安全加固物聯(lián)網(wǎng)設(shè)備的十條“軍規(guī)”與武器
譯文【51CTO.com快譯】物聯(lián)網(wǎng)就像一把雙刃劍,它既能夠給我們帶來(lái)?yè)碛兄悄苕i的智能家居、以及可自動(dòng)煮早茶的Wi-Fi水壺,又在價(jià)格上不菲的同時(shí),給我們的各種實(shí)用場(chǎng)景帶來(lái)潛在的安全隱患。
黑客們可以通過(guò)物聯(lián)網(wǎng)所連接的設(shè)備輕松地進(jìn)入您的網(wǎng)絡(luò)。據(jù)說(shuō),在北美一家賭場(chǎng)里,攻擊者就曾通過(guò)一個(gè)用于監(jiān)控魚(yú)缸溫度的智能溫度計(jì)上的低風(fēng)險(xiǎn)漏洞,攻破了其所在的物聯(lián)網(wǎng),并訪問(wèn)到了賭場(chǎng)客戶的高端數(shù)據(jù)庫(kù)。
如果您覺(jué)得上述案例只是個(gè)別現(xiàn)象的話,那么下面發(fā)生在大公司物聯(lián)網(wǎng)產(chǎn)品上的安全事件,就代表著一定的普遍性:
- Amazon的Alexa和Google的Home智能助手都曾存在著安全性漏洞,某些網(wǎng)絡(luò)釣魚(yú)程序可以輕松地竊聽(tīng)用戶的信息(請(qǐng)參見(jiàn):https://www.washingtonpost.com/technology/2019/05/06/alexa-has-been-eavesdropping-you-this-whole-time/)。
- Samsung智能冰箱上的顯示屏被設(shè)計(jì)為與用戶的Gmail日歷相集成,但是由于無(wú)法驗(yàn)證SSL/TLS證書(shū),因此黑客可以潛入同一網(wǎng)段,并竊取登錄憑據(jù)。
- 2019年2月,Apple在其FaceTime應(yīng)用中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞,攻擊者可以在接受或拒絕來(lái)電之前,訪問(wèn)目標(biāo)用戶的iPhone攝像頭和麥克風(fēng)(請(qǐng)參見(jiàn):https://www.macworld.co.uk/news/iphone/facetime-bug-hack-3691275/)。
- 在2018年的黑帽子大會(huì)上,兩位安全研究人員演示了如何遠(yuǎn)程控制植入到人體內(nèi)的微型醫(yī)療器械,來(lái)禁用胰島素泵,并控制起搏器的設(shè)備系統(tǒng)。
此外,Mirai也是一種以物聯(lián)網(wǎng)為中心的惡意軟件,它以較弱的憑據(jù)去感染目標(biāo)設(shè)備,然后將其轉(zhuǎn)變?yōu)槟軌驅(qū)嵤┻h(yuǎn)程控制的僵尸網(wǎng)絡(luò)(zombies或bots)。盡管Mirai的原始創(chuàng)建者已被發(fā)現(xiàn),其源代碼也被公布,但是它已經(jīng)具有了多個(gè)變種。它們會(huì)專門(mén)發(fā)起各種DDoS攻擊,其中包括:Rutgers University攻擊,以及針對(duì)Dyn(針對(duì)Netflix和Twitter等提供域名服務(wù)的公司)的攻擊。
最大的物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)是什么?
可見(jiàn),我們需要通過(guò)安全措施來(lái)保護(hù)物聯(lián)網(wǎng)設(shè)備,限制其對(duì)我們生活的窺探。由開(kāi)放Web應(yīng)用安全項(xiàng)目(Open Web Application Security Project,OWASP)基金會(huì)創(chuàng)建的針對(duì)Web應(yīng)用安全、以及移動(dòng)安全等方面的風(fēng)險(xiǎn)意識(shí)表,就值得各類組織與個(gè)人予以借鑒和采用。下表列出了2014和2018年OWASP在智能設(shè)備中發(fā)現(xiàn)的十大物聯(lián)網(wǎng)漏洞:
(請(qǐng)參見(jiàn):https://owasp.org/www-project-internet-of-things/)
從上述OWASP 2018版的十大物聯(lián)網(wǎng)漏洞列表中,我們可以看出:不安全的生態(tài)系統(tǒng)(包括Web接口、云接口等),數(shù)據(jù)安全性,以及物理安全性等問(wèn)題,都是早在2014年以前就已經(jīng)上榜,而且一直保持在該列表之中的。這些有助于我們對(duì)物聯(lián)網(wǎng)設(shè)備的安全性發(fā)展方向和速度,有一個(gè)清晰的認(rèn)識(shí)。與此同時(shí),這些也提出了有關(guān)物聯(lián)網(wǎng)安全解決方案的效力和采用率等相關(guān)問(wèn)題。
安全加固物聯(lián)網(wǎng)設(shè)備的十條“軍規(guī)”
由于物聯(lián)網(wǎng)已成為了我們?nèi)粘I钪胁豢苫蛉钡囊徊糠?,因此我們必須合理地加固各種連接設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。在此,我們將和您討論十種常規(guī)且能夠盡快“落地”的十種方法。
1. 了解您的網(wǎng)絡(luò)及其所連接的設(shè)備
首先,您必須明白,一旦您的設(shè)備連接到了互聯(lián)網(wǎng)上,那么整個(gè)網(wǎng)絡(luò)就被暴露到了各種潛在的攻擊面前。因此如果設(shè)備本身的安全性不足,那么攻擊者就很容易得逞。隨著越來(lái)越多的設(shè)備都配備了可訪問(wèn)的Web界面,我們很容易及時(shí)地發(fā)現(xiàn)在網(wǎng)絡(luò)中,有哪些相鄰的設(shè)備“掉線”了。為了保障安全,您需要通過(guò)分析,順藤摸瓜地了解自己的物聯(lián)網(wǎng)絡(luò)、網(wǎng)絡(luò)上的設(shè)備、以及它們?nèi)菀仔孤兜男畔㈩愋?。而且特別值得注意的是設(shè)備上的應(yīng)用程序是否具有社交共享等屬性。網(wǎng)絡(luò)攻擊性會(huì)使用諸如位置信息、用戶個(gè)人詳細(xì)信息等元素,來(lái)跟蹤甚至竊取他們感興趣的其他內(nèi)容,進(jìn)而造成安全攻擊事故。
2. 評(píng)估在線的物聯(lián)網(wǎng)設(shè)備
我們需要持續(xù)對(duì)連接在自己物聯(lián)網(wǎng)中的設(shè)備進(jìn)行態(tài)勢(shì)評(píng)估,及時(shí)從制造廠商的網(wǎng)站上安裝與設(shè)備相對(duì)應(yīng)的安全補(bǔ)丁與更新,檢索具有更強(qiáng)安全功能的新型號(hào)設(shè)備予以更換。當(dāng)然,在采購(gòu)和添置之前,您應(yīng)當(dāng)盡量通過(guò)各種渠道,了解如下方面的信息:
- 其對(duì)應(yīng)的產(chǎn)品是否能夠及時(shí)披露或報(bào)告各種安全漏洞?
- 在向潛在客戶推銷其產(chǎn)品的同時(shí),是否提及且滿足網(wǎng)絡(luò)安全的各項(xiàng)需求?
- 它是如何在自己的智能解決方案中實(shí)施安全控制的?
3. 用強(qiáng)密碼來(lái)保護(hù)您的設(shè)備和帳戶
請(qǐng)棄用默認(rèn)密碼或普通密碼(例如“admin”或“password123”),改用不易被猜測(cè)且獨(dú)特的強(qiáng)密碼,來(lái)保護(hù)您的所有帳戶和設(shè)備。當(dāng)然,如果需要,您也可以使用密碼管理器來(lái)跟蹤并管理所有的密碼。同時(shí),我們還應(yīng)確保自己、以及團(tuán)隊(duì)其他成員不在多個(gè)設(shè)備的帳戶中使用相同的密碼,并能夠定期對(duì)它們進(jìn)行變更。此外,除了密碼的固定過(guò)期周期之外,也請(qǐng)您設(shè)置好錯(cuò)誤密碼嘗試輸入的次數(shù)限制,并實(shí)施適當(dāng)?shù)膸翩i定策略。
4. 為智能設(shè)備提供單獨(dú)的網(wǎng)絡(luò)
如有可能,請(qǐng)將您的智能設(shè)備與家庭或企業(yè)的現(xiàn)有網(wǎng)絡(luò)分離開(kāi)來(lái),這也是物聯(lián)網(wǎng)安全性最具戰(zhàn)略意義的方法之一。有了這種網(wǎng)絡(luò)分離的方式,即便攻擊者找到了進(jìn)入智能設(shè)備的途徑,他們也無(wú)法訪問(wèn)到您的業(yè)務(wù)數(shù)據(jù),或是嗅探到您通過(guò)個(gè)人電腦的銀行轉(zhuǎn)帳記錄。
5. 重新配置設(shè)備上的默認(rèn)設(shè)置
通常,各種智能設(shè)備在出廠時(shí)都會(huì)帶有一些基本的,但并不安全的默認(rèn)設(shè)置。更糟的是,有時(shí)您都無(wú)法修改設(shè)備上的這些設(shè)置。因此,您需要在設(shè)備選型和設(shè)備配置階段,通過(guò)全面評(píng)估來(lái)重新配置默認(rèn)的信任憑據(jù),易受攻擊的功能和賬號(hào)權(quán)限,以及開(kāi)放的端口等。
6. 啟用防火墻和其他主流物聯(lián)網(wǎng)安全解決方案以識(shí)別漏洞
您需要安裝防火墻以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量,運(yùn)行入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)(IDS/IPS)來(lái)監(jiān)視和分析現(xiàn)有的網(wǎng)絡(luò)流量。您還可以使用自動(dòng)漏洞掃描程序,來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的安全漏洞;以及使用端口掃描程序,來(lái)識(shí)別已開(kāi)啟的端口,并檢查正在運(yùn)行的網(wǎng)絡(luò)服務(wù)是否存在著已知漏洞。
7. 使用強(qiáng)加密來(lái)避免不安全的網(wǎng)絡(luò)連接
如果您需要遠(yuǎn)程檢查智能化設(shè)備,那么請(qǐng)切勿使用公共Wi-Fi網(wǎng)絡(luò)、或未采用可靠加密協(xié)議的網(wǎng)絡(luò)。不過(guò),如果您必須使用公共Wi-Fi的話,請(qǐng)驗(yàn)證它是否啟用了WPA2,而不是那些諸如WEP或WPA等過(guò)時(shí)的標(biāo)準(zhǔn)。顯然,不安全的互聯(lián)網(wǎng)連接會(huì)使您的數(shù)據(jù)和設(shè)備輕易地受到攻擊。當(dāng)然,如今業(yè)界已發(fā)現(xiàn)WPA2本身也可能受到key重裝攻擊(KRACK,請(qǐng)參見(jiàn):https://www.blackhat.com/docs/eu-17/materials/eu-17-Vanhoef-Key-Reinstallation-Attacks-Breaking-The-WPA2-Protocol-wp.pdf),而就算是WPA3也容易受到Dragonblood的攻擊。
8. 在不使用設(shè)備及其功能時(shí)應(yīng)斷開(kāi)其連接
請(qǐng)檢查物聯(lián)網(wǎng)設(shè)備上應(yīng)用程序的運(yùn)行權(quán)限,并閱讀它們的隱私權(quán)政策,以獲悉它們將如何使用您提供共享的信息。如果并不需要,請(qǐng)禁用設(shè)備上的遠(yuǎn)程訪問(wèn)、或語(yǔ)音控制等功能,而且在此類設(shè)備的非使用的時(shí)段,將它們與連接的網(wǎng)絡(luò)完全斷開(kāi)。
9. 關(guān)閉通用即插即用(Universal Plug and Play,UPnP)
通用即插即用的主要功能是:在無(wú)需配置的情況下,無(wú)縫地連接到網(wǎng)絡(luò)設(shè)備上。不過(guò),由于UPnP協(xié)議存在著漏洞,攻擊者可以很容易地從外部滲透到您的網(wǎng)絡(luò)中,并發(fā)現(xiàn)各種已連接的設(shè)備。由于UPnP在多臺(tái)路由器上是默認(rèn)開(kāi)啟的,因此除非您一定需要,否則請(qǐng)及時(shí)檢查設(shè)置并禁用之。
10. 通過(guò)實(shí)施物理安全來(lái)保護(hù)設(shè)備
盡量不要丟失那些已經(jīng)裝有管控物聯(lián)網(wǎng)設(shè)備應(yīng)用的手機(jī)。除了在設(shè)備上實(shí)施PIN/密碼/生物識(shí)別保護(hù)外,也請(qǐng)您安裝具有遠(yuǎn)程擦除功能的手機(jī)APP。同時(shí),請(qǐng)?jiān)O(shè)置好自動(dòng)或有選擇性的備份策略,以轉(zhuǎn)存任何重要的數(shù)據(jù)。
此外,您也應(yīng)當(dāng)限制智能設(shè)備的可訪問(wèn)性。例如,是否應(yīng)該關(guān)閉冰箱的USB端口?限制某個(gè)端口允許并發(fā)訪問(wèn)的最大連數(shù),以及在可行的情況下考慮禁用Web訪問(wèn)(即僅開(kāi)放本地訪問(wèn)的方式)。
物聯(lián)網(wǎng)安全分析工具
除了前面討論的物聯(lián)網(wǎng)安全加固方法之外,您還可以使用各種工具來(lái)更好地監(jiān)視和控制物聯(lián)網(wǎng)絡(luò)。例如,Wireshark和tcpdump(命令行實(shí)用程序)是兩個(gè)開(kāi)源的工具,它們可用于監(jiān)視與分析網(wǎng)絡(luò)流量。其中,Wireshark帶有GUI,除了具有各種排序和過(guò)濾的功能項(xiàng),它還提供友好的用戶界面。
此外,Shodan、Censys、Thingful和ZoomEye也都是可用于搜索和管理物聯(lián)網(wǎng)設(shè)備的工具。其中,ZoomEye非常適合于新用戶,他們通過(guò)單擊過(guò)濾器,便可自動(dòng)生成相應(yīng)的搜索查詢結(jié)果。
最后,值得一提的是ByteSweep。它是設(shè)備制造商提供的一種免費(fèi)安全分析平臺(tái),可讓測(cè)試人員在產(chǎn)品出廠之前,對(duì)目前設(shè)備的安全態(tài)勢(shì)進(jìn)行全面檢查。
原文標(biāo)題:10 IoT Security Tips You Can Use to Secure Your IoT Devices,作者:Lumena Mukherjee
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】