查看信息图:常见的IoT设备漏洞
智能设备功能的多样性和范围代表了改进不同行业和环境的无数方法。 尽管物联网(IoT)中的“事物”使家庭,工厂和城市受益,但这些设备还可能以漏洞的形式引入盲点和安全风险。
易受攻击的智能设备会打开网络进行攻击,并可能削弱互联网的整体安全性。 就目前而言,最好保持谨慎并了解“智能”也可能意味着容易受到威胁。 为什么物联网设备易受攻击? 物联网设备很容易受到攻击,因为这些设备缺乏必要的内置安全性来应对威胁。 除了技术方面,用户还导致设备容易受到威胁。 这些智能设备仍然易受攻击的原因如下: 有限的计算能力和硬件限制。 这些设备具有特定功能,这些功能仅保证有限的计算能力,而为健壮的安全机制和数据保护留出了很少的空间。 异构传输技术。 设备经常使用各种传输技术。 这会使建立标准保护方法和协议变得困难。 设备的组件易受攻击。 易受攻击的基本组件会影响数百万个已部署的智能设备。 用户缺乏安全意识。 缺乏用户安全意识可能会使智能设备容易受到漏洞攻击。
设备漏洞使网络分子可以将其用作攻击的立足点,这从设计阶段开始就增强了安全性的重要性。 设备漏洞如何影响用户?
研究IoT设备上的一些更显着的攻击,可以看出它如何影响用户。 威胁参与者可以使用易受攻击的设备进行横向移动,从而使他们能够达到关键目标。 攻击者还可以利用漏洞自己定位设备,并为大型活动将其武器化,或使用它们将恶意软件传播到网络。
IoT僵尸网络作为一个示例,展示了设备漏洞的影响以及网络分子如何演变为使用它们。 2016年,Mirai是最著名的IoT僵尸网络恶意软件类型之一,它在由数千个受损的家用IoT设备组成的分布式拒绝服务(DDoS)活动中关闭了著名的网站,从而赢得了自己的名声。
从业务角度看,IoT设备进一步模糊了企业和家庭的必要安全性之间的区别,尤其是在在家办公的情况下。 将IoT设备引入家庭可以在安全性可能较弱的环境中打开新的切入点,使员工容易受到恶意软件和攻击的侵害,这些攻击可能会渗透到公司的网络中。 实施自带设备(BYOD)和在家工作时,这是一个重要的考虑因素。
攻击者还可以使用存在问题的IoT设备进入内部网络。 这些威胁的范围从允许重新收集和从内部网络中窃取信息的DNS重新绑定攻击到通过侧通道进行的新攻击,例如红外激光对家庭和公司环境中的智能设备的攻击。 物联网设备漏洞示例
有许多案例证明了IoT漏洞的影响; 其中一些涉及现实世界的设置,而另一些涉及对这些设备的研究。 开放式Web应用程序安全项目(OWASP)是用于改善软件的非营利性基金会,它每年发布一次重要的IoT漏洞列表。 这些常见缺陷的示例包括:
弱,可猜测或硬编码的密码
恶意软件的新变种通常使用此漏洞。 例如,我们发现了一个名为Mukashi的Mirai变体,该变体利用了CVE-2020-9054并使用具有默认凭据的暴力攻击来登录Zyxel NAS产品。
不安全的生态系统接口
我们对复杂物联网环境的研究揭示了暴露的自动化平台,该平台链接了多个设备的功能。 公开的自动化服务器包含重要信息,例如房屋的地理位置和硬编码的密码。 研究中将进一步讨论受损的自动化平台的含义。
不安全的网络服务
趋势科技在2017年进行的一项研究调查了Sonos智能扬声器的安全性。 这项研究发现,简单的开放端口将设备暴露给互联网上的任何人,并泄露了敏感的用户信息。
证明设备漏洞对用户和网络造成的后果的案例并不难发现,将来可能还会继续报告这种情况。 用户应注意这些常见漏洞,并采取必要的防范措施以防止被利用。 我们会在IoT资源页面上详细介绍与IoT相关的攻击,并提供安全建议。 谁负责保护物联网设备?
物联网中的漏洞和安全性较差所带来的不可预测的连锁效应的可能性极大地影响了Internet的整体安全性。 确保这些设备的安全是其利益相关者的共同责任。
制造商需要解决后续产品中的已知漏洞,发布现有产品的补丁,并报告对旧产品的支持终止。 物联网设备制造商还需要从设计阶段就考虑安全性,然后进行渗透测试以确保生产中的系统和设备没有意外的空缺。 公司还应该拥有一个系统,以接受外部实体对其已部署产品的漏洞报告。
用户还必须更好地理解与连接这些设备有关的安全风险及其在保护设备中的作用。 更改默认密码,更新固件和选择安全设置等可以减轻风险。
[阅读:有效的IoT设备安全性的第一步]
要获得更完整和多层的防御,用户可以采用全面的保护措施,例如趋势科技™安全性和趋势科技™互联网安全性解决方案,它们可以通过可检测恶意软件的功能为物联网设备提供有效的防御威胁。 端点级别。 连接的设备还可以通过趋势科技™家庭网络安全和趋势科技™家庭网络安全SDK解决方案等安全软件进行保护,这些软件可以检查路由器与所有连接的设备之间的互联网流量。 趋势科技™Deep Discovery™Inspector网络设备可以监视所有端口和网络协议中的高级威胁,并保护企业免受定向攻击。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
