物聯網技術的廣泛採用給使用者帶來了額外的風險
根據《財富商業觀察》(Fortune Business Insights)釋出的一份題為《全球物聯網市場持續增長》的報告,全球物聯網市場持續增長。其規模在2020年為3089.7億美元,到2028年將達到18547.6億美元。
物聯網 (IoT) 裝置的廣泛採用擴大了對組織和個人的攻擊面。具有有限計算能力和多連線功能的廉價智慧產品的大量生產使得評估其硬體和韌體變得至關重要。在智慧電錶或智慧電視上執行的軟體存在漏洞,可能會導致大規模網路入侵。
2020年6月,JSOF的研究人員報告稱,由於被稱為Ripple20的Treck TCP/IP協議棧中的19個關鍵和高嚴重性安全漏洞,全球數億裝置可能容易受到遠端攻擊。Treck TCP/IP是為嵌入式系統設計的高效能TCP/IP協議套件。
零日漏洞存在於由Treck, Inc.開發的一個流行的低階別TCP/IP軟體庫中,該軟體庫用於各行各業的100多個組織生產的裝置。
這些漏洞可能允許威脅行為者獲得遠端程式碼執行、執行拒絕服務(DoS)攻擊,並獲取潛在的敏感資訊。
安全漏洞和糟糕的配置以及出廠設定的使用,可以被威脅參與者利用來破壞物聯網裝置並將它們招募到強大的殭屍網路中。
通過近幾年安全公司的觀察和跟蹤,最受歡迎的機器人之一是Mirai,其原始碼的可用性允許威脅行為者在一年內開發自己的變體,幷包括新的漏洞,以擴大潛在目標的受眾。
最近幾個月,安全專家發現多個物聯網殭屍網路借用了Mirai程式碼,例如:
-
Gafgyt殭屍網路(也稱為Bashlite)的目標是易受攻擊的物聯網裝置,如華為路由器、Realtek路由器和華碩裝置。
-
Muhstik殭屍網路利用已知的web應用程式漏洞來破壞物聯網裝置,包括GPON家用路由器、DD-WRT路由器和Tomato路由器。
-
Moobot殭屍網路利用海康威視產品的CVE-2021-36260漏洞進行傳播。
-
墨子P2P殭屍網路還瞄準了Netgear、華為和中興裝置
-
殭屍網路允許威脅行為者以多種方式獲利,包括加密挖礦、進行DDoS攻擊、重定向流量、竊取資料、分發勒索軟體和傳送垃圾郵件。
在處理物聯網攻擊時,必須瞭解它們對託管這些智慧物件的生態系統的影響。例如,網路攻擊醫療行業物聯網裝置,可能會給患者帶來嚴重的風險。
針對工業系統中使用的物聯網裝置的網路攻擊,可能會干擾使用這些裝置的組織的運營,最壞情況下可能導致生產活動癱瘓或人員傷亡。
如何保護物聯網裝置?
保護物聯網裝置安全的一種方法是採用安全設計方法。如歐盟網路安全域性 (ENISA)所言,建立安全開發指南是物聯網安全的基本組成部分。
歐洲機構釋出了“物聯網安全的良好實踐”報告,該報告重點關注通過設計實現安全的軟體開發指南。該研究提出瞭如何安全接近物聯網生命週期的每個階段,從需求收集到這些物件的維護和處置。
專家強調, 使用安全的軟體開發生命週期 (SDLC)原則可以避免物聯網裝置中的漏洞。通過在軟體開發生命週期中利用安全檢測工具靜態應用程式安全測試、動態應用程式安全測試及開源成分分析等,減少在開發期間引入的安全漏洞。
美國國家標準與技術研究所(NIST)也啟動了一項確保物聯網裝置安全的具體計劃,併為聯邦機構和私人組織提供了建議。
NIST 聯邦機構指南草案
除了網路安全機構提供的指導方針外,分享一些減少攻擊表面的建議:
保持裝置安全補丁及時更新,快速解決物聯網裝置中的漏洞可以防止它們被利用。
更改出廠設定,因為威脅參與者者利用原廠的知識在大規模活動中接管物聯網裝置。
使用強大和獨特的密碼。
提高Wi-Fi安全。簡單的建議包括採用WPA2安全協議、禁用WPS、啟用強密碼訪問Wi-Fi。
採用網路分割,防止裝置入侵時威脅擴散,快速隔離被感染系統,避免攻擊者橫向移動。
採用專為保護物聯網裝置而設計的安全解決方案和工具,如提供多層保護和端點加密的安全軟體。
監控基線網路和裝置行為,以快速識別導致偏離的攻擊模式。
仔細分析網路中物聯網裝置使用的不同協議。智慧裝置支援多種通訊協議(藍芽、NFC、nRF24、LoRA、光通訊、紅外通訊)。瞭解影響所選協議的問題可以幫助管理員保護整個網路環境。
物聯網 (IoT) 將提高几乎所有行業的效率,但它也擴大了攻擊的範圍。因此,必須解決現有風險並採取安全措施以防止未來發生安全事件。
物聯網技術不斷髮展,安全需求應該成為未來應用的支柱。
文章來源:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2856597/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 區塊鏈能夠給物聯網帶來什麼?區塊鏈
- AIoT技術的廣泛應用與巨大優勢AI
- 網路技術有一個問題,技術迭代太快導致了新的風險
- 當物聯網系統出現故障:使用低質量物聯網資料的風險
- RFID技術,給養豬業帶來了哪些改變?
- 物聯網火爆背後隱藏的巨大安全風險
- LoRaWAN技術在物聯網應用領域的優勢
- 物聯網技術有哪些
- 如何運用FMEA降低IT專案的技術風險?
- 【無源物聯網】物聯網的下一個風口?
- 物聯網6類技術無線連線技術的分析
- Python中eval帶來的潛在風險Python
- FMEA技術在IT專案風險管理中的應用
- 樂訊通雲通訊:物聯網路卡廣泛應用於哪些行業?行業
- 物聯網開發技術棧
- 物聯網的技術發展的三個階段
- 物聯網技術對移動應用程式開發的影響
- 常見的物聯網無線技術與案例
- 理想時光機|物聯網技術應用遠端教育,5G帶來教育行業新發展!行業
- MySQL案例08:MySQL Scheduler Events帶來的風險MySql
- 2020物聯網營銷趨勢白皮書:戶外廣告的未來之路(附下載)
- 埃森哲:只有11%的風險經理能完全評估採用AI的風險AI
- 3分鐘瞭解物聯網三大技術的未來爭奪戰!
- IMF報告:加密貨幣不會給全球金融帶來風險加密
- 物聯網滲透測試威脅建模,捕捉應用相關安全風險
- 2023 年 MQTT 協議的 7 個技術趨勢|描繪物聯網的未來MQQT協議
- 物聯網的演變,物聯網的過去、現在和未來
- [譯] 如何讓你的設計系統被廣泛採用
- 物聯網的應用模式模式
- 物聯網安全技術提高區塊鏈應用資料的可信度區塊鏈
- 計算機視覺技術在物聯網中的發展與應用計算機視覺
- 物聯網常見的十種定位技術的優缺點
- AIoT原生技術帶來更好的應用開發AI
- 人工智慧等新技術將加速物聯網的普及人工智慧
- 電子採購給建築業帶來的好處
- 3D生物列印藥物,給人類帶來了更可靠、更有效的藥物治療方式3D
- 如何評估某活動帶來的大盤增量 | 得物技術
- 如何評估某活動帶來的大盤增量|得物技術