物聯(lián)網(wǎng)零散的安全記錄長期以來一直是安全界的討論話題，但2016年10月的Mirai惡意軟件攻擊事件引起了世界各國的關(guān)注。

這是對物聯(lián)網(wǎng)第一次成功的大規(guī)模安全攻擊，利用惡意軟件將易受攻擊的物聯(lián)網(wǎng)設(shè)備變成僵尸網(wǎng)絡(luò)大軍，通過多種大規(guī)模DDoS攻擊摧毀Netflix、Twitter和Reddit等知名網(wǎng)站。

Mirai并不是一個復雜的惡意軟件，它只是在物聯(lián)網(wǎng)設(shè)備上掃描網(wǎng)絡(luò)上的Telnet開放端口，然后嘗試總共61個默認密碼，試圖獲得盡可能多的設(shè)備控制權(quán)。

這是一個令人擔憂的成功策略，有近40萬臺設(shè)備在巔峰時刻連接在一起，足以造成大規(guī)模破壞。更重要的是，它提出了一個嚴重問題，即便是粗糙惡意軟件也可以輕松通過薄弱的物聯(lián)網(wǎng)安全實踐。

[[242451]]

過去的錯誤

MiRAI惡意軟件攻擊聽起來像是糟糕的情況，但不幸的是，有相當多的物聯(lián)網(wǎng)設(shè)備( Gartner預測，2017年有84億臺連網(wǎng)設(shè)備，到2020年將增至204億臺 ) 極易受到這種攻擊。

近年來，許多制造商和供應(yīng)商急于利用物聯(lián)網(wǎng)市場的快速增長機會，并沒有采取強有力的安全措施，以便盡快將產(chǎn)品推向市場。

因此，如今許多設(shè)備都有默認密碼和憑據(jù)，使用不安全的配置，并且眾所周知的難以升級。總之，他們很容易被攻擊。

新低級協(xié)議黑客(如KRACK )的出現(xiàn)，也讓潛在攻擊者更容易繞過和破壞物聯(lián)網(wǎng)基礎(chǔ)設(shè)施，并注入惡意代碼，或操縱易受攻擊設(shè)備中的數(shù)據(jù)。

這樣做可能會產(chǎn)生嚴重影響。例如，如果設(shè)備需要與云應(yīng)用程序同步，惡意代碼或操縱的數(shù)據(jù)可能被用來感染云或發(fā)回不正確的設(shè)置或操作，從而帶來潛在的破壞性后果。

幸運的是，物聯(lián)網(wǎng)制造商和供應(yīng)商正慢慢意識到設(shè)備和基礎(chǔ)設(shè)施保護不足所帶來的安全風險。

但是，由于已經(jīng)有那么多保護不良的設(shè)備(并且還在生產(chǎn)中)存在，在進行任何實施之前，從各種不同角度對安全進行全面評估仍然是絕對必要的。

物聯(lián)網(wǎng)安全的三個關(guān)鍵領(lǐng)域

至少應(yīng)徹底檢查以下三個方面：

• 軟件：在安裝任何新設(shè)備之前，務(wù)必確保制造商從一開始就遵守嚴格的軟件安全措施，而不是事后才采取的措施。其核心是能夠遠程修補設(shè)備，為抵御網(wǎng)絡(luò)威脅和軟件進步提供急需的未來防護。
• 硬件：物理安全是評估新物聯(lián)網(wǎng)設(shè)備的另一個關(guān)鍵領(lǐng)域。包括物理開關(guān)這樣簡單的東西，允許用戶在需要時關(guān)閉某些功能(例如，具有麥克風功能的設(shè)備靜音按鈕)。在組件中集成防篡改措施也大大減少了未經(jīng)許可訪問它們的機會。
• 網(wǎng)絡(luò)：對于物聯(lián)網(wǎng)設(shè)備與后端管理或存儲解決方案之間的任何數(shù)據(jù)交換，應(yīng)始終使用HTTPS等安全協(xié)議。強身份驗證方法也很重要，應(yīng)提示用戶在首次使用時立即將任何默認憑據(jù)更改為強大的字母數(shù)字替代方法。

與許多新技術(shù)一樣，制造商和供應(yīng)商在過去幾年物聯(lián)網(wǎng)熱潮中很容易忘記了安全的重要性。 然而，現(xiàn)在蜜月期已經(jīng)結(jié)束，而像Mirai這樣危險新型惡意軟件構(gòu)成的威脅變得更加普遍，每個人都需要開始認真對待。

上述基本安全原則將有助于抵御外部威脅。幸運的是，業(yè)界已經(jīng)開始意識到這一點，但在更好的安全措施變得更加普遍之前，對新的物聯(lián)網(wǎng)實施采取謹慎態(tài)度仍然是必不可少的。