黑客可以通過網(wǎng)絡(luò)上的設(shè)備進入企業(yè)的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全服務(wù)商Darktrace公司首席執(zhí)行官Nicole Eagan介紹了一起物聯(lián)網(wǎng)設(shè)備安全事例，該事例發(fā)生在美國一家未透露名稱的賭場，網(wǎng)絡(luò)攻擊者能夠通過該賭場的一個水族館智能溫度計的漏洞訪問其數(shù)據(jù)庫。

在討論物聯(lián)網(wǎng)設(shè)備安全性指南之前，人們需要了解一些物聯(lián)網(wǎng)安全漏洞的例子。

家用消費類智能設(shè)備的安全漏洞

如果看過有關(guān)Alexa和Google Home智能助理中的安全漏洞是如何被欺詐并竊聽用戶的調(diào)查報告，那么人們對物聯(lián)網(wǎng)設(shè)備安全性的擔(dān)心是對的。盡管亞馬遜公司和谷歌公司每次都會采取應(yīng)對措施，但他們?nèi)员桓碌木W(wǎng)絡(luò)攻擊技術(shù)所挫敗。

除此之外，三星公司推出的智能冰箱也有安全漏洞，由于其顯示屏與用戶的Gmail日歷集成在一起，即使已部署SSL來確保Gmail集成的安全，冰箱本身也無法驗證SSL/TLS證書，這為黑客進入其所在網(wǎng)絡(luò)并竊取登錄憑據(jù)打開了大門。

值得稱贊的是，三星公司在軟件更新中修復(fù)了該錯誤，但當(dāng)這個知名品牌都會遭到網(wǎng)絡(luò)攻擊并導(dǎo)致破壞時，這將讓大量用戶感到不安。這揭示了一個幾乎不可避免的事實，即功能性往往優(yōu)先于安全性，對于知名廠商更是如此。更重要的是，2015年，三星集團還表示將在其智能電視中收集和使用用戶的數(shù)據(jù)：如果用戶的口令包含個人信息或其他敏感信息，則這些信息可能通過使用語音識別技術(shù)捕獲并傳輸給第三方。

例如全球知名的蘋果公司在遭遇網(wǎng)絡(luò)攻擊方面也難以幸免。2019年2月，用戶在蘋果公司的FaceTime應(yīng)用程序中發(fā)現(xiàn)了一個嚴(yán)重漏洞，網(wǎng)絡(luò)攻擊者可以在接受或拒絕來電之前訪問某人的iPhone攝像頭和麥克風(fēng)。

隨著網(wǎng)絡(luò)攻擊者找到巧妙的方法來逃避安全控制以竊取數(shù)據(jù)，造成的破壞或許只是一種破壞性的行為，但是，如果這樣的事例發(fā)生在智能家居設(shè)施，那么將會發(fā)生什么?

物聯(lián)網(wǎng)設(shè)備被Mirai公司等大型僵尸網(wǎng)絡(luò)利用

Mirai是一種以物聯(lián)網(wǎng)為中心的惡意軟件，它以弱憑據(jù)來感染物聯(lián)網(wǎng)設(shè)備，將其轉(zhuǎn)變?yōu)檫h程控制的僵尸或機器人網(wǎng)絡(luò)。盡管Mirai的創(chuàng)建者已被抓獲，但他們已對外發(fā)布了該惡意軟件的源代碼(可能是為了混淆和分散注意力)，現(xiàn)在它具有多個變體。

僵尸網(wǎng)絡(luò)已被用來發(fā)起多種DDoS攻擊，其中一種攻擊是針對羅格斯大學(xué)的網(wǎng)絡(luò)攻擊，另一種針對為Netflix和Twitter等知名廠商提供域名服務(wù)的Dyn公司的攻擊。

植入式醫(yī)療器械的安全漏洞

在科技領(lǐng)域，幾乎沒有什么設(shè)備能逃脫網(wǎng)絡(luò)罪犯的控制，其中包括醫(yī)療設(shè)備。

在2018年召開的一次黑帽會議上，WhiteScope公司的Billy Rios和QED Secure Solutions公司的Jonathan Butts展示了黑客如何通過遠程控制技術(shù)攻擊可以挽救患者生命的植入式醫(yī)療器械，并可能進行操縱對患者造成傷害。兩位安全研究人員演示了如何禁用胰島素泵并控制美敦力公司生產(chǎn)的心臟起搏器系統(tǒng)。作為回應(yīng)，美敦力公司將這個漏洞清除，但并未承認(rèn)這種情況的嚴(yán)重性，甚至在這個漏洞警報提交給他們570天之后，該公司仍沒有積極解決這個問題。

人們?yōu)榇丝赡芡茰y，由遠程控制的物聯(lián)網(wǎng)設(shè)備組成的網(wǎng)絡(luò)如何被用來摧毀電網(wǎng)(或用于供水系統(tǒng)的監(jiān)控與數(shù)據(jù)采集系統(tǒng)，或控制天然氣管道等)，或者嬰兒監(jiān)護儀可能被黑客攻擊，這些設(shè)想會令人感到不安。但仍然可以肯定的是物聯(lián)網(wǎng)設(shè)備的漏洞將會繼續(xù)存在。因此，如果要避免危機，物聯(lián)網(wǎng)設(shè)備制造商需要更加注意其中的安全風(fēng)險，高級持續(xù)性威脅(APT)更加危險。

物聯(lián)網(wǎng)最大的安全風(fēng)險是什么?

盡管人們對物聯(lián)網(wǎng)面臨的最大安全風(fēng)險沒有太多發(fā)言權(quán)，但可以在某種程度上通過采取一些安全措施來保護物聯(lián)網(wǎng)設(shè)備。開放式網(wǎng)絡(luò)應(yīng)用程序安全項目(OWASP)基金會是一個全球性的非營利性組織，旨在提高企業(yè)對網(wǎng)絡(luò)應(yīng)用程序安全性、移動設(shè)備安全性等領(lǐng)域中的安全風(fēng)險的意識，以便組織和個人可以做出明智的決定。

下表列出了開放式網(wǎng)絡(luò)應(yīng)用程序安全項目(OWASP)基金會于2014和2018年在智能設(shè)備中發(fā)現(xiàn)的十大物聯(lián)網(wǎng)漏洞：

企業(yè)保證物聯(lián)網(wǎng)安全的十大技巧

如果企業(yè)的智能設(shè)備配備了不可更改的憑據(jù)或任何類型的身份驗證/授權(quán)機制，那么不要購買和使用。從開放式網(wǎng)絡(luò)應(yīng)用程序安全項目(OWASP)列出的2018年十大物聯(lián)網(wǎng)漏洞列表中可以看出，不安全的生態(tài)系統(tǒng)(Web接口和云平臺接口等)、數(shù)據(jù)安全性和物理安全性等一些問題在2014年以前一直保持前10位。這使人們對物聯(lián)網(wǎng)設(shè)備安全性發(fā)展的方向和速度有了一個清晰的認(rèn)識。它還提出了有關(guān)物聯(lián)網(wǎng)安全解決方案的有效性和采用率的相關(guān)問題。

然而，由于物聯(lián)網(wǎng)正成為人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?，必須盡最大努力保護聯(lián)網(wǎng)設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)。以下是一些可以采用的措施和方法。

1. 了解采用的網(wǎng)絡(luò)及其連接設(shè)備

當(dāng)企業(yè)的設(shè)備連接到全球互聯(lián)網(wǎng)時，這些連接會使企業(yè)的網(wǎng)絡(luò)容易受到攻擊，并且如果設(shè)備沒有得到足夠的安全保護，網(wǎng)絡(luò)攻擊者也可以使用這些設(shè)備。由于越來越多的設(shè)備配備了網(wǎng)絡(luò)接口，因此企業(yè)工作人員很容易忘記哪些設(shè)備可以通過網(wǎng)絡(luò)訪問。為了確保安全，企業(yè)IT人員必須了解其網(wǎng)絡(luò)、網(wǎng)絡(luò)上的設(shè)備，以及容易泄露的信息類型(尤其是具有社交共享功能的應(yīng)用程序)。

網(wǎng)絡(luò)攻擊者使用諸如位置和個人詳細信息等來跟蹤人員的情況，這可能會轉(zhuǎn)化為現(xiàn)實中的危險。

2. 評估網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備

在知道哪些設(shè)備連接到網(wǎng)絡(luò)后，需要對設(shè)備進行審核以了解其安全性。可以通過從制造商的網(wǎng)站上安裝安全補丁和更新，檢查具有更強安全功能的更新設(shè)備等措施來實現(xiàn)物聯(lián)網(wǎng)安全。此外，在購買設(shè)備之前，需要了解該品牌設(shè)備的安全性。企業(yè)采購和應(yīng)用人員需要問自己一些問題：

• 其產(chǎn)品是否報告了導(dǎo)致危害的安全漏洞?
• 設(shè)備商在向潛在客戶推銷產(chǎn)品時是否滿足網(wǎng)絡(luò)安全需求?
• 如何在其智能解決方案中實施安全控制?

3. 實施強密碼保護企業(yè)的所有設(shè)備和帳戶

企業(yè)需要使用不易被猜到的、安全性強的獨特密碼來保護其所有帳戶和設(shè)備。不要采用默認(rèn)密碼或普通密碼(例如“admin”或“password123”)。如果需要，使用密碼管理器來跟蹤所有密碼。確保企業(yè)和其員工不在多個帳戶中使用相同的密碼，并確保定期進行更改。

這些步驟有助于防止其所有帳戶遭到泄露。除了密碼到期日期外，需要確保設(shè)置了錯誤密碼嘗試次數(shù)的限制，并實施帳戶鎖定策略。

4. 為智能設(shè)備使用單獨的網(wǎng)絡(luò)

企業(yè)為其智能設(shè)備使用與家庭或企業(yè)網(wǎng)絡(luò)不同的網(wǎng)絡(luò)，這可能是提高物聯(lián)網(wǎng)安全性最具戰(zhàn)略意義的方法之一。通過網(wǎng)絡(luò)分段措施，即使網(wǎng)絡(luò)攻擊者找到了進入企業(yè)智能設(shè)備的途徑，他們也無法訪問企業(yè)的業(yè)務(wù)數(shù)據(jù)。

5. 重新配置默認(rèn)設(shè)備設(shè)置

通常情況下，許多智能設(shè)備在出廠時都帶有不安全的默認(rèn)設(shè)置。更糟糕的是，有時無法修改這些設(shè)備的配置。企業(yè)需要根據(jù)其要求評估和重新配置默認(rèn)憑據(jù)、侵入式功能和權(quán)限、開放端口等。

6. 安裝防火墻和其他知名的物聯(lián)網(wǎng)安全解決方案以識別漏洞

安裝防火墻以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量，并運行入侵檢測系統(tǒng)(IDS)/入侵防御系統(tǒng)(IPS)來監(jiān)視和分析網(wǎng)絡(luò)流量。企業(yè)還可以使用自動漏洞掃描程序來發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全漏洞。使用端口掃描程序來識別打開的端口并查看正在運行的網(wǎng)絡(luò)服務(wù)。確定是否需要這些端口，并檢查它們上運行的服務(wù)是否存在已知漏洞。

7. 使用強加密并避免通過不安全的網(wǎng)絡(luò)連接

如果企業(yè)決定遠程檢查智能設(shè)備，則切勿使用公共Wi-Fi網(wǎng)絡(luò)或未實施可靠加密協(xié)議的網(wǎng)絡(luò)進行檢查。企業(yè)確保自己的網(wǎng)絡(luò)設(shè)置未在過時的標(biāo)準(zhǔn)(例如WEP或WPA)上運行，而是使用WPA2標(biāo)準(zhǔn)。不安全的互聯(lián)網(wǎng)連接會使企業(yè)數(shù)據(jù)和設(shè)備容易受到網(wǎng)絡(luò)攻擊者的攻擊。盡管發(fā)現(xiàn)WPA2本身很容易受到密鑰重新安裝攻擊或KRACK的攻擊，而WPA3容易受到Dragonblood攻擊的影響，但是安裝更新和補丁程序是保持業(yè)務(wù)安全運營的唯一途徑，并且可以將風(fēng)險降至最低。

8. 在不使用設(shè)備和功能時斷開網(wǎng)絡(luò)連接

查看應(yīng)用程序權(quán)限并閱讀這些應(yīng)用程序的隱私權(quán)政策，以了解它們打算如何使用其共享的信息。除非企業(yè)要使用遠程訪問或語音控制等功能來實施更持久的物聯(lián)網(wǎng)安全檢查，否則必須禁用它們。如果需要，可以隨時啟用它們。當(dāng)企業(yè)不使用設(shè)備時，需要考慮將它們與網(wǎng)絡(luò)完全斷開。

9. 關(guān)閉通用的即插即用(UPnP)功能

通用即插即用功能旨在無縫地連接網(wǎng)絡(luò)設(shè)備，而無需進行配置，但由于UPnP協(xié)議中的漏洞，這些設(shè)備也更容易被黑客發(fā)現(xiàn)。即插即用(UPnP)功能在默認(rèn)情況下會在多個路由器上啟用，因此除非企業(yè)為方便起見而愿意犧牲安全性，否則需要檢查設(shè)置并確保已經(jīng)禁用。

10. 通過實施物理安全保護設(shè)備安全

盡量不要丟失手機，尤其是當(dāng)手機中裝有可控制物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序時。如果這樣做，除了在設(shè)備上具有PIN/密碼/生物識別保護外，需要確保用戶具有遠程擦除手機數(shù)據(jù)的功能。需要設(shè)置自動備份或有選擇地備份企業(yè)可能需要的任何設(shè)備數(shù)據(jù)。

此外，限制企業(yè)的智能設(shè)備的可訪問性。例如冰箱需要USB端口嗎?允許訪問最小數(shù)量的端口，并在可行的情況下考慮不進行Web訪問(僅本地訪問)。

物聯(lián)網(wǎng)安全的一些分析工具

除了以上討論的物聯(lián)網(wǎng)安全解決方案之外，企業(yè)還有一些其他工具可用于更好地查看和控制其網(wǎng)絡(luò)。Wireshark和tcpdump(命令行實用程序)是兩個開源工具，可以用來監(jiān)視和分析網(wǎng)絡(luò)流量。Wireshark更加用戶友好，因為它帶有一個GUI，并且有各種排序和過濾選項。

Shodan、Censys、Thingful和ZoomEye是可以用于物聯(lián)網(wǎng)設(shè)備的工具(如搜索引擎)。ZoomEye也許是更適用于新用戶的工具，因為單擊過濾器后會自動生成搜索查詢。

ByteSweep是設(shè)備制造商提供的一個免費安全分析平臺，它是測試人員可以在產(chǎn)品出廠之前用來進行檢查的另一個工具。

物聯(lián)網(wǎng)安全的概述

無論風(fēng)險有多大，物聯(lián)網(wǎng)技術(shù)都有著巨大的潛力，這是一個毋庸置疑的事實。物聯(lián)網(wǎng)的連接性證明了它在解決各種環(huán)境和任務(wù)方面的有用性。而企業(yè)急于采用一些并不成熟的技術(shù)和產(chǎn)品時可能會出現(xiàn)問題，這些企業(yè)或者完全忽略了潛在的安全風(fēng)險，或者沒有足夠重視。

在開發(fā)安全可靠的產(chǎn)品、提高客戶意識以及推出新設(shè)備之前，需要進行嚴(yán)格的測試，這可以在很大程度上解決當(dāng)前許多被忽視的物聯(lián)網(wǎng)安全問題。