威脅物聯(lián)網(wǎng)的7大安全隱患-創(chuàng)新互聯(lián)

我們提供的服務(wù)有：成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、桂林ssl等。為成百上千企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的桂林網(wǎng)站制作公司

前言：

隨著越來越多的員工擁有各種各樣的家庭物聯(lián)網(wǎng)設(shè)備，他們經(jīng)常連接到企業(yè)網(wǎng)絡(luò)來完成他們的工作。這意味著企業(yè)網(wǎng)絡(luò)正在面臨巨大的威脅。

1.糟糕的用戶界面

每個(gè)人都喜歡友好的Web用戶界面。對(duì)于物聯(lián)網(wǎng)應(yīng)用程序，它們可以實(shí)現(xiàn)控制功能、配置設(shè)備并集成到應(yīng)用系統(tǒng)中，比其他任何方式速度更快，更容易。然而這對(duì)于犯罪分子也同樣易用。

大多數(shù)情況下，物聯(lián)網(wǎng)Web界面的問題與Web應(yīng)用程序的問題同樣困擾著企業(yè)。雖然SQL注入在物聯(lián)網(wǎng)應(yīng)用程序中不是什么大問題，但命令注入、跨站點(diǎn)腳本編寫和跨站點(diǎn)請(qǐng)求偽造都是編程缺陷，它們可以讓犯罪分子隨時(shí)訪問設(shè)備和整個(gè)系統(tǒng)，以控制、監(jiān)視和訪問用戶的操作。

幸運(yùn)的是，大多數(shù)Web 界面安全問題的補(bǔ)救措施與多年來向web安全開發(fā)人員提供的安全解決措施基本相同，包括：驗(yàn)證輸入、需要強(qiáng)密碼，并且不允許使用默認(rèn)密碼第一階段的初始設(shè)置、不公開憑據(jù)、限制密碼重試嘗試，并確保用戶名和密碼恢復(fù)程序的健壯性。

2.缺少身份驗(yàn)證

為一個(gè)物聯(lián)網(wǎng)應(yīng)用程序驗(yàn)證用戶身份是件好事。當(dāng)應(yīng)用程序可以控制建筑物的訪問和環(huán)境控制，或者提供對(duì)可能監(jiān)視建筑物使用者的音頻和視頻設(shè)備的訪問時(shí)，身份驗(yàn)證似乎是“必須的”，但在某些情況下，即使是最基本的身份驗(yàn)證也在實(shí)施中被遺漏了。

對(duì)于物聯(lián)網(wǎng)應(yīng)用程序來說，兩種身份驗(yàn)證非常重要。首先是用戶身份驗(yàn)證?？紤]到許多物聯(lián)網(wǎng)環(huán)境的復(fù)雜性，問題是每個(gè)設(shè)備是否需要身份驗(yàn)證，或者單個(gè)系統(tǒng)身份驗(yàn)證是否足以支持網(wǎng)絡(luò)上的每個(gè)設(shè)備。易用性的考慮使大多數(shù)系統(tǒng)設(shè)計(jì)人員選擇后者，所以對(duì)接入設(shè)備或控制中心的強(qiáng)身份驗(yàn)證顯得至關(guān)重要。

系統(tǒng)的單點(diǎn)登錄也使得另一種類型的認(rèn)證——設(shè)備認(rèn)證——更加重要。由于用戶沒有在每個(gè)設(shè)備接口上進(jìn)行身份驗(yàn)證，物聯(lián)網(wǎng)網(wǎng)絡(luò)中的設(shè)備應(yīng)該要求它們之間進(jìn)行身份驗(yàn)證，這樣攻擊者就不能使用隱含的信任作為進(jìn)入系統(tǒng)的憑證。

與Web界面安全性一樣，關(guān)閉這個(gè)安全漏洞的前提是將物聯(lián)網(wǎng)視為一個(gè)“真正的”應(yīng)用網(wǎng)絡(luò)。由于許多設(shè)備沒有本機(jī)用戶界面(這取決于瀏覽器UI或用于人機(jī)交互的應(yīng)用程序)，因此會(huì)出現(xiàn)“如何實(shí)現(xiàn)”的特殊問題，但任何設(shè)備缺乏身份驗(yàn)證，使得物聯(lián)網(wǎng)周邊的安全性變得更加脆弱。

3.使用默認(rèn)配置

你知道IoT設(shè)備自帶的默認(rèn)用戶名和密碼嗎?每個(gè)人都可以進(jìn)行谷歌搜索。對(duì)于那些不允許改變默認(rèn)設(shè)置的設(shè)備和系統(tǒng)來說，這是一個(gè)真正的問題。

默認(rèn)用戶憑證(比如說常用的用戶名“admin”)是在物聯(lián)網(wǎng)安全設(shè)置上的一個(gè)警告，但這并不是唯一重要的設(shè)置。包括使用的端口、設(shè)置具有管理員權(quán)限的用戶、是否記錄日志和事件通知，這些網(wǎng)絡(luò)參數(shù)都是應(yīng)該關(guān)注的安全設(shè)置，應(yīng)該通過這些安全設(shè)置來滿足部署需求。

除了允許將安全設(shè)置與環(huán)境現(xiàn)有的安全基礎(chǔ)設(shè)施更完全地結(jié)合起來之外，對(duì)默認(rèn)設(shè)置的修改會(huì)減少IoT的攻擊面，增加了入侵者攻入系統(tǒng)的難度。但是，這和其他安全問題一樣，不是用戶能輕易改變的。另一種解決方案是，可以對(duì)物聯(lián)網(wǎng)上部署的安全基礎(chǔ)設(shè)施進(jìn)行額外的審查。 

4.固件更新問題

固件就像細(xì)菌和豌豆一樣會(huì)不斷發(fā)展。開發(fā)人員會(huì)注意到哪里出了問題，哪里有漏洞，以及怎樣才能做得更好，并發(fā)布比最初版本更好的新固件。許多物聯(lián)網(wǎng)設(shè)備的問題是無法升級(jí)固件。這使得固件成為一個(gè)嚴(yán)重的漏洞。

不斷更新固件的優(yōu)點(diǎn)之一是使系統(tǒng)成為移動(dòng)的目標(biāo)。當(dāng)設(shè)備上的固件是固定的、不可移動(dòng)的，攻擊者可以在空閑時(shí)間對(duì)其進(jìn)行剖析，在他們自己的空閑時(shí)間開發(fā)漏洞，并對(duì)這些漏洞充滿信心地發(fā)起攻擊。今年5月爆發(fā)的VPNFilter攻擊就是這樣的一個(gè)例子，說明了當(dāng)這些設(shè)備的固件無法進(jìn)行更新時(shí)，可能會(huì)發(fā)生的攻擊，或者即使有更新的固件，用戶也不愿使用或根本無法更新。

顯然，如果設(shè)備可以更新，那么根據(jù)最佳安全實(shí)踐，設(shè)備應(yīng)該保持最新的版本和補(bǔ)?。蝗绻O(shè)備不能更新，那么應(yīng)該重點(diǎn)關(guān)注已知的漏洞，并采取其他安全措施確保這些漏洞在外圍的安全環(huán)境中被屏蔽。

5.云平臺(tái)接口問題

很少有商業(yè)自動(dòng)化系統(tǒng)能夠在不依賴于云的情況下增強(qiáng)其處理能力和命令知識(shí)庫。尤其在使用語音處理和命令轉(zhuǎn)換的情況下，系統(tǒng)與云的連接可能成為一個(gè)重大漏洞。

想想在一個(gè)物聯(lián)網(wǎng)實(shí)例和它所依賴的云之間來回傳遞的消息類型。當(dāng)然是簡單的控制數(shù)據(jù)包，可能會(huì)被用來錄制語音和視頻，任務(wù)列表，日歷事件以及DevOps框架和工具的指令。你是否知道，這些敏感數(shù)據(jù)流有沒有通過加密的隧道傳輸？

與物聯(lián)網(wǎng)安全的許多其他方面一樣，真正的問題是，在大多數(shù)情況下，用戶對(duì)如何保護(hù)云接口的安全沒有發(fā)言權(quán)。此外，大多數(shù)用戶都不知道云計(jì)算基礎(chǔ)設(shè)施所在的位置，而且可能存在安全責(zé)任劃分和監(jiān)管歸屬的問題。所以你應(yīng)該了解物聯(lián)網(wǎng)設(shè)備的功能，他們發(fā)送數(shù)據(jù)的位置，以及如何使用防火墻、入侵防御系統(tǒng)(IPS)和其他安全工具來彌補(bǔ)云接口的安全漏洞。

6.低級(jí)的網(wǎng)絡(luò)安全設(shè)計(jì)

一個(gè)寫得很差的物聯(lián)網(wǎng)設(shè)備應(yīng)用程序可以從內(nèi)到外暴露你的網(wǎng)絡(luò)，攻擊者可以通過這些漏洞滲透到你的系統(tǒng)中，并對(duì)物聯(lián)網(wǎng)設(shè)備和通用計(jì)算機(jī)發(fā)起攻擊。允許用戶在家庭網(wǎng)絡(luò)安裝物聯(lián)網(wǎng)設(shè)備，卻不更新防火墻的配置來增強(qiáng)防護(hù)，導(dǎo)致攻擊者利用防火墻的這一弱點(diǎn)。

在許多情況下，防火墻是應(yīng)對(duì)外部攻擊的；也就是說，他們關(guān)注的是試圖進(jìn)入網(wǎng)絡(luò)的外部流量。物聯(lián)網(wǎng)設(shè)備通過定期的心跳傳輸與內(nèi)部控制服務(wù)器保持連接，攻擊者可以利用未加密和未經(jīng)身份驗(yàn)證的通信流中的漏洞，在打開連接時(shí)將惡意通信發(fā)送回網(wǎng)絡(luò)。

有些人可能會(huì)說攻擊者必須知道設(shè)備的連接和類型才能利用漏洞，他們是對(duì)的，但這些人可能沒有聽說過Shodan。使用一個(gè)簡單的Shodan搜索，就可以找到各種設(shè)備、通信和開放端口，而不需要花費(fèi)太多的精力和時(shí)間。一旦找到，簡單的腳本就會(huì)自動(dòng)處理問題。攻擊者可以輕松的利用互聯(lián)網(wǎng)的搜索功能找到物聯(lián)網(wǎng)系統(tǒng)的脆弱性。

7.MQTT通信協(xié)議問題

最后，當(dāng)系統(tǒng)設(shè)計(jì)人員或開發(fā)人員完全忘記安全性時(shí)，問題就會(huì)出現(xiàn)。對(duì)于來自工業(yè)控制領(lǐng)域的通信協(xié)議MQTT，數(shù)以萬計(jì)的已部署系統(tǒng)甚至缺乏最基本的安全性。

多年來，工業(yè)控制安全模型過于簡單。首先，系統(tǒng)很少連接到任何更廣泛的區(qū)域網(wǎng)絡(luò)；其次，誰會(huì)想要攻擊和控制那些網(wǎng)絡(luò)？那里沒有什么值錢的東西!

當(dāng)然，現(xiàn)在的系統(tǒng)依賴于互聯(lián)網(wǎng)，各種各樣的攻擊者都想獲得物聯(lián)網(wǎng)設(shè)備的訪問權(quán)或控制權(quán)，因?yàn)樗麄兛梢陨蓴?shù)據(jù)并作為進(jìn)入其他系統(tǒng)的跳板。需要注意的是，對(duì)于MQTT和其他協(xié)議，漏洞可能并不存在于協(xié)議本身，而是存在于這些協(xié)議的實(shí)現(xiàn)方式中。

確保物聯(lián)網(wǎng)安全的關(guān)鍵是：掌握部署在物聯(lián)網(wǎng)上設(shè)備的作用，控制數(shù)據(jù)的流動(dòng)，并通過云平臺(tái)分析、監(jiān)測、預(yù)警來保障物聯(lián)網(wǎng)的安全性。

本文轉(zhuǎn)載自今日頭條號(hào)”e安教育“。

分享標(biāo)題：威脅物聯(lián)網(wǎng)的7大安全隱患-創(chuàng)新互聯(lián)
網(wǎng)頁URL：http://muchs.cn/article48/dieohp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站設(shè)計(jì)、App設(shè)計(jì)、自適應(yīng)網(wǎng)站、App開發(fā)、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)