如何確保物聯(lián)網(wǎng)安全?應(yīng)徹底檢查以下三個(gè)方面
物聯(lián)網(wǎng)零散的安全記錄長(zhǎng)期以來一直是安全界的討論話題,但2016年10月的Mirai惡意軟件攻擊事件引起了世界各國(guó)的關(guān)注。
這是對(duì)物聯(lián)網(wǎng)第一次成功的大規(guī)模安全攻擊,利用惡意軟件將易受攻擊的物聯(lián)網(wǎng)設(shè)備變成僵尸網(wǎng)絡(luò)大軍,通過多種大規(guī)模DDoS攻擊摧毀Netflix、Twitter和Reddit等知名網(wǎng)站。
Mirai并不是一個(gè)復(fù)雜的惡意軟件,它只是在物聯(lián)網(wǎng)設(shè)備上掃描網(wǎng)絡(luò)上的Telnet開放端口,然后嘗試總共61個(gè)默認(rèn)密碼,試圖獲得盡可能多的設(shè)備控制權(quán)。
這是一個(gè)令人擔(dān)憂的成功策略,有近40萬臺(tái)設(shè)備在巔峰時(shí)刻連接在一起,足以造成大規(guī)模破壞。更重要的是,它提出了一個(gè)嚴(yán)重問題,即便是粗糙惡意軟件也可以輕松通過薄弱的物聯(lián)網(wǎng)安全實(shí)踐。
過去的錯(cuò)誤
MiRAI惡意軟件攻擊聽起來像是糟糕的情況,但不幸的是,有相當(dāng)多的物聯(lián)網(wǎng)設(shè)備( Gartner預(yù)測(cè),2017年有84億臺(tái)連網(wǎng)設(shè)備,到2020年將增至204億臺(tái) ) 極易受到這種攻擊。
近年來,許多制造商和供應(yīng)商急于利用物聯(lián)網(wǎng)市場(chǎng)的快速增長(zhǎng)機(jī)會(huì),并沒有采取強(qiáng)有力的安全措施,以便盡快將產(chǎn)品推向市場(chǎng)。
因此,如今許多設(shè)備都有默認(rèn)密碼和憑據(jù),使用不安全的配置,并且眾所周知的難以升級(jí)??傊?,他們很容易被攻擊。
新低級(jí)協(xié)議黑客(如KRACK )的出現(xiàn),也讓潛在攻擊者更容易繞過和破壞物聯(lián)網(wǎng)基礎(chǔ)設(shè)施,并注入惡意代碼,或操縱易受攻擊設(shè)備中的數(shù)據(jù)。
這樣做可能會(huì)產(chǎn)生嚴(yán)重影響。例如,如果設(shè)備需要與云應(yīng)用程序同步,惡意代碼或操縱的數(shù)據(jù)可能被用來感染云或發(fā)回不正確的設(shè)置或操作,從而帶來潛在的破壞性后果。
幸運(yùn)的是,物聯(lián)網(wǎng)制造商和供應(yīng)商正慢慢意識(shí)到設(shè)備和基礎(chǔ)設(shè)施保護(hù)不足所帶來的安全風(fēng)險(xiǎn)。
但是,由于已經(jīng)有那么多保護(hù)不良的設(shè)備(并且還在生產(chǎn)中)存在,在進(jìn)行任何實(shí)施之前,從各種不同角度對(duì)安全進(jìn)行全面評(píng)估仍然是絕對(duì)必要的。
物聯(lián)網(wǎng)安全的三個(gè)關(guān)鍵領(lǐng)域至少應(yīng)徹底檢查以下三個(gè)方面:
軟件:在安裝任何新設(shè)備之前,務(wù)必確保制造商從一開始就遵守嚴(yán)格的軟件安全措施,而不是事后才采取的措施。其核心是能夠遠(yuǎn)程修補(bǔ)設(shè)備,為抵御網(wǎng)絡(luò)威脅和軟件進(jìn)步提供急需的未來防護(hù)。
硬件:物理安全是評(píng)估新物聯(lián)網(wǎng)設(shè)備的另一個(gè)關(guān)鍵領(lǐng)域。包括物理開關(guān)這樣簡(jiǎn)單的東西,允許用戶在需要時(shí)關(guān)閉某些功能(例如,具有麥克風(fēng)功能的設(shè)備靜音按鈕)。在組件中集成防篡改措施也大大減少了未經(jīng)許可訪問它們的機(jī)會(huì)。
網(wǎng)絡(luò):對(duì)于物聯(lián)網(wǎng)設(shè)備與后端管理或存儲(chǔ)解決方案之間的任何數(shù)據(jù)交換,應(yīng)始終使用HTTPS等安全協(xié)議。強(qiáng)身份驗(yàn)證方法也很重要,應(yīng)提示用戶在首次使用時(shí)立即將任何默認(rèn)憑據(jù)更改為強(qiáng)大的字母數(shù)字替代方法。
與許多新技術(shù)一樣,制造商和供應(yīng)商在過去幾年物聯(lián)網(wǎng)熱潮中很容易忘記了安全的重要性。 然而,現(xiàn)在蜜月期已經(jīng)結(jié)束,而像Mirai這樣危險(xiǎn)新型惡意軟件構(gòu)成的威脅變得更加普遍,每個(gè)人都需要開始認(rèn)真對(duì)待。
上述基本安全原則將有助于抵御外部威脅。幸運(yùn)的是,業(yè)界已經(jīng)開始意識(shí)到這一點(diǎn),但在更好的安全措施變得更加普遍之前,對(duì)新的物聯(lián)網(wǎng)實(shí)施采取謹(jǐn)慎態(tài)度仍然是必不可少的。