任何事物都会被炒作获取关注,物联网也一样,物联网(IOT)由最初的概念快速发展,现在已经涵盖各个方面。消费者和企业也对物联网产品抱有很大热情,从家用空调到汽车,各处都在进行物联网化。但与此同时,相对于市场的快速发展,制造商们往往忽略了一点,那就是这些设备可能会遭受到网络攻击。
消费者购买物联网设备,这些设备通常是“针对性构建”的,所以消费者可能会认为这些设备是安全的。但现实情况是,物联网设备通常和我们日常使用的电脑和操作系统一样,只是重新做了打包封装,以一种新的形式进行交付。它们有着相同的优缺点,也会受到传统漏洞和攻击的影响。
吉普车和特斯拉在去年成为物联网安全的小白鼠,研究人员侵入了Cherokee吉普车以及特斯拉Model S的电脑系统并且能够远程控制车辆。安全研究团队通过几个方面证明了他们可以远程控制汽车,例如切换音乐,远程刹车等操作。针对特斯拉进行研究的黑客使用汽车的网络电缆物理访问汽车的信息系统获取了汽车的root访问权限,之后他们可以远程启动以及驱动汽车,当然也可以做到远程刹车。
幸运的是,这些黑客只是出于安全研究目的,他们将发现的漏洞通报给了厂商,厂商也已经发布了相应的补丁。但是在最近发布的戴尔安全威胁年度报告中,指出了智能设备制造商和使用不安全的物联网设备的用户不可能一直这么幸运。在2015年,针对Android设备的勒索软件攻击活动日益增加,而根据报告预测,下一步智能汽车将会成为勒索软件攻击的新目标,当遭受到攻击,司机可能无法退出汽车,直到他按照要求交付赎金。这只是许多利用方式之一,网络罪犯可以从个人或者公司车辆获得利益。
根据Gartner的预计,到2020年,物联网设备将达到208亿。未来针对物联网设备的攻击方式可能会和现在针对吉普和特斯拉的攻击方式相同,即使用一些意想不到的方式获得设备控制权。但恶意黑客可能会将物联网设备当做有价值的数据访问点,从而获取利益。
在2015年,戴尔安全伙伴 iPower 技术公司发现了Conficker蠕虫病毒恶意软件隐藏在新买的相机中,而这个相机是作为执法客户机使用的。在一个博客中,iPower的XEO讲述了这件事:
“iPower的工程师将这个相机通过USB连接到我们的电脑之一。当他这么做的时候,在我们的测试环境中的多个安全系统发现了安全威胁。那是一种常见的Conficker蠕虫,我们立即做了隔离处理。”
在这种情况下,黑客的目标可能是该相机获得的执法数据。目前尚不清楚攻击者是否会将这些数据用于政治金融目的。用户可能会信任他们得到的物联网设备,认为这些设备中不存在初始攻击向量。iPower的发现证明了两件事,首先,物联网设备只是对使用和普通家用电脑和操作系统的设备进行了包装;第二,制造商在生产和销售的时候并不完全了解他们的系统。因此,物联网设别进行部署的时候一定要经过严格的安全检查。
物联网设备中的漏洞可能很快的导致广泛的数据泄露。而根据预测,在未来几年里,政府将成为物联网技术的第二大采用者。因此,尤其对于政府来说,在部署物联网设备时一定要严格进行安全检查。
企业可以利用物联网来降低运营成本,提高工作效率并且扩大他们的产品和目标市场。但正如报告中指出的,越来越多的网络攻击目标正在针对公司。仅在2015年,就有2.17万亿IPS攻击以及81.9亿恶意软件攻击。如果公司要使用这些潜在不安全物联网设备带来的好处,他们就不得不做好这些设备的安全处理。
这里有一些可以采用的方法:
1.整体安全:确保数据安全,加密的数据中心或者云端以及介于两者之间的措施。另外终端安全、网络安全、身份和验证管理等方面也需要注意。
2.研究你的设备:你需要了解你的物联网设备,数据收集和发送的源和目标、谁请求这些数据、漏洞评估和设备认证,这些都需要了解。
3.审计网络:在安装设备之前做好审计。这样你能够更好地了解设备对网络流量的影响。并且需要评估当设备安装完成后会有哪些影响,你需要确保任何改变都在可控程度内。
4.网络划分:如果不能完全相信这些物联网设备,最好将它们放在独立的网段中,例如VLAN划分,这样使其不能访问或者干扰企业关键数据。
5.培养你的团队:随着物联网的发展,这一点是至关重要的。确保你的公司安全和网络团队能够了解最新的设备、标准以及问题。
最终,我们将会看到制造商将更多的安全设置直接纳入物联网设备中。但现在,主要责任还在于用户和公司注意防范网络攻击。不应该阻止感兴趣的组织使用物联网设备,而是在战略方针策略上指导他们进行产品选择。实现、以及维护。
物联网是近年来最大的商业机会,组织可以使用物联网设备作为高效的基础设施。但需要注意,不要因为这些设备而给你的组织带来安全错误。