物聯(lián)網(wǎng)還面臨著哪些安全和風(fēng)險挑戰(zhàn)

2016年10月，有史以來最復(fù)雜和最具破壞性的網(wǎng)絡(luò)攻擊之一摧毀了Twitter等主要網(wǎng)站，同時大大惡化了其他多個知名網(wǎng)站的用戶體驗(yàn)，包括PayPal、Spotify、CNN、Mashable、Yelp、華爾街日報和紐約時報。這種分布式拒絕服務(wù)攻擊（DDOS）的規(guī)模非常驚人，這要?dú)w功于來自數(shù)十萬個獨(dú)特互聯(lián)網(wǎng)地址的巨大流量。原來，一名黑客發(fā)現(xiàn)了某種型號安全攝像頭的漏洞。通過接管這些攝像頭，攻擊者可以將大量流量引導(dǎo)到目標(biāo)網(wǎng)站，這使得合法用戶無法訪問這些網(wǎng)站。毫無疑問，物聯(lián)網(wǎng)有許多好處。然而，這次攻擊是一個典型的例子，說明物聯(lián)網(wǎng)在惡意者手中是一種極具破壞性的武器。這并不是說只有攝像頭可以被劫持，從汽車、冰箱到恒溫器和智能鎖，任何與網(wǎng)絡(luò)連接的東西都是黑客的誘人目標(biāo)。

互聯(lián)網(wǎng)不再只是一個由服務(wù)器、路由器、交換機(jī)、臺式電腦、筆記本電腦、平板電腦和智能手機(jī)等傳統(tǒng)計算設(shè)備組成的網(wǎng)絡(luò)。事實(shí)上，預(yù)計物聯(lián)網(wǎng)設(shè)備的數(shù)量最終將遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的計算設(shè)備。從傳達(dá)食物新鮮度更新的冰箱，到向車主傳輸油位信息的汽車，物聯(lián)網(wǎng)在許多方面都代表著便利性，然而，正如一些與物聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)攻擊所顯示的那樣，它也帶來了不可忽視的巨大風(fēng)險。下面我們將介紹一些最大的物聯(lián)網(wǎng)風(fēng)險。

1、物聯(lián)網(wǎng)設(shè)備制造過程

制造商每天都向市場發(fā)布無數(shù)的物聯(lián)網(wǎng)設(shè)備，其中許多都是新型號，并且具有未發(fā)現(xiàn)的漏洞。制造商疏忽是困擾物聯(lián)網(wǎng)設(shè)備絕大多數(shù)安全問題的原因所在。許多設(shè)備制造商將網(wǎng)絡(luò)連接視為其設(shè)備功能的一個優(yōu)勢，而不是核心功能。因此，他們并沒有投入應(yīng)有的時間和資源來確保其產(chǎn)品免受網(wǎng)絡(luò)攻擊。

例如，一些具有藍(lán)牙連接功能的健身追蹤器在啟動配對后，任何人都可以連接到該設(shè)備而無需身份驗(yàn)證；一些智能冰箱會暴露郵箱登錄憑證。沒有一個通用的標(biāo)準(zhǔn)來保護(hù)物聯(lián)網(wǎng)設(shè)備。然而，這并不是制造安全性差設(shè)備的合理理由。制造過程中產(chǎn)生的最大物聯(lián)網(wǎng)風(fēng)險包括密碼安全性不足、硬件不安全、缺少補(bǔ)丁機(jī)制以及不安全的數(shù)據(jù)存儲。

2、用戶缺乏意識和知識

由于幾十年的認(rèn)知，普通互聯(lián)網(wǎng)用戶相當(dāng)擅長于避免網(wǎng)絡(luò)釣魚郵件、忽略可疑附件、在計算機(jī)上運(yùn)行病毒掃描或創(chuàng)建強(qiáng)密碼。但是物聯(lián)網(wǎng)是一個新領(lǐng)域，即使對許多經(jīng)驗(yàn)豐富的IT專業(yè)人員來說，它仍然是陌生和被誤解的。

盡管大多數(shù)最大的物聯(lián)網(wǎng)風(fēng)險可以追溯到制造過程，但用戶是物聯(lián)網(wǎng)安全風(fēng)險的更危險驅(qū)動因素，尤其是當(dāng)用戶不了解物聯(lián)網(wǎng)功能時?！捌垓_手段”通常是在不引起懷疑的情況下侵入到受限網(wǎng)絡(luò)的最簡單方法，而黑客可以使用物聯(lián)網(wǎng)設(shè)備來做到這一點(diǎn)。

2010年對伊朗核設(shè)施的震網(wǎng)蠕蟲攻擊是由離心機(jī)控制軟件通過插入工廠計算機(jī)上的U盤感染引起的。現(xiàn)代離心機(jī)是一種物聯(lián)網(wǎng)設(shè)備，因?yàn)樗鼈儑?yán)重依賴信息技術(shù)。一些報告估計震網(wǎng)實(shí)際損壞了大約1000臺離心機(jī)。

3、補(bǔ)丁和更新管理困難

無論制造商為其物聯(lián)網(wǎng)產(chǎn)品在創(chuàng)建安全硬件和軟件方面做了多少工作，在未來的某個時刻都不可避免地會發(fā)現(xiàn)新的漏洞，因此，需要更新以確保物聯(lián)網(wǎng)設(shè)備的安全性。然而，物聯(lián)網(wǎng)設(shè)備的性質(zhì)和用途決定了它們并不總是易于定期更新——如果有的話。

想想遍布數(shù)百畝農(nóng)田的傳感器，或是工廠車間的物聯(lián)網(wǎng)設(shè)備，它們無法在不影響生產(chǎn)的情況下離線更新。更糟糕的是，即使可以定期更新補(bǔ)丁，如果更新導(dǎo)致軟件損壞或不穩(wěn)定，用戶通常也無法將更新回滾到最后已知的良好狀態(tài)。

4、物理安全

物聯(lián)網(wǎng)設(shè)備應(yīng)該在很少或沒有人為干預(yù)的情況下運(yùn)行。有時，這些設(shè)備被安裝在偏遠(yuǎn)的地方，在那里它們可能會停留數(shù)周或數(shù)月，而沒有人對它們進(jìn)行物理檢查。這種情況使它們面臨被盜或物理篡改的嚴(yán)重危險，犯罪分子可以竊取設(shè)備或使用閃存驅(qū)動器來引入惡意軟件，這可能會使攻擊者獲得對敏感信息的訪問權(quán)限，它們還可能干擾物聯(lián)網(wǎng)設(shè)備的功能，導(dǎo)致其收集和轉(zhuǎn)發(fā)的任何數(shù)據(jù)都不可靠。

5、僵尸網(wǎng)絡(luò)

2016年大規(guī)模的Mirai僵尸網(wǎng)絡(luò)DDoS攻擊是不安全物聯(lián)網(wǎng)設(shè)備造成潛在危險的一個標(biāo)志。單個受感染的物聯(lián)網(wǎng)設(shè)備除了對其收集的數(shù)據(jù)造成影響以外，并不是重大威脅。然而，當(dāng)集中控制的惡意軟件感染了成千上萬臺設(shè)備時，情況就不同了，如此多的流氓設(shè)備可能會對網(wǎng)站和網(wǎng)絡(luò)造成巨大破壞。物聯(lián)網(wǎng)設(shè)備更容易受到惡意僵尸網(wǎng)絡(luò)的攻擊，因?yàn)樗鼈儾惶赡茏龅蕉ㄆ诟?。物?lián)網(wǎng)驅(qū)動的僵尸網(wǎng)絡(luò)不僅會摧毀知名網(wǎng)站，而且還會危及電網(wǎng)、交通系統(tǒng)、水處理設(shè)施和制造工廠。

6、失去隱私和機(jī)密

黑客、政府和商業(yè)競爭對手可以使用物聯(lián)網(wǎng)設(shè)備來監(jiān)視和侵犯毫無戒心的個人和組織的隱私。此類第三方可在未經(jīng)業(yè)主許可或知情的情況下訪問、泄露和使用敏感機(jī)密信息。在最基本層面上，有人可以接管一個安全攝像頭，并用它來監(jiān)視目標(biāo)的行為和習(xí)慣；在更大的工業(yè)規(guī)模上，黑客可以從多個物聯(lián)網(wǎng)設(shè)備中捕獲數(shù)據(jù)，并使用它來敲詐目標(biāo)或?qū)⑵涑鍪劢o競爭對手。

7、設(shè)備識別挑戰(zhàn)

在您開始規(guī)劃設(shè)備和網(wǎng)絡(luò)的安全性之前，你必須對要保護(hù)的東西有一個清晰的概念。當(dāng)涉及日常計算機(jī)設(shè)備時，IT團(tuán)隊已經(jīng)在設(shè)備識別方面遇到困難。考慮到設(shè)備類型、品牌、型號和版本的多樣性，識別物聯(lián)網(wǎng)設(shè)備要困難得多。

識別連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備僅僅只是一個開始，然后，您必須執(zhí)行風(fēng)險評估，以明確了解設(shè)備擁有哪些網(wǎng)絡(luò)權(quán)限以及這些權(quán)限是否有必要。最后，您必須在規(guī)劃的企業(yè)級滲透測試中包含這些設(shè)備。

總結(jié)

物聯(lián)網(wǎng)旨在為日常流程帶來效率，然而，物聯(lián)網(wǎng)仍然面臨著諸多安全和風(fēng)險挑戰(zhàn)，而且未來還會出現(xiàn)更多。隨著物聯(lián)網(wǎng)設(shè)備多樣性的增加，安全挑戰(zhàn)的復(fù)雜性也隨之增加。為了獲得物聯(lián)網(wǎng)的好處，必須通過降低最大的物聯(lián)網(wǎng)風(fēng)險來確保這些設(shè)備的安全性。