物联网零散的安全记录长期以来一直是安全界的讨论话题,但2016年10月的Mirai恶意软件攻击事件引起了世界各国的关注。
这是对物联网第一次成功的大规模安全攻击,利用恶意软件将易受攻击的物联网设备变成僵尸网络大军,通过多种大规模DDoS攻击摧毁Netflix、Twitter和Reddit等知名网站。
Mirai并不是一个复杂的恶意软件,它只是在物联网设备上扫描网络上的Telnet开放端口,然后尝试总共61个默认密码,试图获得尽可能多的设备控制权。
这是一个令人担忧的成功策略,有近40万台设备在巅峰时刻连接在一起,足以造成大规模破坏。更重要的是,它提出了一个严重问题,即便是粗糙恶意软件也可以轻松通过薄弱的物联网安全实践。
过去的错误
MiRAI恶意软件攻击听起来像是糟糕的情况,但不幸的是,有相当多的物联网设备( Gartner预测,2017年有84亿台连网设备,到2020年将增至204亿台 ) 极易受到这种攻击。
近年来,许多制造商和供应商急于利用物联网市场的快速增长机会,并没有采取强有力的安全措施,以便尽快将产品推向市场。
因此,如今许多设备都有默认密码和凭据,使用不安全的配置,并且众所周知的难以升级。总之,他们很容易被攻击。
新低级协议黑客(如KRACK )的出现,也让潜在攻击者更容易绕过和破坏物联网基础设施,并注入恶意代码,或操纵易受攻击设备中的数据。
这样做可能会产生严重影响。例如,如果设备需要与云应用程序同步,恶意代码或操纵的数据可能被用来感染云或发回不正确的设置或操作,从而带来潜在的破坏性后果。
幸运的是,物联网制造商和供应商正慢慢意识到设备和基础设施保护不足所带来的安全风险。
但是,由于已经有那么多保护不良的设备(并且还在生产中)存在,在进行任何实施之前,从各种不同角度对安全进行全面评估仍然是绝对必要的。
物联网安全的三个关键领域
至少应彻底检查以下三个方面:
软件:在安装任何新设备之前,务必确保制造商从一开始就遵守严格的软件安全措施,而不是事后才采取的措施。其核心是能够远程修补设备,为抵御网络威胁和软件进步提供急需的未来防护。
硬件:物理安全是评估新物联网设备的另一个关键领域。包括物理开关这样简单的东西,允许用户在需要时关闭某些功能(例如,具有麦克风功能的设备静音按钮)。在组件中集成防篡改措施也大大减少了未经许可访问它们的机会。
网络:对于物联网设备与后端管理或存储解决方案之间的任何数据交换,应始终使用HTTPS等安全协议。强身份验证方法也很重要,应提示用户在首次使用时立即将任何默认凭据更改为强大的字母数字替代方法。
与许多新技术一样,制造商和供应商在过去几年物联网热潮中很容易忘记了安全的重要性。 然而,现在蜜月期已经结束,而像Mirai这样危险新型恶意软件构成的威胁变得更加普遍,每个人都需要开始认真对待。
上述基本安全原则将有助于抵御外部威胁。幸运的是,业界已经开始意识到这一点,但在更好的安全措施变得更加普遍之前,对新的物联网实施采取谨慎态度仍然是必不可少的。