物聯(lián)網(wǎng)還面臨著哪些安全和風(fēng)險(xiǎn)挑戰(zhàn)

2016年10月，有史以來最復(fù)雜和最具破壞性的網(wǎng)絡(luò)攻擊之一摧毀了Twitter等主要網(wǎng)站，同時(shí)大大惡化了其他多個(gè)知名網(wǎng)站的用戶體驗(yàn)，包括PayPal、Spotify、CNN、Mashable、Yelp、華爾街日?qǐng)?bào)和紐約時(shí)報(bào)。這種分布式拒絕服務(wù)攻擊（DDOS）的規(guī)模非常驚人，這要?dú)w功于來自數(shù)十萬個(gè)獨(dú)特互聯(lián)網(wǎng)地址的巨大流量。原來，一名黑客發(fā)現(xiàn)了某種型號(hào)安全攝像頭的漏洞。通過接管這些攝像頭，攻擊者可以將大量流量引導(dǎo)到目標(biāo)網(wǎng)站，這使得合法用戶無法訪問這些網(wǎng)站。毫無疑問，物聯(lián)網(wǎng)有許多好處。然而，這次攻擊是一個(gè)典型的例子，說明物聯(lián)網(wǎng)在惡意者手中是一種極具破壞性的武器。這并不是說只有攝像頭可以被劫持，從汽車、冰箱到恒溫器和智能鎖，任何與網(wǎng)絡(luò)連接的東西都是黑客的誘人目標(biāo)。

互聯(lián)網(wǎng)不再只是一個(gè)由服務(wù)器、路由器、交換機(jī)、臺(tái)式電腦、筆記本電腦、平板電腦和智能手機(jī)等傳統(tǒng)計(jì)算設(shè)備組成的網(wǎng)絡(luò)。事實(shí)上，預(yù)計(jì)物聯(lián)網(wǎng)設(shè)備的數(shù)量最終將遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的計(jì)算設(shè)備。從傳達(dá)食物新鮮度更新的冰箱，到向車主傳輸油位信息的汽車，物聯(lián)網(wǎng)在許多方面都代表著便利性，然而，正如一些與物聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)攻擊所顯示的那樣，它也帶來了不可忽視的巨大風(fēng)險(xiǎn)。下面我們將介紹一些最大的物聯(lián)網(wǎng)風(fēng)險(xiǎn)。

1、物聯(lián)網(wǎng)設(shè)備制造過程

制造商每天都向市場(chǎng)發(fā)布無數(shù)的物聯(lián)網(wǎng)設(shè)備，其中許多都是新型號(hào)，并且具有未發(fā)現(xiàn)的漏洞。制造商疏忽是困擾物聯(lián)網(wǎng)設(shè)備絕大多數(shù)安全問題的原因所在。許多設(shè)備制造商將網(wǎng)絡(luò)連接視為其設(shè)備功能的一個(gè)優(yōu)勢(shì)，而不是核心功能。因此，他們并沒有投入應(yīng)有的時(shí)間和資源來確保其產(chǎn)品免受網(wǎng)絡(luò)攻擊。

例如，一些具有藍(lán)牙連接功能的健身追蹤器在啟動(dòng)配對(duì)后，任何人都可以連接到該設(shè)備而無需身份驗(yàn)證；一些智能冰箱會(huì)暴露郵箱登錄憑證。沒有一個(gè)通用的標(biāo)準(zhǔn)來保護(hù)物聯(lián)網(wǎng)設(shè)備。然而，這并不是制造安全性差設(shè)備的合理理由。制造過程中產(chǎn)生的最大物聯(lián)網(wǎng)風(fēng)險(xiǎn)包括密碼安全性不足、硬件不安全、缺少補(bǔ)丁機(jī)制以及不安全的數(shù)據(jù)存儲(chǔ)。

2、用戶缺乏意識(shí)和知識(shí)

由于幾十年的認(rèn)知，普通互聯(lián)網(wǎng)用戶相當(dāng)擅長于避免網(wǎng)絡(luò)釣魚郵件、忽略可疑附件、在計(jì)算機(jī)上運(yùn)行病毒掃描或創(chuàng)建強(qiáng)密碼。但是物聯(lián)網(wǎng)是一個(gè)新領(lǐng)域，即使對(duì)許多經(jīng)驗(yàn)豐富的IT專業(yè)人員來說，它仍然是陌生和被誤解的。

盡管大多數(shù)最大的物聯(lián)網(wǎng)風(fēng)險(xiǎn)可以追溯到制造過程，但用戶是物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的更危險(xiǎn)驅(qū)動(dòng)因素，尤其是當(dāng)用戶不了解物聯(lián)網(wǎng)功能時(shí)。“欺騙手段”通常是在不引起懷疑的情況下侵入到受限網(wǎng)絡(luò)的最簡單方法，而黑客可以使用物聯(lián)網(wǎng)設(shè)備來做到這一點(diǎn)。

2010年對(duì)伊朗核設(shè)施的震網(wǎng)蠕蟲攻擊是由離心機(jī)控制軟件通過插入工廠計(jì)算機(jī)上的U盤感染引起的?，F(xiàn)代離心機(jī)是一種物聯(lián)網(wǎng)設(shè)備，因?yàn)樗鼈儑?yán)重依賴信息技術(shù)。一些報(bào)告估計(jì)震網(wǎng)實(shí)際損壞了大約1000臺(tái)離心機(jī)。

3、補(bǔ)丁和更新管理困難

無論制造商為其物聯(lián)網(wǎng)產(chǎn)品在創(chuàng)建安全硬件和軟件方面做了多少工作，在未來的某個(gè)時(shí)刻都不可避免地會(huì)發(fā)現(xiàn)新的漏洞，因此，需要更新以確保物聯(lián)網(wǎng)設(shè)備的安全性。然而，物聯(lián)網(wǎng)設(shè)備的性質(zhì)和用途決定了它們并不總是易于定期更新——如果有的話。

想想遍布數(shù)百畝農(nóng)田的傳感器，或是工廠車間的物聯(lián)網(wǎng)設(shè)備，它們無法在不影響生產(chǎn)的情況下離線更新。更糟糕的是，即使可以定期更新補(bǔ)丁，如果更新導(dǎo)致軟件損壞或不穩(wěn)定，用戶通常也無法將更新回滾到最后已知的良好狀態(tài)。

4、物理安全

物聯(lián)網(wǎng)設(shè)備應(yīng)該在很少或沒有人為干預(yù)的情況下運(yùn)行。有時(shí)，這些設(shè)備被安裝在偏遠(yuǎn)的地方，在那里它們可能會(huì)停留數(shù)周或數(shù)月，而沒有人對(duì)它們進(jìn)行物理檢查。這種情況使它們面臨被盜或物理篡改的嚴(yán)重危險(xiǎn)，犯罪分子可以竊取設(shè)備或使用閃存驅(qū)動(dòng)器來引入惡意軟件，這可能會(huì)使攻擊者獲得對(duì)敏感信息的訪問權(quán)限，它們還可能干擾物聯(lián)網(wǎng)設(shè)備的功能，導(dǎo)致其收集和轉(zhuǎn)發(fā)的任何數(shù)據(jù)都不可靠。

5、僵尸網(wǎng)絡(luò)

2016年大規(guī)模的Mirai僵尸網(wǎng)絡(luò)DDoS攻擊是不安全物聯(lián)網(wǎng)設(shè)備造成潛在危險(xiǎn)的一個(gè)標(biāo)志。單個(gè)受感染的物聯(lián)網(wǎng)設(shè)備除了對(duì)其收集的數(shù)據(jù)造成影響以外，并不是重大威脅。然而，當(dāng)集中控制的惡意軟件感染了成千上萬臺(tái)設(shè)備時(shí)，情況就不同了，如此多的流氓設(shè)備可能會(huì)對(duì)網(wǎng)站和網(wǎng)絡(luò)造成巨大破壞。物聯(lián)網(wǎng)設(shè)備更容易受到惡意僵尸網(wǎng)絡(luò)的攻擊，因?yàn)樗鼈儾惶赡茏龅蕉ㄆ诟?。物?lián)網(wǎng)驅(qū)動(dòng)的僵尸網(wǎng)絡(luò)不僅會(huì)摧毀知名網(wǎng)站，而且還會(huì)危及電網(wǎng)、交通系統(tǒng)、水處理設(shè)施和制造工廠。

6、失去隱私和機(jī)密

黑客、政府和商業(yè)競爭對(duì)手可以使用物聯(lián)網(wǎng)設(shè)備來監(jiān)視和侵犯毫無戒心的個(gè)人和組織的隱私。此類第三方可在未經(jīng)業(yè)主許可或知情的情況下訪問、泄露和使用敏感機(jī)密信息。在最基本層面上，有人可以接管一個(gè)安全攝像頭，并用它來監(jiān)視目標(biāo)的行為和習(xí)慣；在更大的工業(yè)規(guī)模上，黑客可以從多個(gè)物聯(lián)網(wǎng)設(shè)備中捕獲數(shù)據(jù)，并使用它來敲詐目標(biāo)或?qū)⑵涑鍪劢o競爭對(duì)手。

7、設(shè)備識(shí)別挑戰(zhàn)

在您開始規(guī)劃設(shè)備和網(wǎng)絡(luò)的安全性之前，你必須對(duì)要保護(hù)的東西有一個(gè)清晰的概念。當(dāng)涉及日常計(jì)算機(jī)設(shè)備時(shí)，IT團(tuán)隊(duì)已經(jīng)在設(shè)備識(shí)別方面遇到困難?？紤]到設(shè)備類型、品牌、型號(hào)和版本的多樣性，識(shí)別物聯(lián)網(wǎng)設(shè)備要困難得多。

識(shí)別連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備僅僅只是一個(gè)開始，然后，您必須執(zhí)行風(fēng)險(xiǎn)評(píng)估，以明確了解設(shè)備擁有哪些網(wǎng)絡(luò)權(quán)限以及這些權(quán)限是否有必要。最后，您必須在規(guī)劃的企業(yè)級(jí)滲透測(cè)試中包含這些設(shè)備。

總結(jié)

物聯(lián)網(wǎng)旨在為日常流程帶來效率，然而，物聯(lián)網(wǎng)仍然面臨著諸多安全和風(fēng)險(xiǎn)挑戰(zhàn)，而且未來還會(huì)出現(xiàn)更多。隨著物聯(lián)網(wǎng)設(shè)備多樣性的增加，安全挑戰(zhàn)的復(fù)雜性也隨之增加。為了獲得物聯(lián)網(wǎng)的好處，必須通過降低最大的物聯(lián)網(wǎng)風(fēng)險(xiǎn)來確保這些設(shè)備的安全性。