物聯網安全是專注於保護物聯網(IoT)中連線裝置和網路的技術部分。物聯網涉及將網際網路連線,新增到由相互關聯的計算裝置、機械和數位機器、物體、動物和/或人組成的系統中。每個「東西」都提供了一個唯一的辨識符號,以及透過網路自動傳輸資料的能力。如果裝置沒有得到適當的保護,允許裝置連線到網際網路,它們會面臨一些嚴重的漏洞。
一些備受矚目的事件,使用常見的物聯網裝置滲透和攻擊更大的網路,這引起了人們對物聯網安全需求的關注。確保連線物聯網裝置的網路安全非常重要。物聯網安全,包括廣泛的技術、策略、協議和行動,目的在解決現代企業日益成長的物聯網漏洞。
什麼是物聯網安全?
物聯網安全是指用於保護網際網路連線,或基於網路的裝置的方法。物聯網這個術語非常廣泛,隨著技術的不斷發展,這個術語只會變得更廣泛。從手錶到恆溫器再到電子遊戲機,幾乎每台技術裝置,都能夠以某種身份與網際網路或其他裝置進行互動。
物聯網安全是用於保護這些裝置,免受損害的技術、策略和工具的家族。具有諷刺意味的是,正是物聯網固有的連線,使這些裝置越來越容易受到網路攻擊。
因為物聯網如此廣泛,物聯網安全範圍更廣。這導致各種方法屬於物聯網安全的保護傘。應用程式介面(API)安全、公鑰基礎設施(PKI)身份驗證和網路安全,只是 IT 主管者可用於應對根植於易受攻擊的物聯網裝置的網路犯罪,和網路恐怖主義日益成長的威脅的幾種方法。
物聯網安全問題和挑戰
裝置相互連線的方式越多,威脅行為者攔截它們的方式就越多。HTTP(超文字傳輸協議)和 API 等協議,只是物聯網裝置依賴的駭客可以攔截的幾個管道。
物聯網保護傘也不嚴格包括基於網際網路的裝置。使用藍牙技術的電器也算作物聯網裝置,因此需要物聯網安全。像這樣的監督促成了最近物聯網相關資料洩露的激增。
以下是一些物聯網安全挑戰,這些挑戰繼續威脅著個人和組織的財務安全。
1. 遠端曝光
與其他技術不同,物聯網裝置由於其網際網路支援的連線性,而具有特別大的支援面。 雖然這種可訪問性非常有價值,但它也為駭客提供了與裝置遠端互動的機會。 這就是為什麼像網路釣魚這樣的駭客活動特別有效。物聯網安全與雲安全一樣,必須考慮到大量的切入點,以保護資產。
2. 缺乏行業遠見
隨著公司繼續進行業務的數位化轉型,某些行業及其產品也是如此。汽車和醫療保健等行業,最近擴大了物聯網裝置的選擇範圍,以提高生產力和成本效益。然而,這場數位革命也導致了比以往任何時候都更大的技術依賴。
雖然通常不是問題,但依賴技術可以放大成功資料洩露的後果。令人擔憂的是,這些行業現在正依賴一種本質上更脆弱的技術:物聯網裝置。不僅如此,許多醫療保健和汽車公司不準備投資,確保這些裝置安全所需的資金和資源。
這種行業前瞻性的缺乏,不必要地使許多組織和製造商面臨日益嚴重的網路安全威脅。
3. 資源限制
缺乏遠見並不是新數位化行業,面臨的唯一物聯網安全問題。物聯網安全的另一個主要問題,是其中許多裝置的資源限制。
並非所有物聯網裝置,都具有整合複雜防火牆,或防病毒軟體的計算能力。有些人幾乎沒有能力連線到其他裝置。例如,採用藍牙技術的物聯網裝置,最近遭受了一波資料洩露。汽車行業再次成為受傷害最大的市場之一。
2020 年,一名網路安全專家利用了一個巨大的藍牙漏洞,在不到 90 秒的時間內入侵了 aTesla Model X。其他依賴 FOB(無線)鑰匙開啟和啟動汽車的汽車,也因類似原因遭受了攻擊。威脅行為者找到了一種方法,來掃描和複製這些 FOB 風格金鑰的介面,以竊取相關車輛,而無需觸發警報。
如果像特斯拉這樣的技術先進的機器容易受到物聯網資料洩露的影響,那麼任何其他智慧裝置也是如此。
如何保護物聯網系統和裝置
以下是一些企業,可以用來改進資料保護協議的物聯網安全措施。
1. 在設計階段引入物聯網安全
在討論的物聯網安全問題中,大多數可以透過更好的準備來克服,特別是在任何基於消費者、企業或基於工業的物聯網裝置開發的開始的研發過程中。 預設情況下啟用安全性相當重要,並提供最新的作業系統和使用安全硬體。
然而,物聯網開發人員應該在開發的每個階段注意網路安全漏洞,而不僅僅是設計階段。例如,透過將 FOB 放在金屬盒子裡,或遠離窗戶和走廊,可以減輕汽車鑰匙的駭客攻擊。
2. PKI 和數位證書
PKI 是保護多個網路裝置之間的客戶端 - 伺服器連線的絕佳方式。使用雙鍵不對稱加密系統,PKI 能夠使用數位證書促進私人訊息和互動的加密和解密。這些系統有助於保護使用者輸入網站的清晰文字資訊,以完成私人交易。 沒有 PKI 的安全性,電子商務就無法執行。
3. 網路安全
網路為威脅行為者,遠端控制他人的物聯網裝置提供了巨大的機會。由於網路涉及數位和實體元件,本地物聯網安全應解決兩種類型的接入點。保護物聯網網路包括確保埠安全,禁用埠轉發,在不需要時永遠不要開啟埠;使用反惡意軟體、防火牆和入侵檢測系統/入侵預防系統;阻止未經授權的 IP(網際網路協議)地址;以及確保系統被修補並更新。
4. API 安全
API 是最複雜的網站的骨幹。例如,它們允許旅行社將多家航空公司的航班資訊彙總到一個位置。不幸的是,駭客可能會破壞這些通訊管道,使 API 安全,成為保護從物聯網裝置傳送到後端系統的資料完整性所必需的,並確保只有授權的裝置、開發人員和應用 app 與 API 通訊。T-Mobile 的 2018 年資料洩露,是 API 安全性不佳後果的完美例子。由於「洩露的API」,這家行動巨頭暴露了 200 多萬客戶的個人資料,包括賬單郵政編碼、電話號碼和帳號等資料。
額外的物聯網安全方法
實施物聯網安全的其他方法包括:
- 網路訪問控制。NAC 可以幫助辨識和清點連線到網路的物聯網裝置。這將為追蹤和監控裝置提供一個基線。
- 分割。需要直接連線到網際網路的物聯網裝置,應該被分割成自己的網路,並限制訪問企業網路。如果檢測到問題,網路段應監控異常活動,並可採取措施。
- 安全閘道器。作為物聯網裝置和網路之間的中介,安全閘道器比物聯網裝置本身具有更多的處理能力、記憶體和功能,這使它們能夠實現防火牆等功能,以確保駭客無法訪問他們連線的物聯網裝置。
- 補丁管理/持續軟體更新。透過網路連線或透過自動化提供更新裝置和軟體的手段極為重要。協調披露漏洞對於儘快更新裝置也很重要。也考慮報廢策略。
- 訓練。物聯網和作業系統安全,對許多現有安全團隊來說是新的。對於安全人員來說,及時瞭解新的或未知的系統,學習新的架構和可程式語言,併為新的安全挑戰做好準備,這一點非常重要。C 級和網路安全團隊應定期接受網路安全培訓,以跟上現代威脅和安全措施。
- 整合團隊。除了培訓,整合不同和定期孤立的團隊可能是有用的。例如,讓程式開發人員與安全專家合作,可以幫助確保在開發階段將適當的控制元件新增到裝置中。
- 消費者教育。必須讓消費者瞭解物聯網系統的危險,並提供保持安全的步驟,例如更新預設憑證和應用軟體更新。消費者還可以在要求裝置製造商建立安全裝置,並拒絕使用不符合高安全標準的裝置方面發揮作用。
哪些行業最容易受到物聯網安全威脅?
物聯網安全駭客可以發生在任何地方和任何行業,從智慧家居到製造廠,再到互聯汽車。影響的嚴重程度在很大程度上,取決於單個系統、收集的資料和/或其中包含的資訊。
例如,禁用連線汽車剎車的攻擊,或駭客攻擊連線的健康裝置(如胰島素泵),向患者提供過多的藥物可能會危及生命。同樣,如果溫度波動,對由物聯網系統監控的製冷系統住房藥物的攻擊,可能會破壞藥物的可行性。同樣,對關鍵基礎設施 —— 油井、能源網或供水 —— 的攻擊可能是災難性的。
然而,其他攻擊不可低估。例如,對智慧門鎖的攻擊,可能會讓竊賊進入家庭。 或者,在其他安全漏洞中,攻擊者可能會透過連線的系統,傳遞惡意軟體來抓取個人身份資訊,對受影響的人造成嚴重破壞。
值得注意的物聯網安全漏洞和物聯網駭客
自 20 世紀 90 年代末物聯網概念首次誕生以來,安全專家長期以來一直警告著大量不安全裝置,連線到網際網路的潛在風險。隨後,一些攻擊成為頭條新聞,從冰箱和電視被用來傳送垃圾郵件,到入侵嬰兒監視器,並與兒童交談的駭客。重要的是要注意,許多物聯網駭客並不針對裝置本身,而是使用物聯網裝置,作為進入更大網路的入口點。
例如,2010 年,研究人員透露,Stuxnet 病毒被用來對伊朗離心機造成實體損傷,攻擊始於 2006 年,但主要攻擊發生在 2009 年。Stuxnet 通常被認為是物聯網攻擊的最早例子之一,它針對工業控制系統(ICS)中的監督控制和資料採集(SCADA)系統,使用惡意軟體感染可程式邏輯控制器(PLC)傳送的指令。
對工業網路的攻擊只會繼續,CrashOverride/Industroyer、Triton 和 VPNFilter 等惡意軟體,針對易受攻擊的操作技術(OT)和工業物聯網(IIoT)系統。
2013 年 12 月,企業資訊安全公司 Proofpoint Inc. 的一名研究人員發現了第一個物聯網殭屍網路。據研究人員稱,超過 25% 的殭屍網路,由電腦以外的裝置組成,包括智慧電視、嬰兒監視器和家用電器。
2015 年,安全研究人員 Charlie Miller 和 Chris Valasek,對一輛吉普車進行了無線駭客攻擊,改變了汽車媒體中心的廣播電台,打開了擋風玻璃雨刷和冷氣機,並阻止了油門工作。他們說,他們還可以殺死發動機,啟動剎車,並完全禁用剎車。Miller 和 Valasek 能夠透過克萊斯勒的車載連線系統 Uconnect,滲透到汽車網路中。
Mirai 是迄今為止最大的物聯網殭屍網路之一,於 2016 年 9 月首次襲擊了記者 Brian Krebs 的網站和法國網路主機 OVH;攻擊分別為每秒 630 千兆位元(Gbps)和每秒 1.1 太位元(Tbps)。接下來的一個月,域名系統(DNS)服務提供商 Dyn 的網路成為目標,使包括亞馬遜、Netflix、推特和《紐約時報》在內的一些網站,無法使用幾個小時。這些攻擊透過消費者物聯網裝置滲透到網路中,包括 IP 攝影機和路由器。
此後出現了許多 Mirai 變體,包括 Hajime、Hide 'N Seek、Masuta、PureMasuta、Wicked botnet 和 Okiru 等。
在 2017 年 1 月的一份通知中,美國食品藥品監督管理局警告了啟用射頻的 St. 的嵌入式系統。Jude 醫療植入式心臟裝置,包括起搏器、除顫器和再同步裝置,可能容易受到安全入侵和攻擊。
2020 年 7 月,趨勢科技發現了一個物聯網 Mirai 殭屍網路下載器,該下載器可以適應新的惡意軟體變體,這將有助於向暴露的大 IP 盒子提供惡意有效負載。還觀察到發現的樣本,利用了最近披露或未打補丁的常見物聯網裝置和軟體中的漏洞。
2021 年 3 月,安全攝影機新創公司 Verkada 的 15 萬部即時攝影機提要被一群瑞士駭客駭客入侵。這些攝影機監控著學校、監獄、醫院和特斯拉等私營公司設施內的活動。
物聯網安全標準和立法
存在許多物聯網安全框架,但迄今為止還沒有一個行業接受的標準。然而,簡單地採用物聯網安全框架會有所幫助;它們提供工具和清單來幫助公司建立和佈署物聯網裝置。此類框架已由 GSM 協會、物聯網安全基金會、工業網際網路聯盟等部門釋出。
2015 年 9 月,聯邦調查局釋出了一份公共服務公告,聯邦調查局警報號 I-091015-PSA,警告了物聯網裝置的潛在漏洞,並提供了消費者保護和國防建議。
2017 年 8 月,國會推出了《物聯網網路安全改進法案》,該法案將要求出售給美國政府的任何物聯網裝置,不使用預設密碼,沒有已知的漏洞,並提供補丁裝置的機制。雖然針對那些製造裝置出售給政府的製造商,但它為所有製造商應該採取的安全措施設定了基線。
同樣在 2017 年 8 月,《發展創新和發展物聯網(DIGIT)法案》在參議院獲得透過,但仍在等待眾議院批准。該法案將要求商務部召集一個工作組,並編寫一份關於物聯網的報告,包括安全和隱私。
雖然不針對物聯網,但 2018 年 5 月釋出的《通用資料保護條例》(GDPR)統一了整個歐盟的資料隱私法。這些保護延伸到物聯網裝置及其網路,物聯網裝置製造商應該考慮到它們。
2018 年 6 月,國會提出了《物聯網現代應用、研究和趨勢狀況法案》(SMART 物聯網法案),提議商務部對物聯網行業進行研究,並為物聯網裝置的安全成長提供建議。
2018 年 9 月,加利福尼亞州立法機構,批准了 SB-327 資訊隱私:連線裝置,該法律對在該國銷售的物聯網裝置引入了安全要求。
2019 年 2 月,歐洲電信標準研究所釋出了第一個全球適用的消費者物聯網安全標準 —— 這一方面以前從未以如此規模解決過。
2020 年 12 月,當時的美國總統簽署了《2020 年物聯網網路安全改進法案》,指示美國國家標準與技術研究所為美國政府控制或擁有的物聯網制定最低網路安全標準。
物聯網攻擊和安全各不相同
物聯網安全方法因你的特定物聯網應用 app,和你在物聯網生態系統中的位置而異。例如,物聯網製造商 —— 從產品製造商到半導體公司 —— 應該從一開始就專注於建構安全性,使硬體防篡改,建構安全硬體,確保安全升級,提供韌體更新/補丁並執行動態測試。
解決方案開發人員的重點,應該是安全軟體開發和安全整合。對於那些佈署物聯網系統的人來說,硬體安全和身份驗證是關鍵措施。同樣,對於營運商來說,保持系統最新、減輕惡意軟體、審計、保護基礎設施和保護憑證是關鍵。然而,對於任何物聯網佈署,在實施之前,權衡安全成本與風險非常重要。
 |
0 comments:
張貼留言