【51CTO.com快譯】物聯(lián)網(wǎng)就像一把雙刃劍，它既能夠給我們帶來(lái)?yè)碛兄悄苕i的智能家居、以及可自動(dòng)煮早茶的Wi-Fi水壺，又在價(jià)格上不菲的同時(shí)，給我們的各種實(shí)用場(chǎng)景帶來(lái)潛在的安全隱患。

[[324481]]

黑客們可以通過(guò)物聯(lián)網(wǎng)所連接的設(shè)備輕松地進(jìn)入您的網(wǎng)絡(luò)。據(jù)說(shuō)，在北美一家賭場(chǎng)里，攻擊者就曾通過(guò)一個(gè)用于監(jiān)控魚(yú)缸溫度的智能溫度計(jì)上的低風(fēng)險(xiǎn)漏洞，攻破了其所在的物聯(lián)網(wǎng)，并訪問(wèn)到了賭場(chǎng)客戶的高端數(shù)據(jù)庫(kù)。

如果您覺(jué)得上述案例只是個(gè)別現(xiàn)象的話，那么下面發(fā)生在大公司物聯(lián)網(wǎng)產(chǎn)品上的安全事件，就代表著一定的普遍性：

• Amazon的Alexa和Google的Home智能助手都曾存在著安全性漏洞，某些網(wǎng)絡(luò)釣魚(yú)程序可以輕松地竊聽(tīng)用戶的信息(請(qǐng)參見(jiàn)：https://www.washingtonpost.com/technology/2019/05/06/alexa-has-been-eavesdropping-you-this-whole-time/)。
• Samsung智能冰箱上的顯示屏被設(shè)計(jì)為與用戶的Gmail日歷相集成，但是由于無(wú)法驗(yàn)證SSL/TLS證書(shū)，因此黑客可以潛入同一網(wǎng)段，并竊取登錄憑據(jù)。
• 2019年2月，Apple在其FaceTime應(yīng)用中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，攻擊者可以在接受或拒絕來(lái)電之前，訪問(wèn)目標(biāo)用戶的iPhone攝像頭和麥克風(fēng)(請(qǐng)參見(jiàn)：https://www.macworld.co.uk/news/iphone/facetime-bug-hack-3691275/)。
• 在2018年的黑帽子大會(huì)上，兩位安全研究人員演示了如何遠(yuǎn)程控制植入到人體內(nèi)的微型醫(yī)療器械，來(lái)禁用胰島素泵，并控制起搏器的設(shè)備系統(tǒng)。

此外，Mirai也是一種以物聯(lián)網(wǎng)為中心的惡意軟件，它以較弱的憑據(jù)去感染目標(biāo)設(shè)備，然后將其轉(zhuǎn)變?yōu)槟軌驅(qū)嵤┻h(yuǎn)程控制的僵尸網(wǎng)絡(luò)(zombies或bots)。盡管Mirai的原始創(chuàng)建者已被發(fā)現(xiàn)，其源代碼也被公布，但是它已經(jīng)具有了多個(gè)變種。它們會(huì)專門(mén)發(fā)起各種DDoS攻擊，其中包括：Rutgers University攻擊，以及針對(duì)Dyn(針對(duì)Netflix和Twitter等提供域名服務(wù)的公司)的攻擊。

最大的物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)是什么?

可見(jiàn)，我們需要通過(guò)安全措施來(lái)保護(hù)物聯(lián)網(wǎng)設(shè)備，限制其對(duì)我們生活的窺探。由開(kāi)放Web應(yīng)用安全項(xiàng)目(Open Web Application Security Project，OWASP)基金會(huì)創(chuàng)建的針對(duì)Web應(yīng)用安全、以及移動(dòng)安全等方面的風(fēng)險(xiǎn)意識(shí)表，就值得各類組織與個(gè)人予以借鑒和采用。下表列出了2014和2018年OWASP在智能設(shè)備中發(fā)現(xiàn)的十大物聯(lián)網(wǎng)漏洞：

(請(qǐng)參見(jiàn)：https://owasp.org/www-project-internet-of-things/)

從上述OWASP 2018版的十大物聯(lián)網(wǎng)漏洞列表中，我們可以看出：不安全的生態(tài)系統(tǒng)(包括Web接口、云接口等)，數(shù)據(jù)安全性，以及物理安全性等問(wèn)題，都是早在2014年以前就已經(jīng)上榜，而且一直保持在該列表之中的。這些有助于我們對(duì)物聯(lián)網(wǎng)設(shè)備的安全性發(fā)展方向和速度，有一個(gè)清晰的認(rèn)識(shí)。與此同時(shí)，這些也提出了有關(guān)物聯(lián)網(wǎng)安全解決方案的效力和采用率等相關(guān)問(wèn)題。

安全加固物聯(lián)網(wǎng)設(shè)備的十條“軍規(guī)”

由于物聯(lián)網(wǎng)已成為了我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?，因此我們必須合理地加固各種連接設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。在此，我們將和您討論十種常規(guī)且能夠盡快“落地”的十種方法。

1. 了解您的網(wǎng)絡(luò)及其所連接的設(shè)備

首先，您必須明白，一旦您的設(shè)備連接到了互聯(lián)網(wǎng)上，那么整個(gè)網(wǎng)絡(luò)就被暴露到了各種潛在的攻擊面前。因此如果設(shè)備本身的安全性不足，那么攻擊者就很容易得逞。隨著越來(lái)越多的設(shè)備都配備了可訪問(wèn)的Web界面，我們很容易及時(shí)地發(fā)現(xiàn)在網(wǎng)絡(luò)中，有哪些相鄰的設(shè)備“掉線”了。為了保障安全，您需要通過(guò)分析，順藤摸瓜地了解自己的物聯(lián)網(wǎng)絡(luò)、網(wǎng)絡(luò)上的設(shè)備、以及它們?nèi)菀仔孤兜男畔㈩愋?。而且特別值得注意的是設(shè)備上的應(yīng)用程序是否具有社交共享等屬性。網(wǎng)絡(luò)攻擊性會(huì)使用諸如位置信息、用戶個(gè)人詳細(xì)信息等元素，來(lái)跟蹤甚至竊取他們感興趣的其他內(nèi)容，進(jìn)而造成安全攻擊事故。

2. 評(píng)估在線的物聯(lián)網(wǎng)設(shè)備

我們需要持續(xù)對(duì)連接在自己物聯(lián)網(wǎng)中的設(shè)備進(jìn)行態(tài)勢(shì)評(píng)估，及時(shí)從制造廠商的網(wǎng)站上安裝與設(shè)備相對(duì)應(yīng)的安全補(bǔ)丁與更新，檢索具有更強(qiáng)安全功能的新型號(hào)設(shè)備予以更換。當(dāng)然，在采購(gòu)和添置之前，您應(yīng)當(dāng)盡量通過(guò)各種渠道，了解如下方面的信息：

• 其對(duì)應(yīng)的產(chǎn)品是否能夠及時(shí)披露或報(bào)告各種安全漏洞?
• 在向潛在客戶推銷其產(chǎn)品的同時(shí)，是否提及且滿足網(wǎng)絡(luò)安全的各項(xiàng)需求?
• 它是如何在自己的智能解決方案中實(shí)施安全控制的?

3. 用強(qiáng)密碼來(lái)保護(hù)您的設(shè)備和帳戶

請(qǐng)棄用默認(rèn)密碼或普通密碼(例如“admin”或“password123”)，改用不易被猜測(cè)且獨(dú)特的強(qiáng)密碼，來(lái)保護(hù)您的所有帳戶和設(shè)備。當(dāng)然，如果需要，您也可以使用密碼管理器來(lái)跟蹤并管理所有的密碼。同時(shí)，我們還應(yīng)確保自己、以及團(tuán)隊(duì)其他成員不在多個(gè)設(shè)備的帳戶中使用相同的密碼，并能夠定期對(duì)它們進(jìn)行變更。此外，除了密碼的固定過(guò)期周期之外，也請(qǐng)您設(shè)置好錯(cuò)誤密碼嘗試輸入的次數(shù)限制，并實(shí)施適當(dāng)?shù)膸翩i定策略。

4. 為智能設(shè)備提供單獨(dú)的網(wǎng)絡(luò)

如有可能，請(qǐng)將您的智能設(shè)備與家庭或企業(yè)的現(xiàn)有網(wǎng)絡(luò)分離開(kāi)來(lái)，這也是物聯(lián)網(wǎng)安全性最具戰(zhàn)略意義的方法之一。有了這種網(wǎng)絡(luò)分離的方式，即便攻擊者找到了進(jìn)入智能設(shè)備的途徑，他們也無(wú)法訪問(wèn)到您的業(yè)務(wù)數(shù)據(jù)，或是嗅探到您通過(guò)個(gè)人電腦的銀行轉(zhuǎn)帳記錄。

5. 重新配置設(shè)備上的默認(rèn)設(shè)置

通常，各種智能設(shè)備在出廠時(shí)都會(huì)帶有一些基本的，但并不安全的默認(rèn)設(shè)置。更糟的是，有時(shí)您都無(wú)法修改設(shè)備上的這些設(shè)置。因此，您需要在設(shè)備選型和設(shè)備配置階段，通過(guò)全面評(píng)估來(lái)重新配置默認(rèn)的信任憑據(jù)，易受攻擊的功能和賬號(hào)權(quán)限，以及開(kāi)放的端口等。

6. 啟用防火墻和其他主流物聯(lián)網(wǎng)安全解決方案以識(shí)別漏洞

您需要安裝防火墻以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量，運(yùn)行入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)(IDS/IPS)來(lái)監(jiān)視和分析現(xiàn)有的網(wǎng)絡(luò)流量。您還可以使用自動(dòng)漏洞掃描程序，來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的安全漏洞;以及使用端口掃描程序，來(lái)識(shí)別已開(kāi)啟的端口，并檢查正在運(yùn)行的網(wǎng)絡(luò)服務(wù)是否存在著已知漏洞。

7. 使用強(qiáng)加密來(lái)避免不安全的網(wǎng)絡(luò)連接

如果您需要遠(yuǎn)程檢查智能化設(shè)備，那么請(qǐng)切勿使用公共Wi-Fi網(wǎng)絡(luò)、或未采用可靠加密協(xié)議的網(wǎng)絡(luò)。不過(guò)，如果您必須使用公共Wi-Fi的話，請(qǐng)驗(yàn)證它是否啟用了WPA2，而不是那些諸如WEP或WPA等過(guò)時(shí)的標(biāo)準(zhǔn)。顯然，不安全的互聯(lián)網(wǎng)連接會(huì)使您的數(shù)據(jù)和設(shè)備輕易地受到攻擊。當(dāng)然，如今業(yè)界已發(fā)現(xiàn)WPA2本身也可能受到key重裝攻擊(KRACK，請(qǐng)參見(jiàn)：https://www.blackhat.com/docs/eu-17/materials/eu-17-Vanhoef-Key-Reinstallation-Attacks-Breaking-The-WPA2-Protocol-wp.pdf)，而就算是WPA3也容易受到Dragonblood的攻擊。

8. 在不使用設(shè)備及其功能時(shí)應(yīng)斷開(kāi)其連接

請(qǐng)檢查物聯(lián)網(wǎng)設(shè)備上應(yīng)用程序的運(yùn)行權(quán)限，并閱讀它們的隱私權(quán)政策，以獲悉它們將如何使用您提供共享的信息。如果并不需要，請(qǐng)禁用設(shè)備上的遠(yuǎn)程訪問(wèn)、或語(yǔ)音控制等功能，而且在此類設(shè)備的非使用的時(shí)段，將它們與連接的網(wǎng)絡(luò)完全斷開(kāi)。

9. 關(guān)閉通用即插即用(Universal Plug and Play，UPnP)

通用即插即用的主要功能是：在無(wú)需配置的情況下，無(wú)縫地連接到網(wǎng)絡(luò)設(shè)備上。不過(guò)，由于UPnP協(xié)議存在著漏洞，攻擊者可以很容易地從外部滲透到您的網(wǎng)絡(luò)中，并發(fā)現(xiàn)各種已連接的設(shè)備。由于UPnP在多臺(tái)路由器上是默認(rèn)開(kāi)啟的，因此除非您一定需要，否則請(qǐng)及時(shí)檢查設(shè)置并禁用之。

10. 通過(guò)實(shí)施物理安全來(lái)保護(hù)設(shè)備

盡量不要丟失那些已經(jīng)裝有管控物聯(lián)網(wǎng)設(shè)備應(yīng)用的手機(jī)。除了在設(shè)備上實(shí)施PIN/密碼/生物識(shí)別保護(hù)外，也請(qǐng)您安裝具有遠(yuǎn)程擦除功能的手機(jī)APP。同時(shí)，請(qǐng)?jiān)O(shè)置好自動(dòng)或有選擇性的備份策略，以轉(zhuǎn)存任何重要的數(shù)據(jù)。

此外，您也應(yīng)當(dāng)限制智能設(shè)備的可訪問(wèn)性。例如，是否應(yīng)該關(guān)閉冰箱的USB端口?限制某個(gè)端口允許并發(fā)訪問(wèn)的最大連數(shù)，以及在可行的情況下考慮禁用Web訪問(wèn)(即僅開(kāi)放本地訪問(wèn)的方式)。

物聯(lián)網(wǎng)安全分析工具

除了前面討論的物聯(lián)網(wǎng)安全加固方法之外，您還可以使用各種工具來(lái)更好地監(jiān)視和控制物聯(lián)網(wǎng)絡(luò)。例如，Wireshark和tcpdump(命令行實(shí)用程序)是兩個(gè)開(kāi)源的工具，它們可用于監(jiān)視與分析網(wǎng)絡(luò)流量。其中，Wireshark帶有GUI，除了具有各種排序和過(guò)濾的功能項(xiàng)，它還提供友好的用戶界面。

此外，Shodan、Censys、Thingful和ZoomEye也都是可用于搜索和管理物聯(lián)網(wǎng)設(shè)備的工具。其中，ZoomEye非常適合于新用戶，他們通過(guò)單擊過(guò)濾器，便可自動(dòng)生成相應(yīng)的搜索查詢結(jié)果。

最后，值得一提的是ByteSweep。它是設(shè)備制造商提供的一種免費(fèi)安全分析平臺(tái)，可讓測(cè)試人員在產(chǎn)品出廠之前，對(duì)目前設(shè)備的安全態(tài)勢(shì)進(jìn)行全面檢查。

原文標(biāo)題：10 IoT Security Tips You Can Use to Secure Your IoT Devices，作者：Lumena Mukherjee

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】