雖然物聯(lián)網(wǎng)設(shè)備和工具有很多用途，可以讓人們的工作和生活變得更輕松，但許多設(shè)備和工具可能有一些安全漏洞。

物聯(lián)網(wǎng)是一把雙刃劍。從配備智能門鎖的智能家居到通過Wi-Fi自動(dòng)煮沸早茶的水壺，物聯(lián)網(wǎng)技術(shù)讓人們的生活變得簡單得多，但其成本也可能要高得多。在物聯(lián)網(wǎng)安全中，存在一些安全性權(quán)衡因素，并且可能弊大于利。

在物聯(lián)網(wǎng)技術(shù)進(jìn)入企業(yè)、家庭以及日常生活之前，人們需要了解表明安全重要性的一些例子。

物聯(lián)網(wǎng)安全性：物聯(lián)網(wǎng)設(shè)備使人們?nèi)菀资軅?/p>

黑客可以通過網(wǎng)絡(luò)上的設(shè)備進(jìn)入企業(yè)的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全服務(wù)商Darktrace公司首席執(zhí)行官Nicole Eagan介紹了一起物聯(lián)網(wǎng)設(shè)備安全事例，該事例發(fā)生在美國一家未透露名稱的賭場，網(wǎng)絡(luò)攻擊者能夠通過該賭場的一個(gè)水族館智能溫度計(jì)的漏洞訪問其數(shù)據(jù)庫。

在討論物聯(lián)網(wǎng)設(shè)備安全性指南之前，人們需要了解一些物聯(lián)網(wǎng)安全漏洞的例子。

家用消費(fèi)類智能設(shè)備的安全漏洞

如果看過有關(guān)Alexa和Google Home智能助理中的安全漏洞是如何被欺詐并竊聽用戶的調(diào)查報(bào)告，那么人們對物聯(lián)網(wǎng)設(shè)備安全性的擔(dān)心是對的。盡管亞馬遜公司和谷歌公司每次都會(huì)采取應(yīng)對措施，但他們?nèi)员桓碌木W(wǎng)絡(luò)攻擊技術(shù)所挫敗。

除此之外，三星公司推出的智能冰箱也有安全漏洞，由于其顯示屏與用戶的Gmail日歷集成在一起，即使已部署SSL來確保Gmail集成的安全，冰箱本身也無法驗(yàn)證SSL/TLS證書，這為黑客進(jìn)入其所在網(wǎng)絡(luò)并竊取登錄憑據(jù)打開了大門。

值得稱贊的是，三星公司在軟件更新中修復(fù)了該錯(cuò)誤，但當(dāng)這個(gè)知名品牌都會(huì)遭到網(wǎng)絡(luò)攻擊并導(dǎo)致破壞時(shí)，這將讓大量用戶感到不安。這揭示了一個(gè)幾乎不可避免的事實(shí)，即功能性往往優(yōu)先于安全性，對于知名廠商更是如此。更重要的是，2015年，三星集團(tuán)還表示將在其智能電視中收集和使用用戶的數(shù)據(jù)：如果用戶的口令包含個(gè)人信息或其他敏感信息，則這些信息可能通過使用語音識別技術(shù)捕獲并傳輸給第三方。

例如全球知名的蘋果公司在遭遇網(wǎng)絡(luò)攻擊方面也難以幸免。2019年2月，用戶在蘋果公司的FaceTime應(yīng)用程序中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，網(wǎng)絡(luò)攻擊者可以在接受或拒絕來電之前訪問某人的iPhone攝像頭和麥克風(fēng)。

隨著網(wǎng)絡(luò)攻擊者找到巧妙的方法來逃避安全控制以竊取數(shù)據(jù)，造成的破壞或許只是一種破壞性的行為，但是，如果這樣的事例發(fā)生在智能家居設(shè)施，那么將會(huì)發(fā)生什么？

物聯(lián)網(wǎng)設(shè)備被Mirai公司等大型僵尸網(wǎng)絡(luò)利用

Mirai是一種以物聯(lián)網(wǎng)為中心的惡意軟件，它以弱憑據(jù)來感染物聯(lián)網(wǎng)設(shè)備，將其轉(zhuǎn)變?yōu)檫h(yuǎn)程控制的僵尸或機(jī)器人網(wǎng)絡(luò)。盡管Mirai的創(chuàng)建者已被抓獲，但他們已對外發(fā)布了該惡意軟件的源代碼（可能是為了混淆和分散注意力），現(xiàn)在它具有多個(gè)變體。

僵尸網(wǎng)絡(luò)已被用來發(fā)起多種DDoS攻擊，其中一種攻擊是針對羅格斯大學(xué)的網(wǎng)絡(luò)攻擊，另一種針對為Netflix和Twitter等知名廠商提供域名服務(wù)的Dyn公司的攻擊。

植入式醫(yī)療器械的安全漏洞

在科技領(lǐng)域，幾乎沒有什么設(shè)備能逃脫網(wǎng)絡(luò)罪犯的控制，其中包括醫(yī)療設(shè)備。

在2018年召開的一次黑帽會(huì)議上，WhiteScope公司的Billy Rios和QED Secure Solutions公司的Jonathan Butts展示了黑客如何通過遠(yuǎn)程控制技術(shù)攻擊可以挽救患者生命的植入式醫(yī)療器械，并可能進(jìn)行操縱對患者造成傷害。兩位安全研究人員演示了如何禁用胰島素泵并控制美敦力公司生產(chǎn)的心臟起搏器系統(tǒng)。作為回應(yīng)，美敦力公司將這個(gè)漏洞清除，但并未承認(rèn)這種情況的嚴(yán)重性，甚至在這個(gè)漏洞警報(bào)提交給他們570天之后，該公司仍沒有積極解決這個(gè)問題。

人們?yōu)榇丝赡芡茰y，由遠(yuǎn)程控制的物聯(lián)網(wǎng)設(shè)備組成的網(wǎng)絡(luò)如何被用來摧毀電網(wǎng)（或用于供水系統(tǒng)的監(jiān)控與數(shù)據(jù)采集系統(tǒng)，或控制天然氣管道等），或者嬰兒監(jiān)護(hù)儀可能被黑客攻擊，這些設(shè)想會(huì)令人感到不安。但仍然可以肯定的是物聯(lián)網(wǎng)設(shè)備的漏洞將會(huì)繼續(xù)存在。因此，如果要避免危機(jī)，物聯(lián)網(wǎng)設(shè)備制造商需要更加注意其中的安全風(fēng)險(xiǎn)，高級持續(xù)性威脅（APT）更加危險(xiǎn)。

物聯(lián)網(wǎng)最大的安全風(fēng)險(xiǎn)是什么？

盡管人們對物聯(lián)網(wǎng)面臨的最大安全風(fēng)險(xiǎn)沒有太多發(fā)言權(quán)，但可以在某種程度上通過采取一些安全措施來保護(hù)物聯(lián)網(wǎng)設(shè)備。開放式網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目（OWASP）基金會(huì)是一個(gè)全球性的非營利性組織，旨在提高企業(yè)對網(wǎng)絡(luò)應(yīng)用程序安全性、移動(dòng)設(shè)備安全性等領(lǐng)域中的安全風(fēng)險(xiǎn)的意識，以便組織和個(gè)人可以做出明智的決定。

下表列出了開放式網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目（OWASP）基金會(huì)于2014和2018年在智能設(shè)備中發(fā)現(xiàn)的十大物聯(lián)網(wǎng)漏洞：

企業(yè)保證物聯(lián)網(wǎng)安全的十大技巧

如果企業(yè)的智能設(shè)備配備了不可更改的憑據(jù)或任何類型的身份驗(yàn)證/授權(quán)機(jī)制，那么不要購買和使用。從開放式網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目（OWASP）列出的2018年十大物聯(lián)網(wǎng)漏洞列表中可以看出，不安全的生態(tài)系統(tǒng)（Web接口和云平臺接口等）、數(shù)據(jù)安全性和物理安全性等一些問題在2014年以前一直保持前10位。這使人們對物聯(lián)網(wǎng)設(shè)備安全性發(fā)展的方向和速度有了一個(gè)清晰的認(rèn)識。它還提出了有關(guān)物聯(lián)網(wǎng)安全解決方案的有效性和采用率的相關(guān)問題。

然而，由于物聯(lián)網(wǎng)正成為人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?，必須盡最大努力保護(hù)聯(lián)網(wǎng)設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。以下是一些可以采用的措施和方法。

1.了解采用的網(wǎng)絡(luò)及其連接設(shè)備

當(dāng)企業(yè)的設(shè)備連接到全球互聯(lián)網(wǎng)時(shí)，這些連接會(huì)使企業(yè)的網(wǎng)絡(luò)容易受到攻擊，并且如果設(shè)備沒有得到足夠的安全保護(hù)，網(wǎng)絡(luò)攻擊者也可以使用這些設(shè)備。由于越來越多的設(shè)備配備了網(wǎng)絡(luò)接口，因此企業(yè)工作人員很容易忘記哪些設(shè)備可以通過網(wǎng)絡(luò)訪問。為了確保安全，企業(yè)IT人員必須了解其網(wǎng)絡(luò)、網(wǎng)絡(luò)上的設(shè)備，以及容易泄露的信息類型（尤其是具有社交共享功能的應(yīng)用程序）。

網(wǎng)絡(luò)攻擊者使用諸如位置和個(gè)人詳細(xì)信息等來跟蹤人員的情況，這可能會(huì)轉(zhuǎn)化為現(xiàn)實(shí)中的危險(xiǎn)。

2.評估網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備

在知道哪些設(shè)備連接到網(wǎng)絡(luò)后，需要對設(shè)備進(jìn)行審核以了解其安全性?？梢酝ㄟ^從制造商的網(wǎng)站上安裝安全補(bǔ)丁和更新，檢查具有更強(qiáng)安全功能的更新設(shè)備等措施來實(shí)現(xiàn)物聯(lián)網(wǎng)安全。此外，在購買設(shè)備之前，需要了解該品牌設(shè)備的安全性。企業(yè)采購和應(yīng)用人員需要問自己一些問題：

?其產(chǎn)品是否報(bào)告了導(dǎo)致危害的安全漏洞？

?設(shè)備商在向潛在客戶推銷產(chǎn)品時(shí)是否滿足網(wǎng)絡(luò)安全需求？

?如何在其智能解決方案中實(shí)施安全控制？

3.實(shí)施強(qiáng)密碼保護(hù)企業(yè)的所有設(shè)備和帳戶

企業(yè)需要使用不易被猜到的、安全性強(qiáng)的獨(dú)特密碼來保護(hù)其所有帳戶和設(shè)備。不要采用默認(rèn)密碼或普通密碼（例如“admin”或“password123”）。如果需要，使用密碼管理器來跟蹤所有密碼。確保企業(yè)和其員工不在多個(gè)帳戶中使用相同的密碼，并確保定期進(jìn)行更改。

這些步驟有助于防止其所有帳戶遭到泄露。除了密碼到期日期外，需要確保設(shè)置了錯(cuò)誤密碼嘗試次數(shù)的限制，并實(shí)施帳戶鎖定策略。

4.為智能設(shè)備使用單獨(dú)的網(wǎng)絡(luò)

企業(yè)為其智能設(shè)備使用與家庭或企業(yè)網(wǎng)絡(luò)不同的網(wǎng)絡(luò)，這可能是提高物聯(lián)網(wǎng)安全性最具戰(zhàn)略意義的方法之一。通過網(wǎng)絡(luò)分段措施，即使網(wǎng)絡(luò)攻擊者找到了進(jìn)入企業(yè)智能設(shè)備的途徑，他們也無法訪問企業(yè)的業(yè)務(wù)數(shù)據(jù)。

5.重新配置默認(rèn)設(shè)備設(shè)置

通常情況下，許多智能設(shè)備在出廠時(shí)都帶有不安全的默認(rèn)設(shè)置。更糟糕的是，有時(shí)無法修改這些設(shè)備的配置。企業(yè)需要根據(jù)其要求評估和重新配置默認(rèn)憑據(jù)、侵入式功能和權(quán)限、開放端口等。

6.安裝防火墻和其他知名的物聯(lián)網(wǎng)安全解決方案以識別漏洞

安裝防火墻以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量，并運(yùn)行入侵檢測系統(tǒng)（IDS）/入侵防御系統(tǒng)（IPS）來監(jiān)視和分析網(wǎng)絡(luò)流量。企業(yè)還可以使用自動(dòng)漏洞掃描程序來發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全漏洞。使用端口掃描程序來識別打開的端口并查看正在運(yùn)行的網(wǎng)絡(luò)服務(wù)。確定是否需要這些端口，并檢查它們上運(yùn)行的服務(wù)是否存在已知漏洞。

7.使用強(qiáng)加密并避免通過不安全的網(wǎng)絡(luò)連接

如果企業(yè)決定遠(yuǎn)程檢查智能設(shè)備，則切勿使用公共Wi-Fi網(wǎng)絡(luò)或未實(shí)施可靠加密協(xié)議的網(wǎng)絡(luò)進(jìn)行檢查。企業(yè)確保自己的網(wǎng)絡(luò)設(shè)置未在過時(shí)的標(biāo)準(zhǔn)（例如WEP或WPA）上運(yùn)行，而是使用WPA2標(biāo)準(zhǔn)。不安全的互聯(lián)網(wǎng)連接會(huì)使企業(yè)數(shù)據(jù)和設(shè)備容易受到網(wǎng)絡(luò)攻擊者的攻擊。盡管發(fā)現(xiàn)WPA2本身很容易受到密鑰重新安裝攻擊或KRACK的攻擊，而WPA3容易受到Dragonblood攻擊的影響，但是安裝更新和補(bǔ)丁程序是保持業(yè)務(wù)安全運(yùn)營的唯一途徑，并且可以將風(fēng)險(xiǎn)降至最低。

8.在不使用設(shè)備和功能時(shí)斷開網(wǎng)絡(luò)連接

查看應(yīng)用程序權(quán)限并閱讀這些應(yīng)用程序的隱私權(quán)政策，以了解它們打算如何使用其共享的信息。除非企業(yè)要使用遠(yuǎn)程訪問或語音控制等功能來實(shí)施更持久的物聯(lián)網(wǎng)安全檢查，否則必須禁用它們。如果需要，可以隨時(shí)啟用它們。當(dāng)企業(yè)不使用設(shè)備時(shí)，需要考慮將它們與網(wǎng)絡(luò)完全斷開。

9.關(guān)閉通用的即插即用（UPnP）功能

通用即插即用功能旨在無縫地連接網(wǎng)絡(luò)設(shè)備，而無需進(jìn)行配置，但由于UPnP協(xié)議中的漏洞，這些設(shè)備也更容易被黑客發(fā)現(xiàn)。即插即用（UPnP）功能在默認(rèn)情況下會(huì)在多個(gè)路由器上啟用，因此除非企業(yè)為方便起見而愿意犧牲安全性，否則需要檢查設(shè)置并確保已經(jīng)禁用。

10.通過實(shí)施物理安全保護(hù)設(shè)備安全

盡量不要丟失手機(jī)，尤其是當(dāng)手機(jī)中裝有可控制物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序時(shí)。如果這樣做，除了在設(shè)備上具有PIN/密碼/生物識別保護(hù)外，需要確保用戶具有遠(yuǎn)程擦除手機(jī)數(shù)據(jù)的功能。需要設(shè)置自動(dòng)備份或有選擇地備份企業(yè)可能需要的任何設(shè)備數(shù)據(jù)。

此外，限制企業(yè)的智能設(shè)備的可訪問性。例如冰箱需要USB端口嗎？允許訪問最小數(shù)量的端口，并在可行的情況下考慮不進(jìn)行Web訪問（僅本地訪問）。

物聯(lián)網(wǎng)安全的一些分析工具

除了以上討論的物聯(lián)網(wǎng)安全解決方案之外，企業(yè)還有一些其他工具可用于更好地查看和控制其網(wǎng)絡(luò)。Wireshark和tcpdump（命令行實(shí)用程序）是兩個(gè)開源工具，可以用來監(jiān)視和分析網(wǎng)絡(luò)流量。Wireshark更加用戶友好，因?yàn)樗鼛в幸粋€(gè)GUI，并且有各種排序和過濾選項(xiàng)。

Shodan、Censys、Thingful和ZoomEye是可以用于物聯(lián)網(wǎng)設(shè)備的工具（如搜索引擎）。ZoomEye也許是更適用于新用戶的工具，因?yàn)閱螕暨^濾器后會(huì)自動(dòng)生成搜索查詢。

ByteSweep是設(shè)備制造商提供的一個(gè)免費(fèi)安全分析平臺，它是測試人員可以在產(chǎn)品出廠之前用來進(jìn)行檢查的另一個(gè)工具。

物聯(lián)網(wǎng)安全的概述

無論風(fēng)險(xiǎn)有多大，物聯(lián)網(wǎng)技術(shù)都有著巨大的潛力，這是一個(gè)毋庸置疑的事實(shí)。物聯(lián)網(wǎng)的連接性證明了它在解決各種環(huán)境和任務(wù)方面的有用性。而企業(yè)急于采用一些并不成熟的技術(shù)和產(chǎn)品時(shí)可能會(huì)出現(xiàn)問題，這些企業(yè)或者完全忽略了潛在的安全風(fēng)險(xiǎn)，或者沒有足夠重視。

在開發(fā)安全可靠的產(chǎn)品、提高客戶意識以及推出新設(shè)備之前，需要進(jìn)行嚴(yán)格的測試，這可以在很大程度上解決當(dāng)前許多被忽視的物聯(lián)網(wǎng)安全問題。
責(zé)任編輯:pj