保护物联网设备免受黑客攻击

考虑物联网设备的攻击面

假设任何物联网设备都是完全安全的是不现实的。尽管一个组织尽了最大的努力来识别和修复安全缺陷，黑客们还是会为了乐趣和利益继续攻击它们。物联网设备是通过自然连接的，这使得它们成为各种互联网恶作剧的目标。当物联网设备被用于保护汽车、打开门锁或运行工业设备时，风险就会更高。

亚历克斯Kubicek

“计算能力和资源是最大的挑战物联网的安全亚历克斯·库比塞克说，他是分布式天气预报服务公司Understory Inc.的首席执行官。加密、防火墙和其他保护需要计算周期，而且很多时候，嵌入式系统的资源已经达到了极限。另外，在许多情况下，企业无法对硬件进行物理访问。这使得确定问题变得更有挑战性，特别是关于设备失窃的问题。库比切克说，这在工业物联网中比在消费者物联网中更是个问题。

领先的软件开发组织正在意识到，通过在软件开发团队中嵌入安全专家，他们可以减少开发周期时间，减少物联网设备被黑客攻击的机会。这些专家可以评估不同类型的潜在攻击面，而不是等到测试结束后再进行安全性测试，黑客可能通过这些攻击面危及物联网设备。这可能包括物理上的妥协，如禁用安全设备或更换芯片;局部网络妥协，即模仿车主打开车门;或者是耗电攻击，比如用电池供电的设备被虚假信息和请求淹没。

计划的更新

让安全研究人员手动检查每个部分是非常重要的，这样就不会错过评估每个可能的攻击点。

最引人注目的之一物联网攻击是未来的趋势在该网络中，对手攻击安全摄像头等物联网设备，形成了迄今为止最大的僵尸网络之一。它利用了物联网设备永远连接的特性，发起了一场颠覆运动。美国联邦调查局(FBI)表示，这个机器人最初是由两名黑客用一个小型Minecraft游戏服务创建的，目的是阻止竞争。但它是如此的成功，以至于他们继续进行下去，发起了“点击欺诈即服务”的活动，扰乱了一些世界上最具弹性的网站的流量，如Netflix、Twitter和Reddit。

物联网设备制造商可以学到的最重要的经验之一从这次攻击开始重要的是，我们必须假定，即使有精心计划的安全措施，后门仍可能向攻击者招手。在Mirai的案例中，许多物联网设备从未打过补丁。一个治安维护者修改了Mirai代码叫BrickerBot旨在永久禁用受损物联网设备。因此，物联网设备制造商从未有机会更新他们的设备，保存他们的品牌形象。

向现场设备发送安全补丁并不像使用定义良好的身份和访问管理基础设施为AWS上的web服务器打补丁那么简单。物联网设备制造商需要确保可以通过加密更新发送补丁，以降低黑客可能发送虚假补丁的风险。

此外，设备制造商必须确保有方法方便地远程通信和更新设备。有很多可以与物联网一起工作的DevOps工具，例如SaltStack库比切克补充说，这些工具“使在远程物联网设备上快速应用关键补丁变得容易，并确保每个设备都得到更新。”

丽莎绿色

物联网制造商需要有一种有效的方式来更新所有部署的设备，安全更新需要迅速，以减少客户易受攻击的时间。安全流程应该在设备发布和发布后提供支持的整个设计阶段都建立起来。Green表示:“在所有这些阶段，都可以引入安全团队，在发布新更新或发现新的威胁矢量后，持续测试设备安全性。”

相信黑客

一旦物联网设备准备好了，让可信的物联网设备黑客团队进行测试黑客可能是一个好主意。这些专家将能够发现内部开发团队和自动化安全测试工具可能忽略的安全漏洞。

让这些黑客修补实际设备及其软件的内部工作也是一个好主意白盒渗透试验方法。这将使他们更容易发现使用黑盒测试可能更难识别的缺陷，在黑盒测试中，黑客只能以消费者的身份访问成品，否则黑客可能会看到成品。

然而，这些方法需要一定程度的信任，格林补充说，无论如何，“让安全研究人员手动检查每个部分是非常重要的，这样就不会错过对每个可能的攻击点的评估。”

包括风险评估

对于工业公司来说，物联网设备通常是加固的现场设备，其传感器提供有限的物理访问。相反，这些设备几十年来以监视控制和数据采集或分布式控制系统的形式具有一定程度的数据访问，通常使用未加密的工业协议。

工业物联网公司Arundo Analytics Inc.的首席技术官Jeff Jensen表示:“工业物联网现在保证这些传感器值可以被输入分析模型，无论是本地的边缘计算设备还是云计算模型，通常以更高的频率在流基础上返回业务洞见。”因此，这些实例中的核心安全部分涉及离开本地站点的大量未加密数据，因此需要使用虚拟专用网络、安全通信协议或使用校验和的应用程序级加密。

杰夫·詹森

在某些情况下，是新设备使用网工作、蓝牙或其他无线通信方法将数据从设备移动到网关。其中一些协议本身并不安全，因此必须实现应用程序级加密，并由管理员进行适当的管理。Jensen说:“在这种情况下，很多人面临的一个关键问题是物联网设备被黑客攻击的真正风险评估，以及它是灾难性的还是相对较低的风险。”