你不得不了解的七個物聯網安全問題

2020-12-21 騰訊網

「如果你認為網際網路改變了你的生活,那麼,物聯網即將再次改變這一切。」阿里婭系統(Aria Systems)公司的首席架構師和聯合創始人布蘭登·奧布賴恩(Brendan O'Brien)如上發言。

圖源於網絡

統計學家認為,在未來十年的前五年,互連設備的數量預計將超過300億臺。此外,物聯網市場的總估值預計將超過1萬億美元大關。物聯網技術的這種看似不可阻擋的增長軌跡,對物聯網生態系統中的漏洞、威脅和問題提出了一個巨大挑戰。

未能解決物聯網安全問題的後果

IoT(物聯網)設備受到嚴重威脅,這是大多數互連產品實施幾乎沒有任何來自常見威脅的安全措施的直接後果。

惠普的一項研究表明,超過 70% 的物聯網設備存在嚴重漏洞。這些漏洞包括缺乏基本的安全措施,如密碼安全、加密和訪問權限。包括最常用的小工具,如智能電視、傳真機、家庭系統、安全攝像頭、智慧型手機麥克風、印表機、揚聲器,甚至咖啡機,都讓人們成為數據洩露的目標,造成身體傷害,洩露敏感信息(如密碼、地址,甚至在某些情況下,還有個人圖像)。

圖源於網絡

接下來,我們將就大家最關心的七個物聯網安全問題提供一些建議,幫助大家提高物聯網小工具的安全性。

1. 缺乏製造商的合規性

一些物聯網設備缺乏基本安全措施的實現,正滾雪球似的變成了一個更大的問題。許多正在製造的 物聯網小工具沒有經過安全評估來發現潛在的漏洞。在先發制人階段,由於這種故障而引起的一些重大問題包括隱私問題、缺乏數據傳輸加密以及用戶身份驗證措施不足。

2.硬體問題

通常遠程操作或使用時經常隔離的設備也非常容易受到攻擊。例如,閉路電視攝像機位於組織附近,如果受到黑客的入侵,可能會進一步被利用來危害同一網絡中的其他攝像機。

用戶以及製造商同樣負責加強設備的物理安全性。一些措施包括將篡改檢測傳感器和發射器安裝到設備中,或將它們存儲/安裝在相對不可訪問/安全的地方。這將有助於在篡改檢測和網絡入侵時披露和發送警報。

應實現安全啟動,並且必須避免將未加密的敏感數據存儲在外部內存中。儘管攻擊者可能仍能夠繞過安全啟動,但與未實現安全啟動相比,它仍具有更好的安全性能。一些更好的硬體措施可能是對設備進行物理強化,以限制對硬體攻擊面(如調試埠)的訪問。

3. 殭屍網絡威脅

殭屍網絡攻擊通過感染多個相互關聯的設備來感染惡意軟體,以獲得對它們未經授權的控制。這些會導致嚴重後果,例如分布式拒絕服務、機密數據盜竊和憑據洩露。

IoT 安全問題的一個主要問題是未能解決這個問題,尤其是在大規模實施互連設備的情況下。這對家庭系統、IP 攝像機、工廠、運輸系統和電網構成了重大威脅,因為這種惡意軟體可以立即將其變成"受感染的殭屍",用作武器。

此類 IoT 設備需要頻繁的安全和軟體更新才能抵禦此類威脅,但這本身也帶來了通常無法預見的危險。

4. 更新機制不當,測試效率低下

產品開發人員在測試效率低下和缺乏定期更新機制方面苦苦掙扎。一旦發現問題,這就會限制它們,堵塞孔道,並使正在使用的設備仍然容易受到損壞。

隨著產品開發越來越快,安全測試階段往往被忽視或給予較少的關注。前面提到的自動更新的危險是長時間的停機時間;如果正在使用的連接未加密,固件更新文件可能會被黑客截獲,從而導致數據被盜的可能性。

如果 IoT 設備固件支持通過空中 (OTA) 更新進行升級,除了正常加密之外,還必須實施進一步的籤名身份驗證。

5. 未受保護的 Web 和雲接口

據估計,超過 65% 的設備具有雲兼容組件,由於缺乏傳輸加密,存在潛在的漏洞。這使得他們容易受到一些最常見的威脅,如 MITM 攻擊、持久性 XSS、數據洩漏和憑據黑客攻擊。

IoT 設備經常存儲一次性數據和緩存。由於不存在關於隱私和合規的法律,這些信息如果落入錯誤之手,反過來又可用於定位客戶。迫切需要將客戶的敏感數據私有化、安全和匿名化,以防止其惡意使用。

6. 加密劫持和勒索軟體

儘管區塊鏈本身相對安全,但其相關漏洞的個主要問題在於圍繞它開發的應用程式。

例如,在 2018 年,一個名為 Monero 的著名加密貨幣是最初因加密採礦殭屍網絡而進行大規模挖掘的加密貨幣之一。由於目前超過90%的加密貨幣被開採,殭屍網絡將Windows伺服器作為開採Monero的目標,黑客們獲得了價值超過350萬美元的加密貨幣。

這導致了現在使用物聯網設備進行指定的更先進的殭屍網絡攻擊。由於缺乏安全保障和正興起的社會工程攻擊,勒索軟體在物聯網設備中的地位越來越突出,也越來越容易成為被攻擊的目標。

IoT 問題位於可穿戴技術、智能車輛和智能家居中,這些問題沒有得到解決,導致其用戶成為此類勒索軟體攻擊的目標,使受害者損失了數百萬美元。保護登錄憑據和利用 VPN 服務可以避免成為此類面向 IoT 的金融犯罪目標。

7. 假冒物聯網設備

看似安全的網絡可以在惡意設備的幫助下輕鬆訪問,而無需任何身份驗證。

例如,IoT 設備可用作家庭入侵攻擊中的惡意接入點或侵佔傳入通信。

此類設備有助於黑客瓦解網絡外圍,進而允許他們更改機密數據。組織需要充分了解其網絡內發生的所有流量和通信,以對任何可疑的網絡流量或活動採取行動。

進一步的防禦可以通過使用PKI系統來限制偽造者。

在物聯網高速發展的當下,網絡安全問題已成為不可小覷的重中之重,如何有效抵禦各種網絡攻擊和黑客行動,是網絡安全守護者的職責與使命。

為應對這一系列安全威脅和挑戰,信睿網絡專注於IOT滲透測試服務,通過"像黑客一樣思考",完成對物聯網設備的安全評估,並提供修複方案,以幫助物聯網設備更安全。

致力於網絡與信息安全,信睿網絡不忘初心,砥礪前行!

相關焦點

  • 5G將會如何影響物聯網的安全
    高速的5G行動網路不僅可以使人們更高效地連接,而且還可以實現對機器、對象和設備更高的互連性和更好的控制。 Barnes敏銳地意識到物聯網已經為企業帶來的網絡安全問題,以及這些問題在多大程度上會因為採用5G技術而加劇。惠而浦公司與5G技術合作夥伴AT&T公司合作解決了這些問題。他說,「我們每天都在應對網絡安全問題。因此在開始實施之前,我們和AT&T公司討論的第一件事就是它將如何成為一個安全的網絡。」
  • 安富利:物聯網安全的困境與破局之道
    儘管物聯網安全事件日益增多,但很多企業還是沒有意識到物聯網安全的重要性,仍顧慮在IoT網絡中構建安全體系的短期成本投入,並選擇將其忽略,根本沒有充分考慮長期的潛在回報。其他企業也許考慮到了物聯網的安全性問題,但也只是事後諸葛亮,在網絡攻擊事件發生之後,才亡羊補牢,選擇為其IoT網絡構築安全「防火牆」, 實則為時已晚。
  • 物聯網安全的那些事你都知道嗎
    打開APP 物聯網安全的那些事你都知道嗎 物聯網雜談 發表於 2020-04-16 10:11:54 如今,每天都有數百萬個物聯網設備互聯互通。
  • 基於SM 2的物聯網安全籤名方案
    1  相關基礎 1.1 物聯網安全需求 物聯網的基本安全目標包括通用網絡系統中的機密 性,完整性和可用性。然而,物聯網由於設備的異構 性、計算和通信資源受限等問題,也使其具有通用系統 不一樣的安全問題。物聯網面臨的安全挑戰可大致分為兩大類:結構性挑戰和安全性挑戰[2]。
  • AI在左,IoT在右 如何擁抱AI與物聯網安全
    從這三種力量出發,新十年的未來趨勢將緊緊圍繞兩個關鍵詞:AI和物聯網。 擁抱AI,相信已是當今ICT公司的時代共識。AI技術的誕生,存在於一個個被規劃好的數據集中。而我們想讓AI落地,在工廠、機場、車站、辦公室、醫院、教室等等現實場景中發揮作用,在AI應用條件「老三樣」 – 算力、大數據、算法中找到切實的解決方案,也是我們兜兜轉轉反覆調試、重複開發的謎題。
  • Atonomi:物聯網安全協議 | ONE.TOP區塊鏈項目評級
    Atonomi提供了一種新的安全協議和基礎設施,使數十億物聯網設備具有可信的數據和商業互操作性。截至2017年,全球部署的物聯網設備已經達到約84億個,比2016年增長31%,並且預計到2020年物聯網設備的數量將增加到204億,並於2016年每天部署500萬個新物聯網設備。
  • 物聯網安全基礎知識:加密技術的使用
    在工業、醫療、運輸及其他關鍵應用中,對物聯網應用的依賴程度迅速增加,這極大地改變了安全格局。以往,企業應用普遍擁有隨時可用的資源來處理安全算法,但如今企業級物聯網應用卻飽受威脅日益增多之苦,且其攻擊目標是不斷擴大的資源受限型物聯網設備網絡。
  • 物聯網2019年回顧:最有價值的10個物聯網發展大事記
    012019年物聯網總體觀測一、物聯網設備增長快於預期:活躍的物聯網設備達到95億根據 IoT Analytics 估計,到2019年底,大約有95億個已連接的IoT設備,以下是三個主要驅動因素:消費類(智能家居)設備的爆炸式增長;蜂窩
  • 奧的斯機電物聯網解決方案OTIS CONNECT助力築牢電梯安全防線
    電梯是樓宇中重要的交通工具,其運行安全直接關係到人民群眾生命財產的安全。今年5月,在《市場監管總局關於進一步做好改進電梯維護保養模式和調整電梯檢驗檢測方式試點工作的意見》中明確提出,推動電梯維保由固定周期、固定項目向按需維保轉變,並把推廣「物聯網+維保」作為重點任務之一。
  • 【在行動】「七個可以」「七個不得」 《十條工作措施》為西部...
    10月14日,重慶高新區紀工委(監察室)出臺《關於服務保障營商環境的十條工作措施》(以下簡稱《十條工作措施》),從抓作風整治等10個方面進一步優化營商環境。同時,《十條工作措施》制定了政商交往正負面清單的「雙七」制度,明確「七個可以」和「七個不得」,為科學城高質量發展保駕護航。今年以來,高新區各部門單位聯合推進,全力為優化營商環境出「實招」「硬招」。
  • 什麼是物聯網晶片,物聯網晶片面臨著哪些難題
    物聯網晶片面臨的兩大難題 根據數據顯示,2015年全球物聯網連接大約60億個左右,預計2020年將增長到270億個,這還是比較保 守的預計數字。而根據工信部發布的數據顯示2017年物聯網產業規模已經突破萬億,至IJ2020年,僅僅中國的 物聯網整體規模就會達到1.8萬億,而其中最重要的物聯網晶片,將會在2025年之前一致保持高增長和高產 業價值。
  • 物聯網的特點及其成功的十個案例_物聯網新聞_新聞中心_RFID世界網
    把世界變成一個更美好、更安全的地方是人類思維的永恆追求。網際網路長期以來在這個領域發揮了作用,因為它連接了世界。如果我們想像網際網路作為光的連線,世界將被來自一側的射線照亮,並在另一側達到頂點。使用智能技術的連通性是物聯網概念的內在部分。智能城市和智能家居、智能手錶都是這個概念的應用。  下面是列舉的一些物聯網的例子:  1、飛利浦推出的智能燈泡是利用物聯網概念來製造的。智慧型手機可以用來打開和關閉它們,它們可以根據給出的命令改變顏色。燈泡可以設置為點亮,並按照規定的時間表關閉,無需人工幹預。
  • 7大創新醫療物聯網應用場景,第一個就很現實!
    隨著物聯網的普及程度越來越高,基於物聯網技術的創新項目也越來越多。許多創新項目都明確指出物聯網技術是其產品的技術支撐,物聯網產品的服務對象、需求也變得更豐富、更精細化。基於此,動脈網整理出了七個創新應用場景。它們分別是被服管理、醫務人員安全報警、環境監測、物聯網+康復機器人、健康管理方案、手衛生、AGV物流機器人。
  • 360OS與中電海康集團研究院發布《數字城市物聯網安全體系白皮書》
    數字城市領域大數據、AI等多樣化技術的不斷融合,催生越來越多的物聯網安全需求。近日,領先的OS智能生態服務提供商360OS與中電海康集團研究院聯合發布《數字城市物聯網安全體系白皮書》。該白皮書針對數字城市物聯網的發展概況、特點及安全風險進行了系統性總結,提出物聯網安全「141」體系架構和32種物聯網安全能力要求,為物聯網行業數位化推進和轉型提供了詳實的安全應用指南。360OS CEO周志鴻表示:「未來十年是工業物聯網發展的黃金十年,數字城市物聯網建設需求將呈井噴式發展。
  • 400億件物聯網設備,讓萬物相連很方便!但誰來保證我們的安全?
    然而這個新興世界也面臨令人擔憂的安全缺陷。在沒有可靠的技術克服這些威脅之前,企業界是很難真正信任物聯網世界的。這就是我們必須談論量子計算的原因。雖然它看起來像一個未來主義的概念,但在物聯網的世界已經清晰可見。
  • 針對物聯網的無線通信技術及三個關鍵挑戰
    針對物聯網的無線通信技術及三個關鍵挑戰 Cheryl Ajluni 發表於 2021-01-15 14:59:57 本文作者:是德科技電子工業系統和軟體解決方案總監Cheryl Ajluni 我們生活的世界已經改變
  • 區塊鏈+物聯網:實現萬物互聯
    只有強大深厚的網際網路作基礎,才能延伸與擴展出強大的物聯網。2。物聯網的用戶端延伸並擴展,從傳統的電腦互聯,走向任何物品與物品之間的信息交換與通信。雖然物聯網發展時間並不算長,但公開數據顯示,小型傳感器、大型家電等物聯網設備,目前已達百億數量級。到2020年後,預計將達到250億臺左右。
  • 了解物聯網卡工作原理,還擔心監控專用物聯網卡安全嗎?
    近幾年,物聯網卡在市場上迅速火爆,大家都在迫不及待的了解、認識這個新事物,逐漸物聯網卡在智能安防、車聯網、智能家居、智能穿戴等各個領域都炙手可熱。想智能安防中的監控就很常見,一出門抬頭就可以看見各種各樣的「電子眼」監控,與此同時,監控專用物聯網卡也在發揮著自己的作用。
  • 中國的物聯網應用-
    當然,物聯網還會有許多廣泛的用途,遍及智能交通、環境保護、政府工作、公共安全、平安家居、智能消防、工業監測、老人護理、個人健康、花卉栽培、水系監測、食品溯源、敵情偵查和情報搜集等多個領域。國際電信聯盟於2005年的一份報告曾描繪「物聯網」時代的圖景:當司機出現操作失誤時汽車會自動報警;公文包會提醒主人忘帶了什麼東西;衣服會「告訴」洗衣機對顏色和水溫的要求等等。
  • 物聯網在護理系統當中的應用是怎樣的
    雖然各國對物聯網的發展重點各有側重,但共同點是融合各種信息技術,突破網際網路的限制,把信息的收集、整合、共享更全面地應用到經濟和社會生活的方方面面,提升社會信息化水平。對於RFID技術在醫療和護理領域的應用,中國政府對技術的發展前景和迫切性及必要性也十分關注。早在2004年,國家金卡辦與衛生部共同在全國七個省市就已開展了物聯網RFID技術的宣傳。