e-works数字化企业网  »  文章频道  »  基础信息化  »  物联网

保护物联网设备的10个安全提示

2020/5/14    来源:企业网D1Net    作者:Lumena Mukherjee      
关键字:物联网设备  物联网  
虽然物联网设备和工具有很多用途,可以让人们的工作和生活变得更轻松,但许多设备和工具可能有一些安全漏洞。

    物联网是一把双刃剑。从配备智能门锁的智能家居到通过Wi-Fi自动煮沸早茶的水壶,物联网技术让人们的生活变得简单得多,但其成本也可能要高得多。在物联网安全中,存在一些安全性权衡因素,并且可能弊大于利。

    在物联网技术进入企业、家庭以及日常生活之前,人们需要了解表明安全重要性的一些例子。

物联网安全性:物联网设备使人们容易受伤害

    黑客可以通过网络上的设备进入企业的网络。网络安全服务商Darktrace公司首席执行官Nicole Eagan介绍了一起物联网设备安全事例,该事例发生在美国一家未透露名称的赌场,网络攻击者能够通过该赌场的一个水族馆智能温度计的漏洞访问其数据库。

    在讨论物联网设备安全性指南之前,人们需要了解一些物联网安全漏洞的例子。

家用消费类智能设备的安全漏洞

    如果看过有关Alexa和Google Home智能助理中的安全漏洞是如何被欺诈并窃听用户的调查报告,那么人们对物联网设备安全性的担心是对的。尽管亚马逊公司和谷歌公司每次都会采取应对措施,但他们仍被更新的网络攻击技术所挫败。

    除此之外,三星公司推出的智能冰箱也有安全漏洞,由于其显示屏与用户的Gmail日历集成在一起,即使已部署SSL来确保Gmail集成的安全,冰箱本身也无法验证SSL/TLS证书,这为黑客进入其所在网络并窃取登录凭据打开了大门。

    值得称赞的是,三星公司在软件更新中修复了该错误,但当这个知名品牌都会遭到网络攻击并导致破坏时,这将让大量用户感到不安。这揭示了一个几乎不可避免的事实,即功能性往往优先于安全性,对于知名厂商更是如此。更重要的是,2015年,三星集团还表示将在其智能电视中收集和使用用户的数据:如果用户的口令包含个人信息或其他敏感信息,则这些信息可能通过使用语音识别技术捕获并传输给第三方。

    例如全球知名的苹果公司在遭遇网络攻击方面也难以幸免。2019年2月,用户在苹果公司的FaceTime应用程序中发现了一个严重漏洞,网络攻击者可以在接受或拒绝来电之前访问某人的iPhone摄像头和麦克风。

    随着网络攻击者找到巧妙的方法来逃避安全控制以窃取数据,造成的破坏或许只是一种破坏性的行为,但是,如果这样的事例发生在智能家居设施,那么将会发生什么?

物联网设备被Mirai公司等大型僵尸网络利用

    Mirai是一种以物联网为中心的恶意软件,它以弱凭据来感染物联网设备,将其转变为远程控制的僵尸或机器人网络。尽管Mirai的创建者已被抓获,但他们已对外发布了该恶意软件的源代码(可能是为了混淆和分散注意力),现在它具有多个变体。

    僵尸网络已被用来发起多种DDoS攻击,其中一种攻击是针对罗格斯大学的网络攻击,另一种针对为Netflix和Twitter等知名厂商提供域名服务的Dyn公司的攻击。

植入式医疗器械的安全漏洞

    在科技领域,几乎没有什么设备能逃脱网络罪犯的控制,其中包括医疗设备。

    在2018年召开的一次黑帽会议上,WhiteScope公司的Billy Rios和QED Secure Solutions公司的Jonathan Butts展示了黑客如何通过远程控制技术攻击可以挽救患者生命的植入式医疗器械,并可能进行操纵对患者造成伤害。两位安全研究人员演示了如何禁用胰岛素泵并控制美敦力公司生产的心脏起搏器系统。作为回应,美敦力公司将这个漏洞清除,但并未承认这种情况的严重性,甚至在这个漏洞警报提交给他们570天之后,该公司仍没有积极解决这个问题。

    人们为此可能推测,由远程控制的物联网设备组成的网络如何被用来摧毁电网(或用于供水系统的监控与数据采集系统,或控制天然气管道等),或者婴儿监护仪可能被黑客攻击,这些设想会令人感到不安。但仍然可以肯定的是物联网设备的漏洞将会继续存在。因此,如果要避免危机,物联网设备制造商需要更加注意其中的安全风险,高级持续性威胁(APT)更加危险。

物联网最大的安全风险是什么?

    尽管人们对物联网面临的最大安全风险没有太多发言权,但可以在某种程度上通过采取一些安全措施来保护物联网设备。开放式网络应用程序安全项目(OWASP)基金会是一个全球性的非营利性组织,旨在提高企业对网络应用程序安全性、移动设备安全性等领域中的安全风险的意识,以便组织和个人可以做出明智的决定。

    下表列出了开放式网络应用程序安全项目(OWASP)基金会于2014和2018年在智能设备中发现的十大物联网漏洞:

十大物联网漏洞

图1 十大物联网漏洞

企业保证物联网安全的十大技巧

    如果企业的智能设备配备了不可更改的凭据或任何类型的身份验证/授权机制,那么不要购买和使用。从开放式网络应用程序安全项目(OWASP)列出的2018年十大物联网漏洞列表中可以看出,不安全的生态系统(Web接口和云平台接口等)、数据安全性和物理安全性等一些问题在2014年以前一直保持前10位。这使人们对物联网设备安全性发展的方向和速度有了一个清晰的认识。它还提出了有关物联网安全解决方案的有效性和采用率的相关问题。

    然而,由于物联网正成为人们日常生活中不可或缺的一部分,必须尽最大努力保护联网设备、数据和网络。以下是一些可以采用的措施和方法。

    1.了解采用的网络及其连接设备

    当企业的设备连接到全球互联网时,这些连接会使企业的网络容易受到攻击,并且如果设备没有得到足够的安全保护,网络攻击者也可以使用这些设备。由于越来越多的设备配备了网络接口,因此企业工作人员很容易忘记哪些设备可以通过网络访问。为了确保安全,企业IT人员必须了解其网络、网络上的设备,以及容易泄露的信息类型(尤其是具有社交共享功能的应用程序)。

    网络攻击者使用诸如位置和个人详细信息等来跟踪人员的情况,这可能会转化为现实中的危险。

    2.评估网络上的物联网设备

    在知道哪些设备连接到网络后,需要对设备进行审核以了解其安全性。可以通过从制造商的网站上安装安全补丁和更新,检查具有更强安全功能的更新设备等措施来实现物联网安全。此外,在购买设备之前,需要了解该品牌设备的安全性。企业采购和应用人员需要问自己一些问题:

    ●其产品是否报告了导致危害的安全漏洞?

    ●设备商在向潜在客户推销产品时是否满足网络安全需求?

    ●如何在其智能解决方案中实施安全控制?

    3.实施强密码保护企业的所有设备和帐户

    企业需要使用不易被猜到的、安全性强的独特密码来保护其所有帐户和设备。不要采用默认密码或普通密码(例如“admin”或“password123”)。如果需要,使用密码管理器来跟踪所有密码。确保企业和其员工不在多个帐户中使用相同的密码,并确保定期进行更改。

    这些步骤有助于防止其所有帐户遭到泄露。除了密码到期日期外,需要确保设置了错误密码尝试次数的限制,并实施帐户锁定策略。

    4.为智能设备使用单独的网络

    企业为其智能设备使用与家庭或企业网络不同的网络,这可能是提高物联网安全性最具战略意义的方法之一。通过网络分段措施,即使网络攻击者找到了进入企业智能设备的途径,他们也无法访问企业的业务数据。

    5.重新配置默认设备设置

    通常情况下,许多智能设备在出厂时都带有不安全的默认设置。更糟糕的是,有时无法修改这些设备的配置。企业需要根据其要求评估和重新配置默认凭据、侵入式功能和权限、开放端口等。

    6.安装防火墙和其他知名的物联网安全解决方案以识别漏洞

    安装防火墙以阻止未经授权的网络流量,并运行入侵检测系统(IDS)/入侵防御系统(IPS)来监视和分析网络流量。企业还可以使用自动漏洞扫描程序来发现网络基础设施中的安全漏洞。使用端口扫描程序来识别打开的端口并查看正在运行的网络服务。确定是否需要这些端口,并检查它们上运行的服务是否存在已知漏洞。

    7.使用强加密并避免通过不安全的网络连接

    如果企业决定远程检查智能设备,则切勿使用公共Wi-Fi网络或未实施可靠加密协议的网络进行检查。企业确保自己的网络设置未在过时的标准(例如WEP或WPA)上运行,而是使用WPA2标准。不安全的互联网连接会使企业数据和设备容易受到网络攻击者的攻击。尽管发现WPA2本身很容易受到密钥重新安装攻击或KRACK的攻击,而WPA3容易受到Dragonblood攻击的影响,但是安装更新和补丁程序是保持业务安全运营的唯一途径,并且可以将风险降至最低。

    8.在不使用设备和功能时断开网络连接

    查看应用程序权限并阅读这些应用程序的隐私权政策,以了解它们打算如何使用其共享的信息。除非企业要使用远程访问或语音控制等功能来实施更持久的物联网安全检查,否则必须禁用它们。如果需要,可以随时启用它们。当企业不使用设备时,需要考虑将它们与网络完全断开。

    9.关闭通用的即插即用(UPnP)功能

    通用即插即用功能旨在无缝地连接网络设备,而无需进行配置,但由于UPnP协议中的漏洞,这些设备也更容易被黑客发现。即插即用(UPnP)功能在默认情况下会在多个路由器上启用,因此除非企业为方便起见而愿意牺牲安全性,否则需要检查设置并确保已经禁用。

    10.通过实施物理安全保护设备安全

    尽量不要丢失手机,尤其是当手机中装有可控制物联网设备的应用程序时。如果这样做,除了在设备上具有PIN/密码/生物识别保护外,需要确保用户具有远程擦除手机数据的功能。需要设置自动备份或有选择地备份企业可能需要的任何设备数据。

    此外,限制企业的智能设备的可访问性。例如冰箱需要USB端口吗?允许访问最小数量的端口,并在可行的情况下考虑不进行Web访问(仅本地访问)。

物联网安全的一些分析工具

    除了以上讨论的物联网安全解决方案之外,企业还有一些其他工具可用于更好地查看和控制其网络。Wireshark和tcpdump(命令行实用程序)是两个开源工具,可以用来监视和分析网络流量。Wireshark更加用户友好,因为它带有一个GUI,并且有各种排序和过滤选项。

    Shodan、Censys、Thingful和ZoomEye是可以用于物联网设备的工具(如搜索引擎)。ZoomEye也许是更适用于新用户的工具,因为单击过滤器后会自动生成搜索查询。

    ByteSweep是设备制造商提供的一个免费安全分析平台,它是测试人员可以在产品出厂之前用来进行检查的另一个工具。

物联网安全的概述

    无论风险有多大,物联网技术都有着巨大的潜力,这是一个毋庸置疑的事实。物联网的连接性证明了它在解决各种环境和任务方面的有用性。而企业急于采用一些并不成熟的技术和产品时可能会出现问题,这些企业或者完全忽略了潜在的安全风险,或者没有足够重视。

    在开发安全可靠的产品、提高客户意识以及推出新设备之前,需要进行严格的测试,这可以在很大程度上解决当前许多被忽视的物联网安全问题。

责任编辑:程玥
本文来源于互联网,e-works本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并已尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐