雲棲號資訊:【點擊查看更多行業資訊】
在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
如今,全球各地應用的物聯網設備已經達到數十億臺,並且數量每年都在大量增加。不幸的是,正在開發和部署的許多物聯網設備卻缺乏關鍵的安全功能,這使得它們很容易成爲黑客和殭屍網絡的目標。如果沒有適當的安全措施,這些物聯網設備可能會導致災難性事件。
數據盜竊
一旦找到漏洞,網絡攻擊者可以竊取物聯網設備上存儲的數據,其中可能包括個人信息、密碼,甚至信用卡信息。更糟糕的是,在某些情況下,黑客使用物聯網設備來收集數據。帶有麥克風和攝像頭的智能電視可能變成一個收集音頻和視頻信息的監聽設備。該設備可以嗅探網絡流量將其泄漏以進行脫機分析,並繪製網絡佈局圖,從而找到其他攻擊目標。
數據損壞
許多物聯網設備從各種傳感器收集數據。然後將數據傳輸到雲計算系統進行分析,並將其輸入到各種業務系統中。如果物聯網設備受到黑客的攻擊,則該設備產生的數據將無法信任。此外,許多物聯網設備缺乏強大的身份驗證措施。從這些設備收集數據的雲計算系統無法信任這些數據。黑客可以輕鬆克隆或欺騙設備,以將不良數據反饋到雲計算系統,從而破壞相關的業務流程。
竊取網絡憑證
黑客已經能夠從幾乎所有智能設備中提取Wi-Fi密碼,例如燈泡、門鎖、門鈴、嬰兒監視器,甚至是玩具。一旦黑客入侵物聯網設備,它通常可以用作網絡攻擊和提取網絡中發現數據的入口。例如,在2017年,黑客通過具有Wi-Fi功能的魚缸從一個賭場竊取了10 GB的重要數據。
拒絕服務攻擊
具有靜態或默認憑據的物聯網設備使大型物聯網殭屍網絡數量激增。 Mirai殭屍網絡是物聯網設備殭屍網絡的發源地,它感染了數百萬個物聯網設備,並被用來針對(其中包括域名系統提供商DYN公司)多個目標發起大規模的、協調的、拒絕服務的攻擊,從而導致歐洲和北美地區的大型互聯網癱瘓。Mirai殭屍網絡掃描互聯網的大量內容,尋找開放的Telnet端口,然後嘗試使用已知的默認用戶名/密碼組合列表進行登錄。這使其能夠聚集60多萬臺物聯網設備,用於攻擊包括DYN公司在內的目標,併發出大量請求使大量服務器脫機。
物理攻擊
在許多情況下,物聯網設備控制着製造、醫療、運輸等行業領域的關鍵基礎設施。物理攻擊的例子包括對德國一家鋼鐵廠的控制系統的攻擊,導致高爐受損;對美國和烏克蘭電網的攻擊;對飛機控制系統的網絡攻擊,以及可以遠程控制切諾基吉普車駛離路面。
數據中心的各個控制系統(其中包括電源、暖通空調系統和建築安全系統)都容易受到網絡攻擊。對這些系統的攻擊可以直接影響數據中心和基於雲計算的計算操作。
物聯網設備中的漏洞
將新的物聯網設備推向市場將會導致設計漏洞,例如使用硬件編輯密碼、不需要用戶身份驗證的控制界面,以及明文發送敏感信息的通信協議。這種不足會導致設備缺少安全啓動功能或經過身份驗證的遠程固件更新。
現代家庭擁有數十種或更多與雲計算連接的設備,每一種設備都有可能被感染,並被當作針對網絡、企業和組織的攻擊機器人。
製造商必須開始解決這些安全漏洞,首先評估其設備的漏洞,確定要採取的防護措施,然後確定所需的安全功能。
安全能力
在物聯網設備上添加一些基本的安全功能,可以顯著降低網絡攻擊的風險。這些功能可以在設計階段內置,確保設備在多個用例中的安全身份和完整性,其中包括工業物聯網(IIoT)、汽車、航空、智能城市、能源、醫療等。
安全啓動
安全啓動利用密碼代碼簽名技術,確保設備僅執行原始設備製造商(OEM)或其他受信方產生的代碼。安全啓動技術的使用可防止黑客用惡意版本替換固件,從而阻止各種攻擊。
安全的遠程固件更新
安全更新可確保設備可以更新,但只能使用原始設備製造商(OEM)設備或其他受信任方的固件進行更新。與安全啓動一樣,安全的固件更新可確保設備始終運行受信任的代碼,並阻止任何利用設備的固件更新過程的嘗試。
安全通信
安全協議(如TLS、DTLS和IPSec)的使用爲物聯網設備添加了身份驗證和動態數據保護。由於沒有在明文中發送關鍵數據,黑客很難竊聽通信並獲得密碼、設備配置或其他敏感信息。
嵌入式防火牆
嵌入式防火牆提供基於規則的過濾和入侵檢測。狀態數據包檢查(SPI)通過將防火牆技術直接內置到設備中來保護設備免受攻擊。嵌入式防火牆可以查看來自網絡或家庭網絡的傳入消息,並通過內置且定期更新的黑名單來拒絕以前未批准的任何消息。狀態數據包檢查(SPI)過濾會拒絕嘗試利用TCP協議中的弱點作爲拒絕服務攻擊一部分的數據包。
安全元素或TPM集成
原始設備製造商(OEM)和醫療設備製造商應使用安全元素,如可信平臺模塊(TPM)兼容的安全元素,或用於安全密鑰存儲的嵌入式安全元素。安全密鑰存儲允許使用在安全元素中生成的密鑰對進行安全啓動和公鑰基礎設施(PKI)註冊,從而提供非常高級別的防攻擊保護。
數據保護
安全協議在數據通過網絡傳輸時提供保護,但在數據存儲在設備上時不保護數據。大型數據泄露通常是由於從被盜或廢棄設備中恢復的數據造成的。對存儲在設備上的所有敏感數據進行加密,可在設備被丟棄、被盜或未經授權的一方訪問時提供保護。例如,大多數辦公室、企業和個人打印機內部都有一個可以存儲數千個文檔的硬盤。
基於證書的身份驗證
可以在製造期間將設備身份證書注入設備中,以便在安裝到網絡上以及與系統中的其他設備進行通信之前對它們進行身份驗證。
物聯網用戶因素
作爲物聯網設備的用戶,需要確保安全性。消費者不太可能知道所連接的設備是否安全,因此他們幾乎沒有能力改變他們的選擇。但是,當其產品提供內置安全性時,用戶必須啓用適當級別的安全性,刪除默認密碼,並設置更強的密碼。
歸根結底,物聯網安全的責任在很大程度上落在企業身上,這些企業只需購買安全級別很高的設備,就可以將其人力和資源投入到業務運營中。
如果可以單獨或以任何組合方式使用安全啓動、防火牆或入侵檢測,則可以將受到感染並用作Mirai殭屍網絡感染中殭屍程序的攝像頭免受這種攻擊。
通過添加一些基本功能,可以顯著提高任何物聯網設備的安全性。通過保護物聯網邊緣設備(需要連接到雲平臺以提供有價值的服務和功能的端點),也可以保護它們所支持的數據中心和雲平臺。
【雲棲號在線課堂】每天都有產品技術專家分享!
課程地址:https://yqh.aliyun.com/zhibo立即加入社羣,與專家面對面,及時瞭解課程最新動態!
【雲棲號在線課堂 社羣】https://c.tb.cn/F3.Z8gvnK
原文發佈時間:2020-03-20
本文作者:Alan Grau
本文來自:“企業網D1Net”,瞭解相關信息可以關注“企業網D1Net”