文章轉載來源安全 / 發(fā)表評論 / 作者: 物聯之家網
到今年年底,全球物聯網安全市場預計將增長到50.9億美元,很明顯,現代企業(yè)已經認識到安全物聯網基礎設施的重要性。
在開發(fā)技術解決方案時,漏洞可能是不可避免的,但漏洞常見并不意味著它們無害。讓我們來看看近年來物聯網漏洞帶來的一些影響。
看似簡單的物聯網漏洞可能會產生重大影響
某品牌IP攝像頭系列中存在一個已知的關鍵遠程代碼執(zhí)行漏洞,該漏洞造成了重大危害,使全球2300多家組織面臨被入侵的風險。該漏洞發(fā)生在這些攝像頭的網絡服務器中,可以允許黑客發(fā)出命令,授予他們對受影響設備的完整 root shell 訪問權限——甚至攝像頭的所有者都無權訪問。一旦進入系統,他們就可以禁用物聯網設備,破壞網絡,并發(fā)起DDoS或其他攻擊。
在其他地方,研究人員在 Throughtek 的 Kalay IoT 云平臺中發(fā)現了一個嚴重缺陷,該平臺覆蓋了超過 8300 萬臺設備,包括安全攝像頭和嬰兒監(jiān)視器。該缺陷的關鍵CVSS3.1評分為9.6/10,這說明受影響的設備可能會因訪問UID而受到遠程攻擊,并且根據設備的功能可能會受到進一步的攻擊。
這些漏洞并非孤立地出現在消費者物聯網設備中。由于 CVSS v3 總得分為 9.8/10 的七個獨立漏洞,醫(yī)療物聯網設備目前成為攻擊目標。這些被稱為“Access:7”的物聯網漏洞影響了醫(yī)療行業(yè)最流行的嵌入式設備平臺之一(同一平臺也可用于管理ATM、自動售貨機和PoS系統等設備)。這些漏洞涉及范圍廣泛,從默認配置問題到未記錄和未經驗證的命令的處理。這使患者的個人信息處于危險之中,而且使用 DDoS來攻擊醫(yī)療設備可能會導致生命損失。
保護設備免受物聯網漏洞攻擊的挑戰(zhàn)
鑒于漏洞可以來自眾多介質,包括物理設備、軟件或網絡元素,可能無法完全防止物聯網漏洞。
為了幫助管理和解決這些問題,一些開發(fā)人員和安全組織部署了自動化和網絡安全工具,以幫助掃描、檢測和緩解軟件方面的漏洞。盡管有些人將這些工具視為通過“消除人為因素”來提高效率的一種手段,但研究表明,自動化工具只能發(fā)現大約 45% 的整體漏洞。更糟糕的是,這些檢測可能會產生錯誤的結果,從而導致延遲(誤報)或帶有已知漏洞的產品流向市場(誤診)。
如果他們希望發(fā)布一個合格的產品,即使是最好的開發(fā)人員也必須與安全專家一起工作。Enterprise Strategy Group 的一份報告發(fā)現,開發(fā)人員和安全團隊之間的溝通不暢導致大約 48% 的產品帶有易受攻擊的代碼。如果在發(fā)貨之前發(fā)現漏洞,可能會導致產品發(fā)布延誤,或者沒有發(fā)現,這將導致不安全的產品流向市場。
當然,設計團隊、開發(fā)人員和系統架構師也經常會忽略一些常見的盲點。此外,用戶也會給系統帶來新的風險,例如,使用移動終端為不良行為者提供了一個可能引入或提取潛在敏感信息的新途徑。
如何處理漏洞和其他安全問題
物聯網漏洞可能是不可避免的,但這并不意味著公司無法保護其系統免受入侵。一些最簡單的解決方案包括:
保持密碼最新和更新固件:黑客最常見的方式是使用默認密碼,更新您的系統以使用獨特密碼,并保持所有固件的最新狀態(tài),可以大大降低風險因素。
隱藏網絡:如果您的物聯網網絡隱藏在公共互聯網之外,黑客將很難訪問它。通過部署Soracom虛擬專用網關、Soracom Door等專用VPN或通過Soracom Canal的安全專用連接等解決方案,企業(yè)可以大大限制其物聯網系統的公共足跡。
加密所有憑證和安全敏感數據:根據您選擇的 Web 服務,傳輸到云的數據可能會在傳輸過程中被加密,但是您也應該在設備級別使用加密。如果您的設備被黑客獲得,硬編碼的用戶名和密碼可以被逆向工程。相反,您可以通過使用配置工具來完全避免在設備上保留憑證。
通過入侵檢測系統或防火墻監(jiān)控潛在攻擊:雖然這些系統更多地是一種降低入侵成本的工具,但它們將密切監(jiān)控網絡流量,以發(fā)現任何可疑活動。一旦發(fā)現,公司應通過適當的事件響應來跟蹤入侵。
制定應對 DDoS 攻擊的應急計劃:制定應急計劃,以使您的服務避免代價高昂的停機時間非常重要。一旦制定了初步的應對措施,就要審查流程以了解如何更好地解決,并且防止未來任何類似性質的入侵也很重要。