物聯(lián)網(wǎng)是一把雙刃劍。雖然擁有一個帶有智能鎖的智能家居和一個可以自動煮沸早茶水的 Wi-Fi 水壺讓生活變得更加簡單，但它的價格可能比價格標(biāo)簽上的價格要高得多。

在物聯(lián)網(wǎng)安全中，存在安全權(quán)衡，不幸的是，這些權(quán)衡弊大于利，幾乎讓您懷念電視沒有任何“智能”的日子！

讓我們看一些例子，在我們歡迎這項技術(shù)進入我們的家庭、行業(yè)和日常生活之前，讓我們明白安全的重要性。

物聯(lián)網(wǎng)安全：您的聯(lián)網(wǎng)設(shè)備如何使您容易受到攻擊

黑客可以從您網(wǎng)絡(luò)上最無害的設(shè)備進入您的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全公司 Darktrace 的首席執(zhí)行官妮可·伊根 （Nicole Eagan） 講述了在北美一家未命名的賭場發(fā)生的一起事件，攻擊者能夠訪問賭徒的高額賭徒數(shù)據(jù)庫。

他們通過利用智能溫度計中的低風(fēng)險漏洞來做到這一點，該漏洞用于監(jiān)測水族箱的溫度。

但這只是一個例子。在繼續(xù)討論物聯(lián)網(wǎng)設(shè)備安全性的指針之前，讓我們看一下物聯(lián)網(wǎng)安全漏洞的更多示例。

家用消費類智能設(shè)備

如果您已經(jīng)閱讀了有關(guān) Alexa 和 Google Home 智能助手中的安全漏洞如何被暴露為網(wǎng)絡(luò)釣魚和竊聽用戶的報告，那么我們只能說您擔(dān)心是對的。盡管亞馬遜和谷歌每次都采取反制措施，但他們繼續(xù)使用新技術(shù)來挫敗。

除此之外，還有三星的智能冰箱，其顯示屏旨在與用戶的Gmail日歷集成，這樣他們就可以在出門前看到自己的一天是什么樣子。除了，無論聽起來多么美妙，它都并不那么整潔。盡管部署了SSL來保護Gmail集成，但冰箱本身未能驗證SSL / TLS證書，從而為黑客進入同一網(wǎng)絡(luò)并竊取登錄憑據(jù)敞開了大門。

值得稱贊的是，三星在軟件更新中修復(fù)了該錯誤，但是當(dāng)可靠的品牌遭到破壞時，這非常令人不安。它揭示了一個幾乎不可避免的事實，即功能通常優(yōu)先于安全性，即使在應(yīng)該更了解的公司中也是如此。更重要的是，在2015年，三星還警告我們他們打算如何在智能電視政策中收集和使用我們的數(shù)據(jù)：

“請注意，如果您的口語包含個人或其他敏感信息，則該信息將成為通過使用語音識別捕獲并傳輸給第三方的數(shù)據(jù)之一。”

不過，感謝上帝賜予蘋果，對吧？讓我們暫時保持這個想法。2019 年 2 月，在 Apple 的 FaceTime 應(yīng)用程序中發(fā)現(xiàn)了一個嚴重的漏洞，該漏洞允許攻擊者在接受或拒絕來電之前訪問某人的 iPhone 攝像頭和麥克風(fēng)。

隨著攻擊者找到巧妙的方法來逃避安全控制以竊取數(shù)據(jù)、造成損害或僅僅造成破壞，因此在安全方面犯錯是合理的。不過，如果你仍然喜歡智能家居，嗯......祝你好運？

物聯(lián)網(wǎng)設(shè)備用于 Mirai 等大型僵尸網(wǎng)絡(luò)

Mirai 是一種以物聯(lián)網(wǎng)為中心的惡意軟件，它會感染憑據(jù)較弱的設(shè)備，將它們變成一個由遠程控制的僵尸或機器人組成的網(wǎng)絡(luò)。盡管Mirai的原始創(chuàng)建者已被抓獲，但他們之前發(fā)布了該惡意軟件的源代碼（可能是為了混淆和分散當(dāng)局的注意力），現(xiàn)在它有幾個突變。

僵尸網(wǎng)絡(luò)已被用于發(fā)起幾次 DDoS 攻擊，其中包括對羅格斯大學(xué)的攻擊和對 Dyn（為 Netflix、Twitter 等提供域名服務(wù)的公司）的攻擊。

植入式醫(yī)療器械

在技術(shù)領(lǐng)域，沒有什么是神圣的，也沒有任何東西可以逃脫網(wǎng)絡(luò)犯罪分子的控制。這包括醫(yī)療設(shè)備。

在 2018 年的 Black Hat 會議上，WhiteScope 的 Billy Rios 和 QED Secure Solutions 的 Jonathan Butts 展示了旨在挽救患者生命的醫(yī)療植入物如何被黑客遠程控制并操縱以造成不必要的傷害。這兩名安全研究人員展示了他們?nèi)绾谓靡葝u素泵并控制美敦力制造的起搏器設(shè)備系統(tǒng)。作為回應(yīng)，美敦力最初將報告的漏洞視為“低風(fēng)險”漏洞，沒有承認情況的嚴重性。即使在研究首次提交調(diào)查結(jié)果后 570 天，他們也拒絕解決問題！

我們可以花費數(shù)小時來推測如何使用遠程控制的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)來摧毀電網(wǎng)（或用于配水站的SCADA系統(tǒng)，用于控制天然氣管道等），或者對嬰兒監(jiān)視器被黑客入侵的想法感到不安。但可以肯定的是，物聯(lián)網(wǎng)將繼續(xù)存在。因此，如果我們要避免肆無忌憚的危機，制造商需要更加注意所涉及的安全風(fēng)險（高級持續(xù)威脅 [APT] 是最危險的）。

最大的物聯(lián)網(wǎng)安全風(fēng)險是什么？

雖然我們可能在這件事上沒有太多發(fā)言權(quán)，但我們可以在某種程度上通過采取一些安全措施來保護我們的設(shè)備來限制它對我們生活的控制。開放 Web 應(yīng)用程序安全項目 （OWASP） 基金會是一個全球性的非營利組織，旨在提高人們對 Web 應(yīng)用程序安全、移動安全等領(lǐng)域的安全風(fēng)險的認識，以便個人和組織能夠做出明智的決策。

下表列出了 2014 年和 2018 年在智能設(shè)備中發(fā)現(xiàn)的 OWASP 十大物聯(lián)網(wǎng)漏洞：

為您的組織提供 IoT 安全的十大提示

如果您的智能設(shè)備配備了不可更改的憑據(jù)或任何類型的身份驗證/授權(quán)機制，請幫自己一個大忙，不要購買它！從OWASP 2018年十大物聯(lián)網(wǎng)漏洞列表中可以看出，不安全的生態(tài)系統(tǒng)（Web界面、云界面等）、數(shù)據(jù)安全和物理安全等幾個問題保留了2014年之前的前10名位置。這讓我們對物聯(lián)網(wǎng)設(shè)備安全的發(fā)展方向和速度有所了解。它還對物聯(lián)網(wǎng)安全解決方案的有效性和采用率提出了相關(guān)問題。

然而，由于物聯(lián)網(wǎng)正在成為我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?，我們必須盡最大努力保護我們的連接設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。這里有一些方法可以做到這一點。

1. 了解您的網(wǎng)絡(luò)及其上的連接設(shè)備

當(dāng)您的設(shè)備連接到互聯(lián)網(wǎng)時，如果設(shè)備沒有得到充分保護，這些連接會使您的整個網(wǎng)絡(luò)容易受到攻擊，并容易受到攻擊者的攻擊。隨著越來越多的設(shè)備配備了 Web 界面，很容易忘記哪些設(shè)備可以通過線路訪問。為了保持安全，了解您的網(wǎng)絡(luò)至關(guān)重要——網(wǎng)絡(luò)上的設(shè)備以及它們?nèi)菀仔孤兜男畔㈩愋停ㄌ貏e是如果它們的相應(yīng)應(yīng)用程序具有社交共享功能）。

網(wǎng)絡(luò)犯罪分子使用您的位置、您的個人詳細信息等信息來密切關(guān)注您——這可能會轉(zhuǎn)化為現(xiàn)實世界的危險。

2. 評估網(wǎng)絡(luò)上的 IoT 設(shè)備

一旦您知道哪些設(shè)備已連接到您的網(wǎng)絡(luò)，請審核您的設(shè)備以了解其安全性。物聯(lián)網(wǎng)安全可以通過及時安裝制造商網(wǎng)站的安全補丁和更新、檢查具有更強安全功能的新型號等來實現(xiàn)。此外，在購買之前，請仔細閱讀以了解該品牌的安全性是多么重要。問問自己：

• 其任何產(chǎn)品是否報告了導(dǎo)致違規(guī)的安全漏洞？
• 公司是否在向潛在客戶推銷產(chǎn)品時滿足網(wǎng)絡(luò)安全需求？
• 如何在他們的智能解決方案中實施安全控制？

3. 實施強密碼來保護您的所有設(shè)備和帳戶

使用不容易被猜到的強大、獨特的密碼來保護您的所有帳戶和設(shè)備。擺脫默認密碼或常見密碼，如“admin”或“password123”。如果需要，請使用密碼管理器來跟蹤您的所有密碼。確保您和您的員工不要在多個帳戶中使用相同的密碼，并確保定期更改它們。

這些步驟有助于防止您的所有帳戶遭到入侵，即使其中一個帳戶暴露了任何敏感的帳戶信息。除了密碼到期日期外，請務(wù)必對錯誤密碼嘗試的次數(shù)設(shè)置限制，并實施帳戶鎖定策略。

4. 為您的智能設(shè)備使用單獨的網(wǎng)絡(luò)

為您的智能設(shè)備使用獨立于家庭或商業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)可能是實現(xiàn)物聯(lián)網(wǎng)安全的最具戰(zhàn)略性的方法之一。通過網(wǎng)絡(luò)分段，即使攻擊者找到了進入您的智能設(shè)備的方法，他們也無法訪問您的業(yè)務(wù)數(shù)據(jù)或嗅探您從個人筆記本電腦進行的銀行轉(zhuǎn)賬。

5. 重新配置默認設(shè)備設(shè)置

通常情況下，我們的許多智能設(shè)備都帶有不安全的默認設(shè)置。更糟糕的是，有時，您無法修改這些設(shè)備配置！弱默認憑據(jù)、侵入性功能和權(quán)限、開放端口等需要根據(jù)您的要求進行評估和重新配置。

6. 安裝防火墻和其他信譽良好的物聯(lián)網(wǎng)安全解決方案以識別漏洞

安裝防火墻以阻止未經(jīng)授權(quán)的線路流量，并運行入侵檢測系統(tǒng)/入侵防御系統(tǒng) （IDS/IPS） 以監(jiān)控和分析網(wǎng)絡(luò)流量。您還可以使用自動漏洞掃描程序來發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的安全漏洞。使用端口掃描器來識別打開的端口并查看正在運行的網(wǎng)絡(luò)服務(wù)。確定是否絕對需要這些端口，并檢查在其上運行的服務(wù)是否存在已知漏洞。

7. 使用強加密并避免通過不安全的網(wǎng)絡(luò)進行連接

如果您決定遠程檢查您的智能設(shè)備，切勿使用公共 Wi-Fi 網(wǎng)絡(luò)或未實施可靠加密協(xié)議的網(wǎng)絡(luò)進行檢查。確保您自己的網(wǎng)絡(luò)設(shè)置不會在 WEP 或 WPA 等過時的標(biāo)準(zhǔn)上運行，而是使用 WPA2。不安全的互聯(lián)網(wǎng)連接可能會使您的數(shù)據(jù)和設(shè)備暴露在攻擊者面前。盡管發(fā)現(xiàn) WPA2 本身容易受到密鑰重新安裝攻擊 （KRACK） 的攻擊，并且 WPA3 容易受到 Dragonblood 攻擊，但安裝更新和補丁是前進的唯一途徑，接受最低級別的風(fēng)險。

8. 在不使用設(shè)備和功能時斷開它們

查看應(yīng)用程序權(quán)限并閱讀這些應(yīng)用程序的隱私政策，以了解它們打算如何使用您共享的信息。禁用遠程訪問或語音控制等功能，除非您正在使用它們來實施更頑強的物聯(lián)網(wǎng)安全檢查。如果需要，您可以隨時啟用它們。當(dāng)您不使用設(shè)備時，請考慮完全斷開它們與網(wǎng)絡(luò)的連接。

9. 關(guān)閉通用即插即用 （UPnP）

雖然通用即插即用旨在無縫聯(lián)網(wǎng)設(shè)備而無需配置麻煩，但由于 UPnP 協(xié)議中的漏洞，它還使這些相同的設(shè)備更容易被本地網(wǎng)絡(luò)外部的黑客發(fā)現(xiàn)。默認情況下，UPnP 在多個路由器上處于啟用狀態(tài)，因此請檢查您的設(shè)置并確保它已禁用，除非您愿意為了方便起見而犧牲安全性。

10. 通過實施物理安全來保護您的設(shè)備安全

盡量不要丟失您的手機，尤其是當(dāng)它加載了控制您的物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序時！如果您這樣做，除了在您的設(shè)備上具有 PIN/密碼/生物識別保護外，請確保您有能力遠程擦除您的手機。設(shè)置自動備份或有選擇地備份您可能需要的任何設(shè)備數(shù)據(jù)

此外，限制您的智能設(shè)備的可訪問性。例如，您的冰箱需要 USB 端口嗎？提供對最小數(shù)量的端口的訪問權(quán)限，并在可行的情況下考慮沒有 Web 訪問（僅本地訪問）。

物聯(lián)網(wǎng)安全分析工具

除了前面討論的物聯(lián)網(wǎng)安全解決方案外，還有一些其他工具可用于更好地了解和控制您的網(wǎng)絡(luò)。Wireshark 和 tcpdump（命令行實用程序）是兩個開源工具，可用于監(jiān)控和分析網(wǎng)絡(luò)流量。Wireshark 更加人性化，因為它帶有 GUI 并具有各種排序和過濾選項。

Shodan、Censys、Thingful 和 ZoomEye 是可用于物聯(lián)網(wǎng)設(shè)備的工具（如搜索引擎）。對于新用戶來說，ZoomEye 可能是最容易弄清楚的一種，因為當(dāng)您單擊過濾器時，搜索查詢會自動生成。

ByteSweep 是一個面向設(shè)備制造商的免費安全分析平臺，是測試人員可以在任何產(chǎn)品發(fā)貨前用來運行檢查的另一種工具。

物聯(lián)網(wǎng)安全概要

無論風(fēng)險如何，物聯(lián)網(wǎng)技術(shù)都具有巨大的潛力，這是不言而喻的。物聯(lián)網(wǎng)的連通性已被證明可用于解決各種設(shè)置和任務(wù)的問題。當(dāng)公司急于采用最“符合”的東西，并且急于成為領(lǐng)導(dǎo)者時，問題就出現(xiàn)了，他們要么完全忽略了潛在的安全風(fēng)險，要么沒有足夠認真地對待它。

在開發(fā)安全可靠的產(chǎn)品方面做出更一致和真誠的努力，提高客戶的意識，并在發(fā)布設(shè)備之前進行嚴格的測試，可以在很大程度上解決許多目前更多是疏忽而不是缺乏技能的問題。