物联网安全(物联网安全)

什么是物联网安全?

物联网安全是指用于保护联网或基于网络的设备的安全的保护方法。这个词物联网是非常广泛的，随着技术的不断发展，这个术语只会变得更加广泛。从手表到恒温器再到视频游戏机，几乎每一种技术设备都能与互联网或其他设备进行某种程度的交互。

物联网安全是家族的技术、战略和工具用于保护这些设备免受损害。讽刺的是，正是物联网固有的连通性使得这些设备越来越容易受到网络攻击。

因为物联网是如此的广泛，物联网的安全性也更加广泛。这导致了各种方法被归入物联网安全的保护伞之下。应用程序接口(API)安全，公开密码匙基础设施(公钥基础设施身份验证和网络安全只是IT领导者用来对抗日益增长的威胁的几种方法网络犯罪和网络恐怖主义根植于脆弱的物联网设备。

物联网安全问题

设备之间连接的方式越多，威胁参与者拦截它们的方式也就越多。像HTTP (超文本传输协议),API是黑客可以拦截的物联网设备所依赖的几个渠道。

物联网保护伞也不严格包括基于互联网的设备。使用蓝牙技术的设备也可以算作物联网设备，因此需要物联网安全。这样的疏忽导致了最近物联网相关数据泄露的激增。

以下是一些持续威胁个人和组织财务安全的物联网安全挑战。

远程接触

不像其他技术，物联网设备有一个特别大的攻击表面因为他们的网络支持连接。虽然这种可访问性非常有价值，但它也为黑客提供了远程与设备交互的机会。这就是为什么黑客运动喜欢网络钓鱼尤其有效。物联网的安全,如云安全为了保护资产，必须考虑大量的入口点。

缺乏行业远见

随着公司继续数字转换对于他们的业务，某些行业和他们的产品也是如此。等行业汽车和医疗保健最近扩大了物联网设备的选择，以提高生产率和成本效益。然而，这场数字革命也导致了比以往任何时候都更依赖于技术。

虽然这通常不是一个问题，但对技术的依赖可能会放大一次成功的数据泄露的后果。令人担忧的是，这些行业现在依赖的是一种本质上更脆弱的技术:物联网设备。不仅如此，许多医疗保健和汽车公司还不准备投入所需的资金和资源来确保这些设备的安全。

这种行业远见的缺乏使许多组织和制造商面临不必要的增长网络安全威胁。

资源约束

缺乏远见并不是新兴数字化行业面临的唯一物联网安全问题。物联网安全的另一个主要问题是许多设备的资源约束。

并非所有物联网设备都具备集成复杂防火墙或杀毒软件的计算能力。有些几乎没有连接其他设备的能力。例如，采用蓝牙技术的物联网设备最近遭遇了一波数据泄露。汽车行业再一次成为受创最严重的市场之一。

2020年，一名网络安全专家入侵了一家特斯拉X模型不到90秒就利用了大量蓝牙漏洞。其他依靠遥控(无线)钥匙来打开和启动汽车的汽车也经历过类似的攻击。威胁行为者已经找到了一种方法，可以扫描并复制这些单控式钥匙的接口，从而在不触发警报的情况下窃取相关车辆。

如果像特斯拉这样技术先进的机器容易受到物联网数据泄露的影响，那么其他任何智能设备也一样。

如何保护物联网系统和设备

以下是企业可以用来改进其数据保护协议的一些物联网安全措施。

在设计阶段引入物联网安全

在讨论的物联网安全问题中，大多数可以通过更好的准备来克服，特别是在任何消费者、企业或企业开始时的研发过程中industrial-based物联网设备发展。在默认情况下启用安全性至关重要，提供最新的操作系统并使用安全的硬件也是如此。

然而，物联网开发人员应该注意每个开发阶段的网络安全漏洞，而不仅仅是设计阶段。例如，汽车钥匙黑客可以通过把钥匙链放在一个金属盒子里，或者远离窗户和走廊来减轻。

公匙基建及数码证书

PKI是保护多个网络设备之间的客户机-服务器连接的一种极好的方法。使用双密钥非对称密码系统，PKI能够促进私有消息和交互的加密和解密数字证书。这些系统有助于保护用户输入网站的明文信息，以完成私人交易。没有PKI的安全性，电子商务将无法运作。

网络安全

网络为威胁行为者远程控制他人物联网设备提供了巨大的机会。由于网络涉及数字和物理组件，现场物联网安全应该解决这两种类型的接入点。保护物联网网络包括确保端口安全性，禁用端口转发和从来不开放端口时，不需要;使用反软件、防火墙和入侵检测系统/入侵防御系统;阻止未授权的IP(互联网协议)地址;确保系统是补丁和最新的。

API的安全

api是大多数复杂网站的支柱。例如，它们允许旅行社将来自多个航空公司的航班信息聚合到一个地点。不幸的是，黑客可能会破坏这些通信渠道，这使得API安全对于保护从物联网设备发送到后端系统的数据的完整性，以及确保只有经过授权的设备、开发人员和应用程序与API通信是必要的。T-Mobile 2018年的数据泄露是API安全性差后果的一个完美例子。由于一个“泄露的API”，这个移动巨头泄露了超过200万用户的个人数据，包括邮政编码、电话号码和账户号码等数据。

额外的物联网安全方法

实现物联网安全的其他方法包括:

• 网络访问控制。南汽可以帮助识别和盘点连接到网络的物联网设备。这将为跟踪和监测设备提供基线。
• 分割。需要直接连接到互联网的物联网设备应该是这样的分成他们自己的网络且访问企业网络受到限制。网络段应该监测异常活动，如果发现问题，可以采取行动。
• 安全网关。作为物联网设备和网络之间的中介，安全网关拥有比物联网设备本身更多的处理能力、内存和能力，这为它们提供了实现防火墙等功能的能力，以确保黑客无法访问它们所连接的物联网设备。
• 补丁管理/持续软件更新。通过网络连接或自动化提供更新设备和软件的方法是至关重要的。有一个协调的漏洞披露对于尽快更新设备也很重要。也可以考虑临终策略。
• 培训。对于许多现有的安全团队来说，物联网和操作系统安全都是新事物。安全人员必须跟上新的或未知的系统，学习新的架构和编程语言，并为新的安全挑战做好准备，这一点至关重要。c级团队和网络安全团队应该定期接受培训训练以应对现代威胁和安全措施。
• 整合团队。除了培训之外，集成不同的和定期隔离的团队也很有用。例如，让编程开发人员与安全专家一起工作，可以帮助确保在开发阶段向设备添加适当的控制。
• 消费者教育。必须让消费者意识到物联网系统的危险，并提供确保安全的步骤，如更新默认凭证和应用软件更新。消费者也可以在要求设备制造商创建安全设备和拒绝使用不符合高安全标准的设备方面发挥作用。

哪些行业最容易受到物联网安全威胁?

物联网安全黑客可能发生在任何地方和任何行业，从a智能家居制造工厂和联网汽车。影响的严重程度在很大程度上取决于单个系统、所收集的数据和/或系统所包含的信息。

例如，攻击使联网汽车的刹车失灵，或攻击联网医疗设备(如胰岛素泵)，以给患者提供过多药物，都可能危及生命。同样，如果温度波动，由物联网系统监控的药品制冷系统受到攻击，可能会破坏药品的生存能力。同样，对关键基础设施——油井、能源网或供水——的攻击可能是灾难性的。

然而，其他的攻击也不能低估。例如，对智能门锁的攻击可能会让窃贼进入一个家庭。或者，在其他情况下，比如2013年目标攻击或其他安全漏洞，攻击者可以通过连接的系统传递恶意软件暖通空调塔吉特的系统，刮个人身份信息，对那些受影响的人造成严重破坏。

值得注意的物联网安全漏洞和物联网黑客

自物联网概念于上世纪90年代末首次出现以来，安全专家一直警告大量不安全设备连接互联网的潜在风险。随后，许多攻击事件成为头条新闻，从冰箱和电视被用来发送垃圾邮件，到黑客渗透到婴儿监视器并与儿童交谈。值得注意的是，许多物联网黑客并不是针对设备本身，而是将物联网设备作为进入更大网络的入口点。

例如，2010年，研究人员揭示超级工厂病毒病毒被用于物理破坏伊朗的离心机，攻击始于2006年，但主要攻击发生在2009年。Stuxnet通常被认为是最早的物联网攻击案例之一，目标是监控和数据采集(SCADA)工业控制系统中的系统(ICS)，利用恶意软件感染可编程逻辑控制器(制度)。

对工业网络的攻击还在继续，诸如CrashOverride/ industryyer、Triton和VPNFilter等恶意软件针对易受攻击的操作技术(OT)和工业物联网(IIoT)系统。

2013年12月，企业安全公司Proofpoint Inc.的一名研究人员发现了第一个问题物联网僵尸网络。据研究人员称，超过25%的僵尸网络是由电脑以外的设备组成的，包括智能电视、婴儿监视器和家用电器。

2015年，安全研究人员查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)对一辆吉普车实施了无线黑客攻击，更换了这辆车媒体中心的电台，打开了它的雨刷和空调，并让加速器停止工作。他们说，他们还可以关闭引擎，启动刹车，并使刹车完全失灵。米勒和瓦拉塞克能够通过克莱斯勒的车载连接系统Uconnect渗透到汽车网络中。

Mirai是迄今为止最大的物联网僵尸网络之一，首次攻击记者Brian Krebs的网站和法国网站主机OVH是在2016年9月;攻击速度分别为每秒630千兆比特(Gbps)和1.1兆兆比特(Tbps)。下个月，域名系统(DNS)服务提供商Dyn的网络成为攻击目标，造就了许多网站，包括亚马逊(Amazon)、Netflix、Twitter和《纽约时报》，几个小时都没空。攻击通过消费者物联网设备(包括IP摄像头和路由器)渗透到网络中。

许多Mirai变种已经出现，包括Hajime、Hide 'N Seek、Masuta、PureMasuta、Wicked botnet和Okiru等。

在2017年1月的一份通知中，美国食品和药物管理局(Food and Drug Administration，简称fda)警告称，使用无线电频率的圣犹大医疗植入心脏设备中的嵌入式系统，包括起搏器、除颤器和再同步设备，可能容易受到安全入侵和攻击。

2020年7月，趋势科技发现了一个物联网Mirai僵尸网络下载器这可以适应新的恶意软件变种，这将有助于将恶意有效负载发送到暴露的大ip盒子。发现的样本还被观察到利用了最近公开的或未修补的常见物联网设备和软件漏洞。

2021年3月，安全摄像头初创公司Verkada拥有15万辆its在摄像头提要砍是一群瑞士黑客所为。这些摄像头监控学校、监狱、医院以及特斯拉等私人公司设施内的活动。

物联网安全标准和立法

目前存在许多物联网安全框架，但到目前为止还没有一个行业接受的标准。然而，简单地采用物联网安全框架会有所帮助;他们提供工具和清单，帮助公司创建和部署物联网设备。这些框架已经由GSM协会、物联网安全基金会、工业互联网联盟等发布。

2015年9月，联邦调查局发布了一份公共服务公告，联邦调查局警号I-091015-PSA该报告警告了物联网设备的潜在漏洞，并为消费者提供了保护和防御建议。

2017年8月，国会推出了《物联网网络安全改进法案》，该法案将要求出售给美国政府的任何物联网设备不使用默认密码，不存在已知的漏洞，并提供给设备打补丁的机制。虽然它针对的是那些制造设备出售给政府的制造商，但它为所有制造商都应该采取的安全措施设定了一个基线。

同样是在2017年8月，《发展创新和增长物联网(DIGIT)法案》通过了参议院，但仍在等待众议院的批准。该法案将要求商务部召集一个工作组，并创建一份关于物联网的报告，包括安全和隐私。

虽然不是针对物联网的，但《一般数据保护条例》(GDPR)，于2018年5月发布，统一了整个欧盟的数据隐私法。这些保护延伸到物联网设备及其网络，物联网设备制造商应该考虑到这一点。

2018年6月，国会介绍了《物联网法》(或智能物联网法)的现代应用、研究和趋势，建议商务部开展物联网行业研究，并为物联网设备的安全增长提供建议。

2018年9月，加利福尼亚州立法机构批准了SB-327信息隐私:连接设备，该法律为在美国销售的物联网设备引入了安全要求。

2019年2月欧洲电信标准协会发布了第一个全球适用的消费者物联网安全标准——这是以前从未在如此规模上解决的一个方面。

2020年12月，当时的美国总统签署了这份协议物联网网络安全改进法案2020年，指导国家标准与技术研究所为美国政府控制或拥有的物联网制定最低网络安全标准。

物联网的攻击和安全性各不相同

物联网安全方法根据您的特定物联网应用程序和您在物联网生态系统中的位置而有所不同。例如，物联网制造商——从产品制造商到半导体公司——应该从一开始就专注于构建安全性，使硬件防篡改，构建安全硬件，确保安全升级，提供固件更新/补丁和执行动态测试。

解决方案开发人员的重点应该放在安全软件开发和安全集成上。对于那些部署物联网系统的人来说，硬件安全和认证是关键措施。同样，对于运营商来说，保持系统更新、减少恶意软件、审计、保护基础设施和保护凭证是关键。然而，对于任何物联网部署，在实施之前权衡安全成本与风险是至关重要的。