本文转自: 25种常见的物联网安全威胁.
目前,全球约有230亿个IoT设备。Statista报告称,到2020年,这一数字将增至近300亿。物联网连接设备数量的巨大增长并非没有任何后果。
所有生产这些设备的公司所面临的最大问题是,在处理与设备相关的安全问题和风险方面,他们很粗心。这些连接的设备大多数都无法获得足够的安全更新。有些根本无法更新。
曾经被认为是安全的设备随着技术的发展而变得完全脆弱和不安全,使它们易于受到网络罪犯和黑客的攻击。
大多数制造商确实提供了“空中传送”(OTA)固件更新,但一旦他们开始使用新设备,这些更新就会停止,使他们的前一代设备面临攻击。
如果这些公司不能定期为他们的设备提供安全更新,那么他们的客户群将面临潜在的网络攻击和数据泄露。
技术的发展为我们带来了许多智能设备,包括但不限于智能设备,智能家居系统等。这些设备使用与其他IoT连接设备类似的计算能力,并且可以用于各种活动。
受到感染的设备可以变成电子邮件服务器。根据互联网安全公司Proofpoint的一份报告,一台智能冰箱被用来发送数千封垃圾邮件,而其所有者却没有任何线索。这些智能设备中的大多数都可以转变为电子邮件服务器,以发送大量垃圾电子邮件。
类似于被劫持并变成大量垃圾邮件的电子邮件服务器的设备,智能物联网设备也可用作僵尸网络,以进行DDoS(分布式拒绝服务)攻击。
过去,黑客曾使用婴儿监视器,网络摄像头,流媒体盒,打印机甚至智能手表来进行大规模DDoS攻击。制造商需要了解与物联网连接设备相关的风险,并采取所有必要步骤来保护其设备。
许多IoT设备在通过网络发送消息时不会对消息进行加密。这是目前最大的物联网安全挑战之一。公司需要确保设备和云服务之间的通信是安全和加密的。
确保安全通信的最佳实践是使用传输加密并使用TLS等标准。通过使用不同的网络隔离设备还有助于创建安全的私有通信,从而使传输的数据保持安全和机密。大多数应用和服务已开始加密其消息,以确保其用户信息的安全。
大多数公司在出厂时均使用默认密码,甚至不告诉客户对其进行更改。这是最大的物联网安全威胁之一,因为默认密码是常识,犯罪分子可以轻松地获取密码进行暴力破解。
凭据薄弱几乎使所有与IoT连接的设备容易遭受暴力破解和密码黑客攻击。在其IoT设备上使用不安全凭据的公司正在使其客户和企业面临遭受直接攻击和被蛮力尝试感染的风险。
WikiLeaks发布的文件提到,美国中央情报局(CIA)一直在入侵物联网设备,并在所有者不知情的情况下打开摄像头/麦克风。攻击者可能在您不知情的情况下进入您的设备并窃取各种信息。
他们的文件指出,Android和iOS等最新软件存在大量漏洞,这意味着犯罪分子也可以利用这些漏洞实施令人发指的犯罪。
经验丰富的网络犯罪分子可以通过不安全的IoT设备找出互联网协议(IP)地址,这些地址可用于查明用户的位置及其实际居住地址。
这就是为什么许多互联网安全专家建议通过虚拟专用网络(VPN)保护您的IoT连接的原因。在路由器上安装VPN将加密通过ISP的所有流量。VPN可以使您的Internet协议地址私有,并保护整个家庭网络。
如前所述,不安全的IoT设备可能会泄漏您的IP地址,该IP地址可用于查明您的居住地址。
黑客可以将这些信息出售给犯罪组织经营的地下网站。 此外,如果您使用的是物联网连接的智能家居安全系统,那么这些也可能受到损害。这就是为什么您需要通过IoT安全性和使用VPN保护连接的设备的原因。
当我们都渴望驾驶智能汽车时,这些与物联网相连的汽车也存在着很高的风险。
熟练的黑客可能会访问您的智能汽车,并通过远程访问劫持它。 这是一个令人恐惧的想法,因为其他人控制您的汽车会使您容易遭受更大伤害。
幸运的是,智能汽车制造商正在密切关注这些“物联网安全”威胁,并努力保护其设备免受任何形式的破坏。
勒索软件已经在PC和公司网络上使用了很长时间。 犯罪分子会加密您的整个系统,并威胁要删除您的所有数据,除非您支付赎金。
攻击者开始锁定不同的智能设备并要求赎金进行解锁只是时间问题。研究人员已经找到了一种在智能恒温器上安装勒索软件的方法,这非常令人震惊,因为犯罪分子可以升高或降低温度,直到勒索赎金得到支付为止。更加可怕的是,攻击者获得了对家庭安全系统或智能设备的控制。
黑客总是紧追数据,这些数据包括但不限于客户名称,客户地址,信用卡号,财务详细信息等等。 即使公司拥有严格的IoT安全性,网络犯罪分子也可以利用不同的攻击媒介。
例如,一个易受攻击的物联网设备足以破坏整个网络并获得对敏感信息的访问。 如果将此类设备连接到公司网络,则黑客可以访问该网络并提取所有有价值的数据。 然后,黑客滥用这些数据,或将其大量出售给其他罪犯。
美国电视连续剧曾播出过一次袭击事件,罪犯以植入的医疗设备为目标刺杀一个人。
虽然这种攻击不是在现实生活中进行的。但这种威胁仍然使美国前副总统迪克·切尼(Dick Cheney)移除了植入的除颤器的无线功能,以避免出现这种情况。随着越来越多的医疗设备连接到物联网,这些类型的攻击随时有可能发生。
这是物联网设备大幅增长的不利方面。在过去的十年中,防火墙背后的设备数量已大大增加。过去,我们只需要担心保护个人计算机不受外部攻击。
现在,在这个时代,我们有很多不同的物联网设备需要担心。从我们的日常智能手机到智能家电等等。由于有太多可以被黑客入侵的设备,黑客将始终在寻找最薄弱的链接并将其破坏。
我们两年前就听说过Mirai僵尸网络。在Mirai之前,有一种比Mirai更危险的Reaper,Reaper比Mirai危险得多。大规模攻击会造成更大的破坏,但我们也应该警惕经常未被发现的小规模攻击。
小规模的攻击通常会逃避检测并从漏洞中逃脱。黑客将试图利用这些微攻击来执行他们的计划,而不是大手笔。
AI工具已经在世界范围内使用。有一些人工智能工具帮助制造汽车,而另一些工具则在筛选大量数据。然而,使用自动化有一个缺点,因为只需要代码中的一个错误或错误的算法就可以搞垮整个AI网络以及它控制的整个基础设施。
AI和自动化只是一种代码。如果有人能够访问这些代码,他们就可以控制自动化并执行他们想要的任何事情。因此,我们必须确保我们的工具在此类攻击和威胁面前保持安全。
由于设备数量的增加,与IoT交互的人员数量也会增加。并非每个人都在关注网络安全。有些甚至对数字攻击一无所知。
在保护其物联网设备时,此类人员通常具有最低的安全标准。如果这些人及其不安全的设备连接到组织或公司网络,则它们可能会给组织或公司网络带来厄运。
这也是可以通过正确共享知识轻松解决的另一种威胁。人们要么对物联网了解不多,要么不在乎。缺乏知识通常可能是对公司或个人网络造成巨大破坏的原因。
应该优先考虑提供有关物联网,连接的设备以及对每个人的威胁的所有基本知识。 具有有关物联网及其安全威胁的影响的基本知识可能是拥有安全网络和数据泄露之间的区别。
大多数人或组织不会在安全的物联网基础设施上进行投资,因为他们觉得这太耗时或太昂贵。这种情况必须改变。否则,公司将因袭击而面临巨大的财务损失。
数据是任何公司都可以拥有的最有价值的资产。数据泄露意味着巨大损失。投资安全的IoT设置不会像大规模的数据泄露那样昂贵。
机器网络钓鱼将成为未来几年的一个重要问题。黑客将渗透物联网设备和网络,发送假信号,这将导致所有者采取行动,可能会损害运营网络。
例如,物联网安全威胁处理程序可能会发出一个虚假的制造工厂报告,它正在处理一半的产能。而它实际正在处理100%,工厂运营商将试图进一步增加可能对工厂造成破坏的负荷。
随着这么多物联网设备充斥市场,制造商忽略了一个事实,即每个设备都需要一个适当和强大的认证协议。这种糟糕的授权机制常常导致向用户提供比预期更高的访问权限。
大多数设备缺乏密码复杂度、缺省凭证、缺少加密、没有双因素认证和不安全的密码恢复。这些安全漏洞很容易导致黑客轻松访问设备和网络。
大多数设备收集各种类型的数据,其中包括敏感信息。当设备开始收集个人信息时,如果没有针对该数据的任何适当保护方法,则会引起隐私问题。
如今,几乎所有智能手机应用程序都需要在iOS和Android上具有某种类型的权限和数据收集。 您需要查看这些权限,并查看这些应用程序正在收集什么样的数据。 如果收集的数据属于个人和敏感性质,那么最好放弃该应用程序。
现在,到目前为止,我们一直在谈论数字安全性,但这并不是对IoT设备的唯一威胁。 如果物理安全性较差,则黑客无需进行大量工作即可轻松访问设备。
物理弱点是黑客可以很容易地拆卸设备并访问其存储。比如设备有暴露的USB端口或其他类型的端口,可能导致黑客访问设备的存储介质并破坏设备上的任何数据。
这是一种掠夺的形式,黑客从借记卡,信用卡,ID卡/护照和其他文件上使用的RFID芯片中拦截无线信息和数据。
掠夺此数据的目的是窃取用于高级身份盗用的个人信息。 黑客使用NFC支持的设备来记录RFID芯片中所有未加密的数据,然后通过无线信号进行广播。
这是一种攻击,黑客通过不安全的IoT设备或网络中的漏洞拦截了两方之间的通信,然后他们在双方认为彼此通信的同时更改了消息。 这些攻击对于相关方而言可能是灾难性的,因为在通信过程中其所有敏感信息都处于危险之中。
黑客可以轻松地从无线传感器网络(WSN)节点吸引所有流量,以建立一个漏洞。 这种类型的攻击会产生隐喻性的漏洞,损害数据的机密性,并拒绝向网络提供任何服务。这是通过丢弃所有数据包而不是将它们发送到目的地来完成的。