作为物联网生态系统(物联网)一部分的智能设备不仅在家庭中越来越流行。他们还找到了进入包括企业在内的各种规模的企业的途径。不幸的是,物联网设备的网络安全性还有很多不足之处,并且常常被忽视。

当企业决定将IoT解决方案作为其基础架构的一部分时,在购买之前甚至很少考虑安全功能。同时,物联网设备制造商专注于功能,在开发产品时常常完全忽略安全措施。结果,企业最终面临安全漏洞,如果不完全更换设备以减少潜在的攻击面,很难消除这些漏洞。

已经有一些报告和白皮书分析了物联网的安全状态。突出问题的其中之一是 SOHOpely残破2.0 由ISE。尽管它专注于小型办公和家用设备,但面向企业的解决方案情况并没有太大不同。该报告显示,作为该练习一部分进行测试的每台设备都容易受到网络攻击。有趣的是,这些漏洞大多数是特定于网络的(SQL注入跨站脚本命令注入CSRF路径遍历),重点介绍了IoT安全与网络安全的紧密联系。

为什么物联网设备不安全?

物联网领域仍然非常不成熟和混乱。物联网标准不足,因此制造商自行制定标准。设备必须使用某些通用技术才能与Internet一起使用,但其核心结构完全取决于制造商。他们经常使用非典型硬件,在不常见的操作系统(通常是定制的,简化的操作系统)上运行,使用专有的网络协议,并且通常很难分析和保护。

同时,每个智能设备都必须以某种方式由用户控制和管理。他们中的大多数人都为此目的使用Web界面,这仅仅是因为此类界面易于使用且易于实现。不幸的是,大多数制造商不接受安全的Web编码做法,也没有测试其设备的Web安全性-即使对于最大的品牌来说,这也是一个问题(如上述白皮书所证明)。结果,智能设备通常很容易被入侵。

但是,用户界面并不是IoT设备使用Web技术的唯一目的。要连接到其他基于Internet的系统,IoT必须使用现有标准,并且REST API是与其他设备和应用程序通信的最常用方法之一。然而, REST API同样容易出现网络漏洞 作为用户界面。因此,许多物联网设备最终将易受攻击的API暴露给世界其他地方。

如果发现某个设备容易受到攻击,则另一个问题浮出水面:在这样的设备中更新软件并不总是那么容易。用户只能等待制造商采取行动,并迅速发布解决问题的固件更新。不幸的是,许多制造商常常没有足够认真地对待此类问题,客户最终不得不终止设备的生命周期(报废它),对其进行强烈隔离,或者用手指交叉等待更新,并希望该漏洞不会被利用。任何人。

为什么缺乏物联网安全威胁企业?

在某些行业中,智能设备是提高效率的唯一途径。例如,物联网在资产跟踪和制造,改善客户体验,监控医疗设备等方面变得越来越普遍。但是,即使企业不专注于物联网,市场上许多新的硬件产品在设计上也很聪明。例如,当您为办公室购买新打印机时,可能会在不知不觉中最终使用IoT设备的情况。如今,即使是企业级网络设备也可以具有物联网功能。

因此,对企业的最大威胁是缺乏认识。企业安全团队甚至可能不了解内部网络中智能设备的可用性。大多数物联网设备在内部使用这一事实并不意味着其安全性就不那么重要了。 Web界面可能配置错误并从外部访问,从而使攻击者进入内部网络。组织还直接容易受到内部安全威胁的影响。最后但并非最不重要的一点是,您易受攻击的IoT设备可能会用作附件,例如,针对另一个组织的基于僵尸网络的DDoS攻击。

如何保护物联网?

完全保护物联网并不容易,因为它需要设备安全性,网络安全性,Web安全性和更多措施(取决于设备类型)的组合。此外,市场上很少有专用的IoT安全解决方案和服务提供商产品。成功的关键在于甚至在购买之前就开始。

  1. 将引入业务基础结构中的每台新设备都视为可能不安全的IoT设备。即使是用于办公室厨房的新冰箱也可能具有IoT功能,如果配置不当,最终也会成为攻击的目标。
  2. 即使是知名品牌,也不要盲目相信制造商。使安全分析成为每个购买过程的一部分。
  3. 尽可能隔离您的物联网设备。例如,将特定设备放置在仅允许访问其必须与之通信的其他设备的防火墙后面,或将所有IoT设备放置在非军事区(DMZ)内。
  4. 如果可能,请具有专用计算机的专用管理员。不要让管理Web界面向企业中的所有人开放。
  5. 购买之前,请仔细研究设备是否存在以前的漏洞。如果发生一次,则可能再次发生。
  6. 在实际将设备连接到网络之前,请确保设备具有最新的固件。通常,购买后就可以购买到新固件。
  7. 最后但并非最不重要的一点:自己掌握安全性。在购买设备之前,请测试其中一台的网络和网络安全性。用一个 网络漏洞扫描器 and a 网络漏洞扫描器,执行或外包其他 渗透测试,并使扫描成为常规计划的一部分,因为新漏洞可能会随着固件更新而浮出水面。

资源: //www.acunetix.com/blog/web-security-zone/iot-security-web-security/