什麼是物聯網?
Klacci 凱樂奇 iF-R 讀頭門禁系統可以這麼小。 iF-R 讀卡器越來越多地擴展了 iF 系列智能非接觸式鎖的適用性。
什麼是物聯網(IOT)
物聯網(IoT)是一個由連線的裝置組成的網路,每個裝置都有一個唯一的辨識符號,透過網路自動收集和交換資料。
物聯網裝置用於多個領域和行業,包括:
- 消費應用 —— 物聯網消費產品包括智慧手機、智慧手錶和智慧家居,它們透過單個裝置控制,從冷氣機到門鎖的一切。
- 業務應用 —— 企業使用廣泛的物聯網裝置,包括智慧安全攝影機、車輛、船舶和貨物追蹤器,以及捕捉工業機械資料的感測器。
- 政府應用 —— 政府物聯網應用包括用於追蹤野生動物、監控交通堵塞,和釋出自然災害警報的裝置。
全球物聯網裝置的數量現在達到數十億。他們在我們的日常生活中,越來越多的存在,導致了對他們固有的安全問題的更多審查,我們將在這裡探索這些問題。
如何管理物聯網裝置
要按預期工作,需要管理物聯網裝置,既需要內部管理(例如,軟體維護),也可以管理外部管理(管理,與其他裝置的通訊)。
這是透過將每個物聯網裝置,連線到一個被稱為命令和控制(C&C,command and control)中心的管理單元來實現的。中心負責軟體維護、配置、補丁錯誤和漏洞的韌體更新,以及任務的配置和身份驗證,如裝置註冊。
裝置之間的通訊透過應用程式介面(API)啟用。一旦裝置的製造商暴露了其 API,其他裝置或應用就可以使用它來收集資料和通訊。一些 API 甚至允許控制裝置。例如,建築經理可以使用 API,遠端鎖定特定辦公室內的門。
物聯網漏洞和安全問題
C&C 中心和 API 有效管理日常物聯網營運。也就是說,它們的集中性造成了一些可利用的弱點,包括:
- 未修補的漏洞 —— 連線問題或終端使用者需要直接從 C&C 中心手動下載更新,這往往導致裝置在過時的軟體上執行,使它們對新發現的安全漏洞敞開。
- 弱身份驗證 —— 製造商經常釋出包含易於破譯密碼的物聯網裝置(例如家庭路由器),這些密碼可能會被供應商和終端使用者保留到位。當開放遠端訪問時,這些裝置很容易成為執行自動指令碼進行批次開發的攻擊者的獵物。
- 易受攻擊的 API —— 作為通往 C&C 中心的閘道器,API 通常受到各種威脅的目標,包括中間人(MITM)、程式注入(例如 SQLI)和分散式拒絕服務(DDoS)攻擊。 有關 API 目標攻擊的影響的更多資訊<可以在這裡找到。
可利用裝置構成的危險可以分為兩類:它們對使用者構成的威脅,和對他人構成的威脅。
對使用者的威脅
受損的物聯網裝置以多種方式,讓使用者面臨風險,例如:
資料盜竊
物聯網裝置包含大量資料,其中大部分是個人使用者獨有的,包括線上瀏覽/購買記錄、信用卡詳細資訊,和個人健康資訊。
儲存不當的裝置使這些資料容易被盜。此外,易受攻擊的裝置可以作為其佈署在網路其他區域的閘道器,從而可以提取更敏感的資料。
身體傷害
物聯網裝置現在在醫療行業很常見,例子包括心臟起搏器、心臟監測器和除顫監護儀。雖然方便(例如,醫生可以遠端微調患者的起搏器),但這些裝置也容易受到安全威脅。
不安全的裝置,可能會被利用來干擾患者的醫療護理。這是極其罕見的,儘管在制定物聯網裝置保護策略時需要考慮。
對他人的威脅
不安全的物聯網設備很容易被劫持,並在殭屍網路中使用 —— 殭屍網路是一組受惡意軟體感染的網路連接設備,數量可能有數百萬,從遠端位置控制。
對於肇事者來說,發現未受保護的裝置並不困難,可以透過執行廣泛可用的指令碼或工具輕鬆實現。Shodan 的存在就是最好的例證,Shodan 是一個為發現此類裝置而公開,可用的搜尋引擎。
隨著物聯網裝置變得更加複雜,它們構成的威脅也變得更加複雜。這體現在各種網路攻擊中,包括廣泛的垃圾郵件和網路釣魚活動,以及 DDoS 攻擊。 後者近年來規模不斷擴大,主要是由於受保護的物聯網裝置的可用性增加。
這種趨勢的一個突出例子發生在 2016 年,當時公開發布 Mirai 惡意軟體促使肇事者建立大規模的物聯網毆納特網,並將其用於 DDoS 攻擊。
這導致了前所未有的攻擊浪潮,其中最臭名昭著的攻擊關閉了 Dyn DNS 服務,切斷了對世界上一些最受歡迎的域名的訪問,包括 Etsy、GitHub、Netflix、Spotify 和 Twitter。
惡意軟體本身是一個相對簡單的指令碼,可以掃描開放的遠端訪問埠,並試圖使用常用的登入憑據(例如管理員/管理員)的簡短列表,來獲得訪問許可權。
儘管如此,平庸的物聯網安全措施卻讓這些簡單的策略極其成功。用 Mirai 惡意軟體作者 Anna-Senpai 的話來說:「使用 Mirai,我通常僅從 telnet 就能拉取最多 38 萬個機器人。」
物聯網安全管理
物聯網裝置的大量,使其安全成為高度優先事項,對網際網路生態系統的未來福祉非常重要。
對於裝置使用者來說,這意味著遵守基本的安全最佳實踐,例如更改預設安全密碼,和阻止不必要的遠端訪問(例如,當裝置功能不需要時)。
另一方面,供應商和裝置製造商應該採取更廣泛的方法,並投入大量資金,來保護物聯網管理工具。應該採取的步驟包括:
- 主動通知使用者執行過時的軟體/作業系統版本的裝置。
- 強制執行智慧密碼管理(例如,強制更改預設密碼)。
- 禁用對裝置的遠端訪問,除非是核心功能所必需的。
- 為 API 引入嚴格的訪問控制策略。
- 保護 C&C 中心免受妥協企圖和 DDoS 攻擊。
Imperva 雲 WAF 透過提供邊緣流量過濾服務,來幫助物聯網製造商保護他們的 C&C 中心,確保只有授權和經過認證的客戶端請求,才能到達他們的 API。
Imperva 雲 WAF 結合了行業領先的 WAF 服務,和 DDoS 解決方案,能夠保護其使用者免受所有線上威脅,並高效處理來自不同裝置的多版本。
為了增加可靠性,該服務還配備了負載平衡和故障轉移功能,可幫助營運業者處理有機流量峰值,例如在新韌體補丁釋出時可能發生的那種。
沒有留言:
張貼留言