據(jù)估計，人們將在未來 3 年內花費大約 1.5 萬億美元，以便在考慮物聯(lián)網(wǎng)開發(fā)的每秒鐘獲得哪怕是最微小的一塊蛋糕。 即使人們越來越意識到自己的安全。 在以最快的速度創(chuàng)造最先進技術的熱潮中，公司未能解決物聯(lián)網(wǎng)安全問題。 當公司或用戶發(fā)現(xiàn)漏洞時，通常為時已晚，攻擊者已經(jīng)訪問了它們，他們甚至可能已經(jīng)關閉了整個系統(tǒng)。

為了了解 如何提高物聯(lián)網(wǎng)安全性， 我們必須了解物聯(lián)網(wǎng)安全挑戰(zhàn)是什么以及它們是如何出現(xiàn)的，尤其是從業(yè)務 POV 中。 所以讓我們開始吧

目錄

• 物聯(lián)網(wǎng)安全挑戰(zhàn)是什么？
• 錯誤的密碼保護方式
• 嵌入式憑證是巨大的 不 不
• 這么多人可以訪問
• 大型易受攻擊面
• 忽略安全補丁和更新
• 您無需為加密付費
• 公司往往不夠負責任
• 物聯(lián)網(wǎng)設備缺乏通知功能
• 物理安全
• 物聯(lián)網(wǎng)安全問題也可能由 UI 引起
• 結論

物聯(lián)網(wǎng)安全挑戰(zhàn)是什么？

錯誤的密碼保護方式

你知道世界上最常見的密碼是“ 12345 ”嗎？第二個常見的密碼是管理員的出生年份嗎？ 看 ？ 最常見的密碼是人們認為最難猜到的最簡單的密碼。 它甚至不能為攻擊者創(chuàng)建一堵紙墻。

這增加了 物聯(lián)網(wǎng)安全風險 ，當網(wǎng)絡中的所有其他設備具有相同的密碼和幾乎相同的農(nóng)裝和默認設置時，它變得更加嚴重。 當管理員也不更改密碼時， 物聯(lián)網(wǎng)安全風險 變得不可避免

嵌入式憑證是巨大的 不 不

另一個 物聯(lián)網(wǎng)安全挑戰(zhàn) 當訪問憑證嵌入代碼時， 它使黑客可以直接訪問系統(tǒng)，而不會造成太大的麻煩。 有一個名為 Mirai 的惡意軟件，它是一個最簡單但最相關的例子。 有一個包含 61 個最常見的硬編碼默認用戶名和密碼的表格，用于輸入并一個接一個地嘗試，直到它登錄到從路由器到攝像機和錄像機的物聯(lián)網(wǎng)設備。

2016 年，Mirai 幫助了世界上第一個 1Tbps DDOS 攻擊，該攻擊摧毀了 AWS，包括一些最受歡迎的客戶，如 Netflix 和 Airbnb。 基于 Mirai 的 Reaper 于 2017 年回歸，作為一種為犯罪分子提供服務的軟件，可以通過 DDOS 攻擊摧毀大約 20-3 萬臺設備。

這么多人可以訪問

最常見但最危險的 物聯(lián)網(wǎng)安全 問題 是信任 太多人 訪問您的物聯(lián)網(wǎng)。 當您收到物聯(lián)網(wǎng)系統(tǒng)時，只有您才能全面訪問網(wǎng)絡。 盡管大多數(shù)時候這條規(guī)則停留在頁面中，并且被所有者所謂的“信任”的人獲得了訪問權限。 一些所謂的受信任的人可能是您 擔心物聯(lián)網(wǎng)安全 。 當您是唯一的所有者時，您應該擁有憑據(jù)。

物聯(lián)網(wǎng)安全風險 當用戶過于信任本地網(wǎng)絡以至于它不驗證另一個身份驗證或授權時， 任何其他可以進入網(wǎng)絡的新設備也不需要任何新的身份驗證，任何人都可以訪問該設備。 這是最常見的物聯(lián)網(wǎng)安全挑戰(zhàn)之一。

大型易受攻擊面

在物聯(lián)網(wǎng)系統(tǒng)中，設備總數(shù)和漏洞被稱為攻擊面。 所以很自然地，連接的設備越多，出現(xiàn)的物聯(lián)網(wǎng)安全問題就越多。 所有這些都為攻擊者提供了一系列新機會。 這可能聽起來不方便，但減少連接到網(wǎng)絡的設備數(shù)量可以降低易受攻擊者攻擊的風險。

忽略安全補丁和更新

我們所有人，即使是技術上最聰明的人也可能會因為這些物聯(lián)網(wǎng)安全挑戰(zhàn)而受到指責，當您的系統(tǒng)運行良好并且更新到來時，您通常會做什么？ 在某些安全或系統(tǒng)問題出現(xiàn)之前，您表現(xiàn)得好像什么都沒有發(fā)生并忘記了一切。 人們在更新物聯(lián)網(wǎng)系統(tǒng)中的軟件和安全補丁時也會采取同樣的方式。 當一家公司在其其他系統(tǒng)中發(fā)現(xiàn)漏洞時，它會嘗試使用軟件更新來解決該漏洞。 之后，他們將更新分發(fā)給其他所有人。

在這里，物聯(lián)網(wǎng)系統(tǒng)所有者本身充當了 物聯(lián)網(wǎng)安全挑戰(zhàn) ，并自行停止了其保護層。 我們想說的是 您必須更新系統(tǒng) ，當有更新或安全補丁可用時，

您無需為加密付費

如果您使用過 Whatsapp，您一定聽說過數(shù)據(jù)加密。 它使發(fā)送者和接收者之間的數(shù)據(jù)不可讀，因此之間的其他人無法讀取。 當它設備以非加密的正常格式發(fā)送信息時，這里的所有數(shù)據(jù)都容易受到介于兩者之間的任何人的攻擊。 在這里，任何具有技術能力的人都可以進入網(wǎng)絡并獲取敏感數(shù)據(jù)，例如登錄憑據(jù)甚至卡詳細信息。

通過 SSL 證書使用安全協(xié)議 (HTTPS)，您可以加密將由您的設備發(fā)送到服務器的任何數(shù)據(jù)。 盡管它們在開始時可能看起來像費用，但它是值得的。 當人們將密碼保存在連接到網(wǎng)絡的另一個連接設備中以記住它時，就會出現(xiàn)其他物聯(lián)網(wǎng)安全挑戰(zhàn)，如果有人獲得訪問權限，他就可以輕松闖入系統(tǒng)。 為了使其安全，應該為 SSL 證書付費。 不將密碼存儲在任何存儲的設備中，并使用 API 來提高網(wǎng)絡的安全性。

公司往往不夠負責任

盡管他們不應該公司有時在發(fā)現(xiàn)漏洞時未能立即采取行動。 正如我們之前所說，公司會在發(fā)現(xiàn)漏洞時發(fā)送更新。 如果公司未能立 即采取行動并構建安全更新，那么當公司未能及時開發(fā)更新時，它會使系統(tǒng)容易受到來自用戶端的故障的影響，這會使設備容易受到攻擊。 這是非常罕見的，但它的發(fā)生卻帶來了一些 物聯(lián)網(wǎng)安全問題 。

物聯(lián)網(wǎng)設備缺乏通知功能

如果您從未擁有過物聯(lián)網(wǎng)設備，您可能不知道，但物聯(lián)網(wǎng)設備以非常低的功率工作以使系統(tǒng)更便宜，它通常沒有這么多的 通知系統(tǒng)。 因此，當發(fā)生未經(jīng)授權的登錄時，它顯示與平常沒有什么不同，系統(tǒng)會 像往常一樣 。 它也不顯示任何信號或通知。 這給了攻擊者足夠長的時間來完全控制網(wǎng)絡，并使緩解更加困難。

為了解決 物聯(lián)網(wǎng)安全風險， 該設備應配備一個內置系統(tǒng)，讓您知道何時有一些不尋常的活動或安全性被禁用或它比平時消耗更多的電量。

物理安全

這可能是最明顯的一個，但很可能你可能從未想過這一點。 即使在 21 世紀，人們也不會將物聯(lián)網(wǎng)設備和其他小工具包含在他們最有價值的物品中。 他們讓他們到處躺著。 你見過他們用現(xiàn)金或珠寶做這些嗎？ 沒有權利？

如果攻擊者可以物理訪問設備，他們可以打開設備并附加硬件。 例如，通過直接讀取內存組件的內容，可以繞過任何保護軟件。 此外，設備可能必須調試在打開設備后可訪問的聯(lián)系人，這為攻擊者提供了額外的可能性。

物理攻擊對單個設備產(chǎn)生影響，并且需要物理交互。 由于不可能從 Internet 大規(guī)模執(zhí)行這些攻擊，因此我們不認為這是最大的安全問題之一，但這也是您可能面臨的 IoT 安全挑戰(zhàn)之一。

物聯(lián)網(wǎng)安全問題也可能由 UI 引起

另一個 IoT 安全問題 ，這與上面的其他 IoT 安全挑戰(zhàn)不同，IoT 開發(fā)公司在這里制作所有東西，用戶可以獲得一些系統(tǒng)訪問權限。 由于大多數(shù)時候用戶是非技術人員，他們經(jīng)常無法正確優(yōu)化和配置他們的系統(tǒng)。 因此，漏洞風險可能來自任何地方。

寫在最后

在這里你可以看到很明顯，最重要的安全問題毫無疑問與攻擊面暴露端和訪問相關。 我們真的希望您了解保護 IoT 的最佳做法是什么，以及為什么可以多花一點錢來投資更安全的協(xié)議。