事實表明,針對物聯(lián)網(wǎng)的黑客攻擊、破壞和入侵行為變得越來越頻繁。最近針對Colonial輸油管道(美國東南部地區(qū)能源安全不可或缺的輸油管道系統(tǒng))進(jìn)行的網(wǎng)絡(luò)攻擊只是全球最近發(fā)生的物聯(lián)網(wǎng)(IoT)智能基礎(chǔ)設(shè)施遭到網(wǎng)絡(luò)攻擊的其中一個。
對于Colonial輸油管道的網(wǎng)絡(luò)攻擊事件對美國幾個州的商業(yè)活動造成了嚴(yán)重的影響,許多加油站連續(xù)幾天沒有燃料供應(yīng)。這是網(wǎng)絡(luò)詐騙的一次成功攻擊,網(wǎng)絡(luò)攻擊者通過劫持管理輸油管道的計算機(jī)設(shè)備以索取贖金。無論是犯罪組織、敵對國家還是懷有惡意的個人,對于物聯(lián)網(wǎng)設(shè)備來說都是一種迫在眉睫的威脅。隨著越來越多的設(shè)備連接互聯(lián)網(wǎng),這種網(wǎng)絡(luò)威脅只會在未來變得更加普遍。
事實上,任何連接到互聯(lián)網(wǎng)的設(shè)備都容易受到黑客攻擊和濫用。在物聯(lián)網(wǎng)時代,這意味著惡意行為者可能會利用數(shù)十億臺物聯(lián)網(wǎng)設(shè)備存在的漏洞來訪問機(jī)密數(shù)據(jù)、傳播惡意軟件或勒索軟件、將物聯(lián)網(wǎng)設(shè)備轉(zhuǎn)化為僵尸網(wǎng)絡(luò)、關(guān)閉公用事業(yè)公司或其他行業(yè)的基礎(chǔ)設(shè)施,甚至導(dǎo)致人身傷害。
人們需要了解的是,網(wǎng)絡(luò)威脅手段在不斷發(fā)展,安全防御策略和措施也需要跟上它們的步伐。為了保護(hù)組織資產(chǎn)和最終用戶,企業(yè)尤其應(yīng)該做到以下幾點(diǎn):
更深入地了解他們的物聯(lián)網(wǎng)應(yīng)用程序?qū)⑷绾问艿胶诳凸簟?/p>
對過去的物聯(lián)網(wǎng)安全漏洞、黑客嘗試和失敗進(jìn)行深入分析,并將吸取的經(jīng)驗和教訓(xùn)納入他們的安全策略。
將使其應(yīng)用程序更安全的解決方案和策略納入新設(shè)備的設(shè)計和使用協(xié)議中。
檢查物聯(lián)網(wǎng)應(yīng)用程序的安全性以防止?jié)撛诘暮诳凸?/p>
(1)從弱身份驗證開始
也許網(wǎng)絡(luò)安全中最常見的問題(也是最容易通過常識緩解的問題)是人類普遍存在的懶惰傾向:很多人使用過于簡單的密碼,比如“123”、“ABC”或相對容易猜測或通過暴力破解得出的字母、數(shù)字或字符。從本質(zhì)上說,密碼是抵御網(wǎng)絡(luò)攻擊者的第一道防線。如果設(shè)置的密碼不夠強(qiáng),使用的設(shè)備和網(wǎng)絡(luò)就不安全。更令人擔(dān)憂的是,在某些情況下,密碼甚至可以公開訪問或存儲在應(yīng)用程序的源代碼中。因此,適當(dāng)?shù)?ldquo;網(wǎng)絡(luò)安全條例”的首要規(guī)則是必須擁有強(qiáng)密碼,即使遭到暴力破解也不會輕易地猜測到。
(2)在數(shù)據(jù)傳輸過程中缺乏加密可能代價高昂
除了以上幾點(diǎn)之外,物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的另一個重大威脅是缺乏用于物聯(lián)網(wǎng)設(shè)備之間定期傳輸?shù)募用?。許多不一定存儲敏感數(shù)據(jù)的物聯(lián)網(wǎng)設(shè)備(例如恒溫器)不會對它們發(fā)送到其他設(shè)備的數(shù)據(jù)進(jìn)行加密。然而,如果網(wǎng)絡(luò)攻擊者設(shè)法攻擊或破壞網(wǎng)絡(luò),他們?nèi)匀豢梢詳r截到傳輸?shù)皆撛O(shè)備或從該設(shè)備傳輸?shù)膽{據(jù)和其他重要信息。
(3)低處理能力阻礙及時的安全更新
許多物聯(lián)網(wǎng)應(yīng)用程序的設(shè)計方式使其能夠經(jīng)濟(jì)地使用數(shù)據(jù),從而降低成本并延長電池壽命。但是這使得向這些設(shè)備發(fā)送無線(OTA)更新進(jìn)行安全設(shè)置變得困難。這使這些設(shè)備更容易受到黑客攻擊。
其他常見問題包括最初不是為云計算連接設(shè)計的傳統(tǒng)資產(chǎn)、使用同一網(wǎng)絡(luò)與具有不同安全設(shè)置的多種設(shè)備共享網(wǎng)絡(luò)訪問、由于缺乏通用標(biāo)準(zhǔn)以及缺少固件更新而導(dǎo)致的不一致安全標(biāo)準(zhǔn)等。
對過去安全漏洞的分析可以提供寶貴的見解
雖然隨著技術(shù)不斷發(fā)展,每年都會出現(xiàn)無數(shù)的攻擊媒介和零日漏洞,但分析過去的安全漏洞可以幫助預(yù)測惡意行為者的行為和動機(jī)。例如,以上提到的對Colonial輸油管道的網(wǎng)絡(luò)攻擊就是勒索攻擊行為。(瀚云科技) 同樣,2016年Mirai僵尸網(wǎng)絡(luò)案例也是臭名昭著,這是因為這個惡意軟件設(shè)法將145607臺監(jiān)控攝像頭和IP攝像頭納入到僵尸網(wǎng)絡(luò)中,以造成嚴(yán)重破壞。這個僵尸網(wǎng)絡(luò)是由一名黑客創(chuàng)建的,由不安全的物聯(lián)網(wǎng)設(shè)備聚合而成。在多次網(wǎng)絡(luò)攻擊中,僵尸網(wǎng)絡(luò)首先使Minecraft服務(wù)器崩潰,隨后迅速對法國網(wǎng)絡(luò)托管服務(wù)OVH公司以及Netflix、Twitter、Reddit、衛(wèi)報和CNN的網(wǎng)站發(fā)起攻擊。更令人擔(dān)憂的是,該惡意軟件的代碼仍然在互聯(lián)網(wǎng)上傳播,而且Mirai的繼任者繼續(xù)進(jìn)行網(wǎng)絡(luò)攻擊,例如劫持加密貨幣挖礦業(yè)務(wù)。 更令人擔(dān)憂的是,美國食品和藥物管理局(FDA)于2017年宣布,制造商St.Jude Medical的46.5萬多個植入式心臟起搏器設(shè)備容易受到黑客攻擊。雖然并沒有遭遇到黑客攻擊的新聞報道,而且St.Jude Medica公司也迅速修補(bǔ)了設(shè)備的安全漏洞,但這是一個令人不安的發(fā)現(xiàn),可能具有致命的影響。如果黑客來控制這些心臟起搏器,他們可能會通過耗盡電池或改變心率讓患者面臨致命的風(fēng)險。
熟悉保護(hù)應(yīng)用程序的策略和解決方案
那么企業(yè)可以做些什么來保證他們的物聯(lián)網(wǎng)設(shè)備的安全呢?企業(yè)應(yīng)該從以前的網(wǎng)絡(luò)攻擊事件中吸取教訓(xùn),從一開始就將保護(hù)其應(yīng)用程序的解決方案納入新設(shè)備的設(shè)計和使用協(xié)議中。
一方面,企業(yè)應(yīng)該充分利用物理安全措施(例如圍欄、門、百葉窗)來確保他們的設(shè)備安全。另一個特定于蜂窩物聯(lián)網(wǎng)設(shè)備的問題是許多關(guān)鍵信息存儲在SIM卡上。一般來說,SIM卡是可移動的,這使得這些數(shù)據(jù)更容易受到攻擊。然而使用eSIM是更好的選擇,因為eSIM直接焊接到電路板上,因此很難進(jìn)行物理訪問。