，用于控制天然氣管道等），或者對(duì)嬰兒監(jiān)視器被黑客入侵的想法感到不安。但可以肯定的是，物聯(lián)網(wǎng)將繼續(xù)存在。因此，如果我們要避免肆無(wú)忌憚的危機(jī)，制造商需要更加注意所涉及的安全風(fēng)險(xiǎn)（高級(jí)持續(xù)威脅 [APT] 是最危險(xiǎn)的）。

最大的物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)是什么？

雖然我們可能在這件事上沒(méi)有太多發(fā)言權(quán)，但我們可以在某種程度上通過(guò)采取一些安全措施來(lái)保護(hù)我們的設(shè)備來(lái)限制它對(duì)我們生活的控制。開放 Web 應(yīng)用程序安全項(xiàng)目 （OWASP） 基金會(huì)是一個(gè)全球性的非營(yíng)利組織，旨在提高人們對(duì) Web 應(yīng)用程序安全、移動(dòng)安全等領(lǐng)域的安全風(fēng)險(xiǎn)的認(rèn)識(shí)，以便個(gè)人和組織能夠做出明智的決策。

下表列出了 2014 年和 2018 年在智能設(shè)備中發(fā)現(xiàn)的 OWASP 十大物聯(lián)網(wǎng)漏洞：

為您的組織提供 IoT 安全的十大提示

如果您的智能設(shè)備配備了不可更改的憑據(jù)或任何類型的身份驗(yàn)證/授權(quán)機(jī)制，請(qǐng)幫自己一個(gè)大忙，不要購(gòu)買它！從OWASP 2018年十大物聯(lián)網(wǎng)漏洞列表中可以看出，不安全的生態(tài)系統(tǒng)（Web界面、云界面等）、數(shù)據(jù)安全和物理安全等幾個(gè)問(wèn)題保留了2014年之前的前10名位置。這讓我們對(duì)物聯(lián)網(wǎng)設(shè)備安全的發(fā)展方向和速度有所了解。它還對(duì)物聯(lián)網(wǎng)安全解決方案的有效性和采用率提出了相關(guān)問(wèn)題。

然而，由于物聯(lián)網(wǎng)正在成為我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠郑覀儽仨毐M最大努力保護(hù)我們的連接設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。這里有一些方法可以做到這一點(diǎn)。

1. 了解您的網(wǎng)絡(luò)及其上的連接設(shè)備

當(dāng)您的設(shè)備連接到互聯(lián)網(wǎng)時(shí)，如果設(shè)備沒(méi)有得到充分保護(hù)，這些連接會(huì)使您的整個(gè)網(wǎng)絡(luò)容易受到攻擊，并容易受到攻擊者的攻擊。隨著越來(lái)越多的設(shè)備配備了 Web 界面，很容易忘記哪些設(shè)備可以通過(guò)線路訪問(wèn)。為了保持安全，了解您的網(wǎng)絡(luò)至關(guān)重要——網(wǎng)絡(luò)上的設(shè)備以及它們?nèi)菀仔孤兜男畔㈩愋停ㄌ貏e是如果它們的相應(yīng)應(yīng)用程序具有社交共享功能）。

網(wǎng)絡(luò)犯罪分子使用您的位置、您的個(gè)人詳細(xì)信息等信息來(lái)密切關(guān)注您——這可能會(huì)轉(zhuǎn)化為現(xiàn)實(shí)世界的危險(xiǎn)。

2. 評(píng)估網(wǎng)絡(luò)上的 IoT 設(shè)備

一旦您知道哪些設(shè)備已連接到您的網(wǎng)絡(luò)，請(qǐng)審核您的設(shè)備以了解其安全性。物聯(lián)網(wǎng)安全可以通過(guò)及時(shí)安裝制造商網(wǎng)站的安全補(bǔ)丁和更新、檢查具有更強(qiáng)安全功能的新型號(hào)等來(lái)實(shí)現(xiàn)。此外，在購(gòu)買之前，請(qǐng)仔細(xì)閱讀以了解該品牌的安全性是多么重要。問(wèn)問(wèn)自己：

• 其任何產(chǎn)品是否報(bào)告了導(dǎo)致違規(guī)的安全漏洞？
• 公司是否在向潛在客戶推銷產(chǎn)品時(shí)滿足網(wǎng)絡(luò)安全需求？
• 如何在他們的智能解決方案中實(shí)施安全控制？

3. 實(shí)施強(qiáng)密碼來(lái)保護(hù)您的所有設(shè)備和帳戶

使用不容易被猜到的強(qiáng)大、獨(dú)特的密碼來(lái)保護(hù)您的所有帳戶和設(shè)備。擺脫默認(rèn)密碼或常見密碼，如“admin”或“password123”。如果需要，請(qǐng)使用密碼管理器來(lái)跟蹤您的所有密碼。確保您和您的員工不要在多個(gè)帳戶中使用相同的密碼，并確保定期更改它們。

這些步驟有助于防止您的所有帳戶遭到入侵，即使其中一個(gè)帳戶暴露了任何敏感的帳戶信息。除了密碼到期日期外，請(qǐng)務(wù)必對(duì)錯(cuò)誤密碼嘗試的次數(shù)設(shè)置限制，并實(shí)施帳戶鎖定策略。

4. 為您的智能設(shè)備使用單獨(dú)的網(wǎng)絡(luò)

為您的智能設(shè)備使用獨(dú)立于家庭或商業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)可能是實(shí)現(xiàn)物聯(lián)網(wǎng)安全的最具戰(zhàn)略性的方法之一。通過(guò)網(wǎng)絡(luò)分段，即使攻擊者找到了進(jìn)入您的智能設(shè)備的方法，他們也無(wú)法訪問(wèn)您的業(yè)務(wù)數(shù)據(jù)或嗅探您從個(gè)人筆記本電腦進(jìn)行的銀行轉(zhuǎn)賬。

5. 重新配置默認(rèn)設(shè)備設(shè)置

通常情況下，我們的許多智能設(shè)備都帶有不安全的默認(rèn)設(shè)置。更糟糕的是，有時(shí)，您無(wú)法修改這些設(shè)備配置！弱默認(rèn)憑據(jù)、侵入性功能和權(quán)限、開放端口等需要根據(jù)您的要求進(jìn)行評(píng)估和重新配置。

6. 安裝防火墻和其他信譽(yù)良好的物聯(lián)網(wǎng)安全解決方案以識(shí)別漏洞

安裝防火墻以阻止未經(jīng)授權(quán)的線路流量，并運(yùn)行入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng) （IDS/IPS） 以監(jiān)控和分析網(wǎng)絡(luò)流量。您還可以使用自動(dòng)漏洞掃描程序來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的安全漏洞。使用端口掃描器來(lái)識(shí)別打開的端口并查看正在運(yùn)行的網(wǎng)絡(luò)服務(wù)。確定是否絕對(duì)需要這些端口，并檢查在其上運(yùn)行的服務(wù)是否存在已知漏洞。

7. 使用強(qiáng)加密并避免通過(guò)不安全的網(wǎng)絡(luò)進(jìn)行連接

如果您決定遠(yuǎn)程檢查您的智能設(shè)備，切勿使用公共 Wi-Fi 網(wǎng)絡(luò)或未實(shí)施可靠加密協(xié)議的網(wǎng)絡(luò)進(jìn)行檢查。確保您自己的網(wǎng)絡(luò)設(shè)置不會(huì)在 WEP 或 WPA 等過(guò)時(shí)的標(biāo)準(zhǔn)上運(yùn)行，而是使用 WPA2。不安全的互聯(lián)網(wǎng)連接可能會(huì)使您的數(shù)據(jù)和設(shè)備暴露在攻擊者面前。盡管發(fā)現(xiàn) WPA2 本身容易受到密鑰重新安裝攻擊 （KRACK） 的攻擊，并且 WPA3 容易受到 Dragonblood 攻擊，但安裝更新和補(bǔ)丁是前進(jìn)的唯一途徑，接受最低級(jí)別的風(fēng)險(xiǎn)。

8. 在不使用設(shè)備和功能時(shí)斷開它們

查看應(yīng)用程序權(quán)限并閱讀這些應(yīng)用程序的隱私政策，以了解它們打算如何使用您共享的信息。禁用遠(yuǎn)程訪問(wèn)或語(yǔ)音控制等功能，除非您正在使用它們來(lái)實(shí)施更頑強(qiáng)的物聯(lián)網(wǎng)安全檢查。如果需要，您可以隨時(shí)啟用它們。當(dāng)您不使用設(shè)備時(shí)，請(qǐng)考慮完全斷開它們與網(wǎng)絡(luò)的連接。

9. 關(guān)閉通用即插即用 （UPnP）

雖然通用即插即用旨在無(wú)縫聯(lián)網(wǎng)設(shè)備而無(wú)需配置麻煩，但由于 UPnP 協(xié)議中的漏洞，它還使這些相同的設(shè)備更容易被本地網(wǎng)絡(luò)外部的黑客發(fā)現(xiàn)。默認(rèn)情況下，UPnP 在多個(gè)路由器上處于啟用狀態(tài)，因此請(qǐng)檢查您的設(shè)置并確保它已禁用，除非您愿意為了方便起見而犧牲安全性。

10. 通過(guò)實(shí)施物理安全來(lái)保護(hù)您的設(shè)備安全

盡量不要丟失您的手機(jī)，尤其是當(dāng)它加載了控制您的物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序時(shí)！如果您這樣做，除了在您的設(shè)備上具有 PIN/密碼/生物識(shí)別保護(hù)外，請(qǐng)確保您有能力遠(yuǎn)程擦除您的手機(jī)。設(shè)置自動(dòng)備份或有選擇地備份您可能需要的任何設(shè)備數(shù)據(jù)

此外，限制您的智能設(shè)備的可訪問(wèn)性。例如，您的冰箱需要 USB 端口嗎？提供對(duì)最小數(shù)量的端口的訪問(wèn)權(quán)限，并在可行的情況下考慮沒(méi)有 Web 訪問(wèn)（僅本地訪問(wèn)）。

物聯(lián)網(wǎng)安全分析工具

除了前面討論的物聯(lián)網(wǎng)安全解決方案外，還有一些其他工具可用于更好地了解和控制您的網(wǎng)絡(luò)。Wireshark 和 tcpdump（命令行實(shí)用程序）是兩個(gè)開源工具，可用于監(jiān)控和分析網(wǎng)絡(luò)流量。Wireshark 更加人性化，因?yàn)樗鼛в?GUI 并具有各種排序和過(guò)濾選項(xiàng)。

Shodan、Censys、Thingful 和 ZoomEye 是可用于物聯(lián)網(wǎng)設(shè)備的工具（如搜索引擎）。對(duì)于新用戶來(lái)說(shuō)，ZoomEye 可能是最容易弄清楚的一種，因?yàn)楫?dāng)您單擊過(guò)濾器時(shí)，搜索查詢會(huì)自動(dòng)生成。

ByteSweep 是一個(gè)面向設(shè)備制造商的免費(fèi)安全分析平臺(tái)，是測(cè)試人員可以在任何產(chǎn)品發(fā)貨前用來(lái)運(yùn)行檢查的另一種工具。

物聯(lián)網(wǎng)安全概要

無(wú)論風(fēng)險(xiǎn)如何，物聯(lián)網(wǎng)技術(shù)都具有巨大的潛力，這是不言而喻的。物聯(lián)網(wǎng)的連通性已被證明可用于解決各種設(shè)置和任務(wù)的問(wèn)題。當(dāng)公司急于采用最“符合”的東西，并且急于成為領(lǐng)導(dǎo)者時(shí)，問(wèn)題就出現(xiàn)了，他們要么完全忽略了潛在的安全風(fēng)險(xiǎn)，要么沒(méi)有足夠認(rèn)真地對(duì)待它。

在開發(fā)安全可靠的產(chǎn)品方面做出更一致和真誠(chéng)的努力，提高客戶的意識(shí)，并在發(fā)布設(shè)備之前進(jìn)行嚴(yán)格的測(cè)試，可以在很大程度上解決許多目前更多是疏忽而不是缺乏技能的問(wèn)題。