根據《財富商業觀察》(Fortune Business Insights)釋出的一份題為《全球物聯網市場持續增長》的報告，全球物聯網市場持續增長。其規模在2020年為3089.7億美元，到2028年將達到18547.6億美元。

物聯網 (IoT) 裝置的廣泛採用擴大了對組織和個人的攻擊面。具有有限計算能力和多連線功能的廉價智慧產品的大量生產使得評估其硬體和韌體變得至關重要。在智慧電錶或智慧電視上執行的軟體存在漏洞，可能會導致大規模網路入侵。

2020年6月，JSOF的研究人員報告稱，由於被稱為Ripple20的Treck TCP/IP協議棧中的19個關鍵和高嚴重性安全漏洞，全球數億裝置可能容易受到遠端攻擊。Treck TCP/IP是為嵌入式系統設計的高效能TCP/IP協議套件。

零日漏洞存在於由Treck, Inc.開發的一個流行的低階別TCP/IP軟體庫中，該軟體庫用於各行各業的100多個組織生產的裝置。

這些漏洞可能允許威脅行為者獲得遠端程式碼執行、執行拒絕服務(DoS)攻擊，並獲取潛在的敏感資訊。

安全漏洞和糟糕的配置以及出廠設定的使用，可以被威脅參與者利用來破壞物聯網裝置並將它們招募到強大的殭屍網路中。

透過近幾年安全公司的觀察和跟蹤，最受歡迎的機器人之一是Mirai，其原始碼的可用性允許威脅行為者在一年內開發自己的變體，幷包括新的漏洞，以擴大潛在目標的受眾。

最近幾個月，安全專家發現多個物聯網殭屍網路借用了Mirai程式碼，例如:

在處理物聯網攻擊時，必須瞭解它們對託管這些智慧物件的生態系統的影響。例如，網路攻擊醫療行業物聯網裝置，可能會給患者帶來嚴重的風險。

針對工業系統中使用的物聯網裝置的網路攻擊，可能會干擾使用這些裝置的組織的運營，最壞情況下可能導致生產活動癱瘓或人員傷亡。

保護物聯網裝置安全的一種方法是採用安全設計方法。如歐盟網路安全域性 (ENISA)所言，建立安全開發指南是物聯網安全的基本組成部分。

歐洲機構釋出了“物聯網安全的良好實踐”報告，該報告重點關注透過設計實現安全的軟體開發指南。該研究提出瞭如何安全接近物聯網生命週期的每個階段，從需求收集到這些物件的維護和處置。

專家強調，使用安全的軟體開發生命週期 (SDLC)原則可以避免物聯網裝置中的漏洞。透過在軟體開發生命週期中利用安全檢測工具靜態應用程式安全測試、動態應用程式安全測試及開源成分分析等，減少在開發期間引入的安全漏洞。

美國國家標準與技術研究所(NIST)也啟動了一項確保物聯網裝置安全的具體計劃，併為聯邦機構和私人組織提供了建議。

NIST 聯邦機構指南草案

除了網路安全機構提供的指導方針外，分享一些減少攻擊表面的建議：

保持裝置安全補丁及時更新，快速解決物聯網裝置中的漏洞可以防止它們被利用。

更改出廠設定，因為威脅參與者者利用原廠的知識在大規模活動中接管物聯網裝置。

使用強大和獨特的密碼。

提高Wi-Fi安全。簡單的建議包括採用WPA2安全協議、禁用WPS、啟用強密碼訪問Wi-Fi。

採用網路分割，防止裝置入侵時威脅擴散，快速隔離被感染系統，避免攻擊者橫向移動。

採用專為保護物聯網裝置而設計的安全解決方案和工具，如提供多層保護和端點加密的安全軟體。

監控基線網路和裝置行為，以快速識別導致偏離的攻擊模式。

仔細分析網路中物聯網裝置使用的不同協議。智慧裝置支援多種通訊協議(藍芽、NFC、nRF24、LoRA、光通訊、紅外通訊)。瞭解影響所選協議的問題可以幫助管理員保護整個網路環境。

物聯網 (IoT) 將提高几乎所有行業的效率，但它也擴大了攻擊的範圍。因此，必須解決現有風險並採取安全措施以防止未來發生安全事件。

物聯網技術不斷髮展，安全需求應該成為未來應用的支柱。

文章來源：

物聯網技術的廣泛採用給使用者帶來了額外的風險

相關文章