到今年年底����,全球物聯(lián)網(wǎng)安全市場(chǎng)預(yù)計(jì)將增長(zhǎng)到50.9億美元�����,很明顯���,現(xiàn)代企業(yè)已經(jīng)認(rèn)識(shí)到安全物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的重要性。
站在用戶的角度思考問(wèn)題���,與客戶深入溝通,找到南樂(lè)網(wǎng)站設(shè)計(jì)與南樂(lè)網(wǎng)站推廣的解決方案��,憑借多年的經(jīng)驗(yàn)�,讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個(gè)性化���、用戶體驗(yàn)好的作品��,建站類型包括:做網(wǎng)站�、網(wǎng)站制作、企業(yè)官網(wǎng)�、英文網(wǎng)站、手機(jī)端網(wǎng)站����、網(wǎng)站推廣、主機(jī)域名�����、雅安服務(wù)器托管�、企業(yè)郵箱。業(yè)務(wù)覆蓋南樂(lè)地區(qū)�。
在開(kāi)發(fā)技術(shù)解決方案時(shí),漏洞可能是不可避免的�����,但漏洞常見(jiàn)并不意味著它們無(wú)害����。讓我們來(lái)看看近年來(lái)物聯(lián)網(wǎng)漏洞帶來(lái)的一些影響。
看似簡(jiǎn)單的物聯(lián)網(wǎng)漏洞可能會(huì)產(chǎn)生重大影響
某品牌IP攝像頭系列中存在一個(gè)已知的關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞�����,該漏洞造成了重大危害,使全球2300多家組織面臨被入侵的風(fēng)險(xiǎn)����。該漏洞發(fā)生在這些攝像頭的網(wǎng)絡(luò)服務(wù)器中,可以允許黑客發(fā)出命令����,授予他們對(duì)受影響設(shè)備的完整 root shell 訪問(wèn)權(quán)限——甚至攝像頭的所有者都無(wú)權(quán)訪問(wèn)。一旦進(jìn)入系統(tǒng)���,他們就可以禁用物聯(lián)網(wǎng)設(shè)備����,破壞網(wǎng)絡(luò)�����,并發(fā)起DDoS或其他攻擊���。
在其他地方,研究人員在 Throughtek 的 Kalay IoT 云平臺(tái)中發(fā)現(xiàn)了一個(gè)嚴(yán)重缺陷��,該平臺(tái)覆蓋了超過(guò) 8300 萬(wàn)臺(tái)設(shè)備�����,包括安全攝像頭和嬰兒監(jiān)視器。該缺陷的關(guān)鍵CVSS3.1評(píng)分為9.6/10��,這說(shuō)明受影響的設(shè)備可能會(huì)因訪問(wèn)UID而受到遠(yuǎn)程攻擊�,并且根據(jù)設(shè)備的功能可能會(huì)受到進(jìn)一步的攻擊。
這些漏洞并非孤立地出現(xiàn)在消費(fèi)者物聯(lián)網(wǎng)設(shè)備中��。由于 CVSS v3 總得分為 9.8/10 的七個(gè)獨(dú)立漏洞����,醫(yī)療物聯(lián)網(wǎng)設(shè)備目前成為攻擊目標(biāo)。這些被稱為“Access:7”的物聯(lián)網(wǎng)漏洞影響了醫(yī)療行業(yè)最流行的嵌入式設(shè)備平臺(tái)之一(同一平臺(tái)也可用于管理ATM�、自動(dòng)售貨機(jī)和PoS系統(tǒng)等設(shè)備)。這些漏洞涉及范圍廣泛���,從默認(rèn)配置問(wèn)題到未記錄和未經(jīng)驗(yàn)證的命令的處理��。這使患者的個(gè)人信息處于危險(xiǎn)之中�����,而且使用 DDoS來(lái)攻擊醫(yī)療設(shè)備可能會(huì)導(dǎo)致生命損失��。
保護(hù)設(shè)備免受物聯(lián)網(wǎng)漏洞攻擊的挑戰(zhàn)
鑒于漏洞可以來(lái)自眾多介質(zhì)�,包括物理設(shè)備、軟件或網(wǎng)絡(luò)元素��,可能無(wú)法完全防止物聯(lián)網(wǎng)漏洞�。
為了幫助管理和解決這些問(wèn)題,一些開(kāi)發(fā)人員和安全組織部署了自動(dòng)化和網(wǎng)絡(luò)安全工具����,以幫助掃描、檢測(cè)和緩解軟件方面的漏洞�����。盡管有些人將這些工具視為通過(guò)“消除人為因素”來(lái)提高效率的一種手段�����,但研究表明���,自動(dòng)化工具只能發(fā)現(xiàn)大約 45% 的整體漏洞����。更糟糕的是��,這些檢測(cè)可能會(huì)產(chǎn)生錯(cuò)誤的結(jié)果����,從而導(dǎo)致延遲(誤報(bào))或帶有已知漏洞的產(chǎn)品流向市場(chǎng)(誤診)。
如果他們希望發(fā)布一個(gè)合格的產(chǎn)品��,即使是最好的開(kāi)發(fā)人員也必須與安全專家一起工作��。Enterprise Strategy Group 的一份報(bào)告發(fā)現(xiàn)�,開(kāi)發(fā)人員和安全團(tuán)隊(duì)之間的溝通不暢導(dǎo)致大約 48% 的產(chǎn)品帶有易受攻擊的代碼。如果在發(fā)貨之前發(fā)現(xiàn)漏洞����,可能會(huì)導(dǎo)致產(chǎn)品發(fā)布延誤,或者沒(méi)有發(fā)現(xiàn)����,這將導(dǎo)致不安全的產(chǎn)品流向市場(chǎng)。
當(dāng)然��,設(shè)計(jì)團(tuán)隊(duì)�����、開(kāi)發(fā)人員和系統(tǒng)架構(gòu)師也經(jīng)常會(huì)忽略一些常見(jiàn)的盲點(diǎn)����。此外�,用戶也會(huì)給系統(tǒng)帶來(lái)新的風(fēng)險(xiǎn)�����,例如����,使用移動(dòng)終端為不良行為者提供了一個(gè)可能引入或提取潛在敏感信息的新途徑。
如何處理漏洞和其他安全問(wèn)題
物聯(lián)網(wǎng)漏洞可能是不可避免的�����,但這并不意味著公司無(wú)法保護(hù)其系統(tǒng)免受入侵����。一些最簡(jiǎn)單的解決方案包括:
- 保持密碼最新和更新固件:黑客最常見(jiàn)的方式是使用默認(rèn)密碼,更新您的系統(tǒng)以使用獨(dú)特密碼����,并保持所有固件的最新?tīng)顟B(tài),可以大大降低風(fēng)險(xiǎn)因素����。
- 隱藏網(wǎng)絡(luò):如果您的物聯(lián)網(wǎng)網(wǎng)絡(luò)隱藏在公共互聯(lián)網(wǎng)之外���,黑客將很難訪問(wèn)它。通過(guò)部署Soracom虛擬專用網(wǎng)關(guān)�、Soracom Door等專用VPN或通過(guò)Soracom Canal的安全專用連接等解決方案��,企業(yè)可以大大限制其物聯(lián)網(wǎng)系統(tǒng)的公共足跡�。
- 加密所有憑證和安全敏感數(shù)據(jù):根據(jù)您選擇的 Web 服務(wù),傳輸?shù)皆频臄?shù)據(jù)可能會(huì)在傳輸過(guò)程中被加密����,但是您也應(yīng)該在設(shè)備級(jí)別使用加密。如果您的設(shè)備被黑客獲得�,硬編碼的用戶名和密碼可以被逆向工程。相反����,您可以通過(guò)使用配置工具來(lái)完全避免在設(shè)備上保留憑證。
- 通過(guò)入侵檢測(cè)系統(tǒng)或防火墻監(jiān)控潛在攻擊:雖然這些系統(tǒng)更多地是一種降低入侵成本的工具���,但它們將密切監(jiān)控網(wǎng)絡(luò)流量����,以發(fā)現(xiàn)任何可疑活動(dòng)��。一旦發(fā)現(xiàn),公司應(yīng)通過(guò)適當(dāng)?shù)氖录憫?yīng)來(lái)跟蹤入侵��。
- 制定應(yīng)對(duì) DDoS 攻擊的應(yīng)急計(jì)劃:制定應(yīng)急計(jì)劃��,以使您的服務(wù)避免代價(jià)高昂的停機(jī)時(shí)間非常重要�。一旦制定了初步的應(yīng)對(duì)措施,就要審查流程以了解如何更好地解決����,并且防止未來(lái)任何類似性質(zhì)的入侵也很重要。
當(dāng)前名稱:防范物聯(lián)網(wǎng)漏洞是一項(xiàng)艱巨挑戰(zhàn)(但并非如此)
網(wǎng)頁(yè)URL:
http://uogjgqi.cn/article/cddojpp.html
