雖然物聯(lián)網(wǎng)設備和工具有很多用途，可以讓人們的工作和生活變得更輕松，但許多設備和工具可能有一些安全漏洞。

物聯(lián)網(wǎng)是一把雙刃劍。從配備智能門鎖的智能家居到通過Wi-Fi自動煮沸早茶的水壺，物聯(lián)網(wǎng)技術讓人們的生活變得簡單得多，但其成本也可能要高得多。在物聯(lián)網(wǎng)安全中，存在一些安全性權衡因素，并且可能弊大于利。

在物聯(lián)網(wǎng)技術進入企業(yè)、家庭以及日常生活之前，人們需要了解表明安全重要性的一些例子。

物聯(lián)網(wǎng)安全性：物聯(lián)網(wǎng)設備使人們容易受傷害

黑客可以通過網(wǎng)絡上的設備進入企業(yè)的網(wǎng)絡。網(wǎng)絡安全服務商Darktrace公司首席執(zhí)行官Nicole Eagan介紹了一起物聯(lián)網(wǎng)設備安全事例，該事例發(fā)生在美國一家未透露名稱的賭場，網(wǎng)絡攻擊者能夠通過該賭場的一個水族館智能溫度計的漏洞訪問其數(shù)據(jù)庫。

在討論物聯(lián)網(wǎng)設備安全性指南之前，人們需要了解一些物聯(lián)網(wǎng)安全漏洞的例子。

家用消費類智能設備的安全漏洞

如果看過有關Alexa和Google Home智能助理中的安全漏洞是如何被欺詐并竊聽用戶的調查報告，那么人們對物聯(lián)網(wǎng)設備安全性的擔心是對的。盡管亞馬遜公司和谷歌公司每次都會采取應對措施，但他們仍被更新的網(wǎng)絡攻擊技術所挫敗。

除此之外，三星公司推出的智能冰箱也有安全漏洞，由于其顯示屏與用戶的Gmail日歷集成在一起，即使已部署SSL來確保Gmail集成的安全，冰箱本身也無法驗證SSL/TLS證書，這為黑客進入其所在網(wǎng)絡并竊取登錄憑據(jù)打開了大門。

值得稱贊的是，三星公司在軟件更新中修復了該錯誤，但當這個知名品牌都會遭到網(wǎng)絡攻擊并導致破壞時，這將讓大量用戶感到不安。這揭示了一個幾乎不可避免的事實，即功能性往往優(yōu)先于安全性，對于知名廠商更是如此。更重要的是，2015年，三星集團還表示將在其智能電視中收集和使用用戶的數(shù)據(jù)：如果用戶的口令包含個人信息或其他敏感信息，則這些信息可能通過使用語音識別技術捕獲并傳輸給第三方。

例如全球知名的蘋果公司在遭遇網(wǎng)絡攻擊方面也難以幸免。2019年2月，用戶在蘋果公司的FaceTime應用程序中發(fā)現(xiàn)了一個嚴重漏洞，網(wǎng)絡攻擊者可以在接受或拒絕來電之前訪問某人的iPhone攝像頭和麥克風。

隨著網(wǎng)絡攻擊者找到巧妙的方法來逃避安全控制以竊取數(shù)據(jù)，造成的破壞或許只是一種破壞性的行為，但是，如果這樣的事例發(fā)生在智能家居設施，那么將會發(fā)生什么？

物聯(lián)網(wǎng)設備被Mirai公司等大型僵尸網(wǎng)絡利用

Mirai是一種以物聯(lián)網(wǎng)為中心的惡意軟件，它以弱憑據(jù)來感染物聯(lián)網(wǎng)設備，將其轉變?yōu)檫h程控制的僵尸或機器人網(wǎng)絡。盡管Mirai的創(chuàng)建者已被抓獲，但他們已對外發(fā)布了該惡意軟件的源代碼（可能是為了混淆和分散注意力），現(xiàn)在它具有多個變體。

僵尸網(wǎng)絡已被用來發(fā)起多種DDoS攻擊，其中一種攻擊是針對羅格斯大學的網(wǎng)絡攻擊，另一種針對為Netflix和Twitter等知名廠商提供域名服務的Dyn公司的攻擊。

植入式醫(yī)療器械的安全漏洞

在科技領域，幾乎沒有什么設備能逃脫網(wǎng)絡罪犯的控制，其中包括醫(yī)療設備。

在2018年召開的一次黑帽會議上，WhiteScope公司的Billy Rios和QED Secure Solutions公司的Jonathan Butts展示了黑客如何通過遠程控制技術攻擊可以挽救患者生命的植入式醫(yī)療器械，并可能進行操縱對患者造成傷害。兩位安全研究人員演示了如何禁用胰島素泵并控制美敦力公司生產(chǎn)的心臟起搏器系統(tǒng)。作為回應，美敦力公司將這個漏洞清除，但并未承認這種情況的嚴重性，甚至在這個漏洞警報提交給他們570天之后，該公司仍沒有積極解決這個問題。

人們?yōu)榇丝赡芡茰y，由遠程控制的物聯(lián)網(wǎng)設備組成的網(wǎng)絡如何被用來摧毀電網(wǎng)（或用于供水系統(tǒng)的監(jiān)控與數(shù)據(jù)采集系統(tǒng)，或控制天然氣管道等），或者嬰兒監(jiān)護儀可能被黑客攻擊，這些設想會令人感到不安。但仍然可以肯定的是物聯(lián)網(wǎng)設備的漏洞將會繼續(xù)存在。因此，如果要避免危機，物聯(lián)網(wǎng)設備制造商需要更加注意其中的安全風險，高級持續(xù)性威脅（APT）更加危險。

物聯(lián)網(wǎng)最大的安全風險是什么？

盡管人們對物聯(lián)網(wǎng)面臨的最大安全風險沒有太多發(fā)言權，但可以在某種程度上通過采取一些安全措施來保護物聯(lián)網(wǎng)設備。開放式網(wǎng)絡應用程序安全項目（OWASP）基金會是一個全球性的非營利性組織，旨在提高企業(yè)對網(wǎng)絡應用程序安全性、移動設備安全性等領域中的安全風險的意識，以便組織和個人可以做出明智的決定。

下表列出了開放式網(wǎng)絡應用程序安全項目（OWASP）基金會于2014和2018年在智能設備中發(fā)現(xiàn)的十大物聯(lián)網(wǎng)漏洞：

企業(yè)保證物聯(lián)網(wǎng)安全的十大技巧

如果企業(yè)的智能設備配備了不可更改的憑據(jù)或任何類型的身份驗證/授權機制，那么不要購買和使用。從開放式網(wǎng)絡應用程序安全項目（OWASP）列出的2018年十大物聯(lián)網(wǎng)漏洞列表中可以看出，不安全的生態(tài)系統(tǒng)（Web接口和云平臺接口等）、數(shù)據(jù)安全性和物理安全性等一些問題在2014年以前一直保持前10位。這使人們對物聯(lián)網(wǎng)設備安全性發(fā)展的方向和速度有了一個清晰的認識。它還提出了有關物聯(lián)網(wǎng)安全解決方案的有效性和采用率的相關問題。

然而，由于物聯(lián)網(wǎng)正成為人們日常生活中不可或缺的一部分，必須盡最大努力保護聯(lián)網(wǎng)設備、數(shù)據(jù)和網(wǎng)絡。以下是一些可以采用的措施和方法。

1.了解采用的網(wǎng)絡及其連接設備

當企業(yè)的設備連接到全球互聯(lián)網(wǎng)時，這些連接會使企業(yè)的網(wǎng)絡容易受到攻擊，并且如果設備沒有得到足夠的安全保護，網(wǎng)絡攻擊者也可以使用這些設備。由于越來越多的設備配備了網(wǎng)絡接口，因此企業(yè)工作人員很容易忘記哪些設備可以通過網(wǎng)絡訪問。為了確保安全，企業(yè)IT人員必須了解其網(wǎng)絡、網(wǎng)絡上的設備，以及容易泄露的信息類型（尤其是具有社交共享功能的應用程序）。

網(wǎng)絡攻擊者使用諸如位置和個人詳細信息等來跟蹤人員的情況，這可能會轉化為現(xiàn)實中的危險。

2.評估網(wǎng)絡上的物聯(lián)網(wǎng)設備

在知道哪些設備連接到網(wǎng)絡后，需要對設備進行審核以了解其安全性。可以通過從制造商的網(wǎng)站上安裝安全補丁和更新，檢查具有更強安全功能的更新設備等措施來實現(xiàn)物聯(lián)網(wǎng)安全。此外，在購買設備之前，需要了解該品牌設備的安全性。企業(yè)采購和應用人員需要問自己一些問題：

?其產(chǎn)品是否報告了導致危害的安全漏洞？

?設備商在向潛在客戶推銷產(chǎn)品時是否滿足網(wǎng)絡安全需求？

?如何在其智能解決方案中實施安全控制？

3.實施強密碼保護企業(yè)的所有設備和帳戶

企業(yè)需要使用不易被猜到的、安全性強的獨特密碼來保護其所有帳戶和設備。不要采用默認密碼或普通密碼（例如“admin”或“password123”）。如果需要，使用密碼管理器來跟蹤所有密碼。確保企業(yè)和其員工不在多個帳戶中使用相同的密碼，并確保定期進行更改。

這些步驟有助于防止其所有帳戶遭到泄露。除了密碼到期日期外，需要確保設置了錯誤密碼嘗試次數(shù)的限制，并實施帳戶鎖定策略。

4.為智能設備使用單獨的網(wǎng)絡

企業(yè)為其智能設備使用與家庭或企業(yè)網(wǎng)絡不同的網(wǎng)絡，這可能是提高物聯(lián)網(wǎng)安全性最具戰(zhàn)略意義的方法之一。通過網(wǎng)絡分段措施，即使網(wǎng)絡攻擊者找到了進入企業(yè)智能設備的途徑，他們也無法訪問企業(yè)的業(yè)務數(shù)據(jù)。

5.重新配置默認設備設置

通常情況下，許多智能設備在出廠時都帶有不安全的默認設置。更糟糕的是，有時無法修改這些設備的配置。企業(yè)需要根據(jù)其要求評估和重新配置默認憑據(jù)、侵入式功能和權限、開放端口等。

6.安裝防火墻和其他知名的物聯(lián)網(wǎng)安全解決方案以識別漏洞

安裝防火墻以阻止未經(jīng)授權的網(wǎng)絡流量，并運行入侵檢測系統(tǒng)（IDS）/入侵防御系統(tǒng)（IPS）來監(jiān)視和分析網(wǎng)絡流量。企業(yè)還可以使用自動漏洞掃描程序來發(fā)現(xiàn)網(wǎng)絡基礎設施中的安全漏洞。使用端口掃描程序來識別打開的端口并查看正在運行的網(wǎng)絡服務。確定是否需要這些端口，并檢查它們上運行的服務是否存在已知漏洞。

7.使用強加密并避免通過不安全的網(wǎng)絡連接

如果企業(yè)決定遠程檢查智能設備，則切勿使用公共Wi-Fi網(wǎng)絡或未實施可靠加密協(xié)議的網(wǎng)絡進行檢查。企業(yè)確保自己的網(wǎng)絡設置未在過時的標準（例如WEP或WPA）上運行，而是使用WPA2標準。不安全的互聯(lián)網(wǎng)連接會使企業(yè)數(shù)據(jù)和設備容易受到網(wǎng)絡攻擊者的攻擊。盡管發(fā)現(xiàn)WPA2本身很容易受到密鑰重新安裝攻擊或KRACK的攻擊，而WPA3容易受到Dragonblood攻擊的影響，但是安裝更新和補丁程序是保持業(yè)務安全運營的唯一途徑，并且可以將風險降至最低。

8.在不使用設備和功能時斷開網(wǎng)絡連接

查看應用程序權限并閱讀這些應用程序的隱私權政策，以了解它們打算如何使用其共享的信息。除非企業(yè)要使用遠程訪問或語音控制等功能來實施更持久的物聯(lián)網(wǎng)安全檢查，否則必須禁用它們。如果需要，可以隨時啟用它們。當企業(yè)不使用設備時，需要考慮將它們與網(wǎng)絡完全斷開。

9.關閉通用的即插即用（UPnP）功能

通用即插即用功能旨在無縫地連接網(wǎng)絡設備，而無需進行配置，但由于UPnP協(xié)議中的漏洞，這些設備也更容易被黑客發(fā)現(xiàn)。即插即用（UPnP）功能在默認情況下會在多個路由器上啟用，因此除非企業(yè)為方便起見而愿意犧牲安全性，否則需要檢查設置并確保已經(jīng)禁用。

10.通過實施物理安全保護設備安全

盡量不要丟失手機，尤其是當手機中裝有可控制物聯(lián)網(wǎng)設備的應用程序時。如果這樣做，除了在設備上具有PIN/密碼/生物識別保護外，需要確保用戶具有遠程擦除手機數(shù)據(jù)的功能。需要設置自動備份或有選擇地備份企業(yè)可能需要的任何設備數(shù)據(jù)。

此外，限制企業(yè)的智能設備的可訪問性。例如冰箱需要USB端口嗎？允許訪問最小數(shù)量的端口，并在可行的情況下考慮不進行Web訪問（僅本地訪問）。

物聯(lián)網(wǎng)安全的一些分析工具

除了以上討論的物聯(lián)網(wǎng)安全解決方案之外，企業(yè)還有一些其他工具可用于更好地查看和控制其網(wǎng)絡。Wireshark和tcpdump（命令行實用程序）是兩個開源工具，可以用來監(jiān)視和分析網(wǎng)絡流量。Wireshark更加用戶友好，因為它帶有一個GUI，并且有各種排序和過濾選項。

Shodan、Censys、Thingful和ZoomEye是可以用于物聯(lián)網(wǎng)設備的工具（如搜索引擎）。ZoomEye也許是更適用于新用戶的工具，因為單擊過濾器后會自動生成搜索查詢。

ByteSweep是設備制造商提供的一個免費安全分析平臺，它是測試人員可以在產(chǎn)品出廠之前用來進行檢查的另一個工具。

物聯(lián)網(wǎng)安全的概述

無論風險有多大，物聯(lián)網(wǎng)技術都有著巨大的潛力，這是一個毋庸置疑的事實。物聯(lián)網(wǎng)的連接性證明了它在解決各種環(huán)境和任務方面的有用性。而企業(yè)急于采用一些并不成熟的技術和產(chǎn)品時可能會出現(xiàn)問題，這些企業(yè)或者完全忽略了潛在的安全風險，或者沒有足夠重視。

在開發(fā)安全可靠的產(chǎn)品、提高客戶意識以及推出新設備之前，需要進行嚴格的測試，這可以在很大程度上解決當前許多被忽視的物聯(lián)網(wǎng)安全問題。
責任編輯:pj