据说,物联网提高了很多人的便利性,发展了很多产业。然而,在其便利的背后,也存在着巨大的安全风险。我们将阐明风险的内容,并介绍可以采取哪些措施。
物联网安全风险就在眼前
与物联网相关的安全 风险,我们都很熟悉。让我们来看看物联网的安全风险和背对背的具体例子,物联网给生活带来了便利,也极大地发展了产业。
物联网是背对背的便利和风险
今天是事物通过物联网连接到互联网的时代。这意味着各种事物将被添加功能,其属性也将发生变化。
例如,每个假设中的冰箱。直到现在,它一直被用作冷却和储存食物的单项家用电器。然而,当这与物联网相结合时,它就成为一个智能家电。成为智能家电的冰箱将与互联网相连,并与外部世界有联系。过去只在屋内完成的事情将变得与屋外有关。
同样,由于物联网的出现,制造领域使用的设备也在发生重大变化。过去只在现场使用的东西有可能连接到任何地方。
物联网使家用电器和工业设备的便利性得到了极大的提高。另一方面,拥有外部关系意味着你可能成为外部攻击的目标。在当今的物联网世界中,便利性和安全风险总是背道而驰。
可能的物联网安全风险有哪些?
那么,物联网的具体风险是什么?潜伏在物联网中的风险可以分为以下三种模式。
- 物理事故是由设备的控制造成的
如果物联网被安装在控制系统中,控制系统可能会受到网络攻击。这可能导致工业设备、机器人和自动驾驶汽车失去控制,导致物理事故。
- 通过劫持接口窃取信息
通过劫持传感器、交互式扬声器和输入/输出接口,重要的个人信息和企业管理信息有可能被盗。
- 担心被当作垫脚石而成为恶意攻击的促成者
跳板攻击被用作攻击其他网站和系统的中继点。它可以是大量垃圾邮件的来源,也可以是未经授权的访问的中继点。它还有助于使人们难以识别攻击的来源。
实际的物联网攻击案例
不幸的是,这不仅是 “风险”,而且针对物联网设备的攻击正在实际发生。让我们来看看一个具体的例子。
恶意软件 “Mirai “的攻击
越来越多的嵌入式产品,如连接到互联网的路由器、网络摄像机和数字录像机成为攻击目标。一种名为 “Mirai “的恶意软件被用作攻击手段。”Mirai “攻击这些物联网设备的漏洞,并通过下载机器人实现远程控制。
在 “米莱 “的损害扩散背后有两个因素。
其中之一是,”Mirai “具有感染性。”Mirai “从被感染的设备中搜索一次网络,当它找到一个可以通过telnet访问的终端时,它试图登录,再次下载僵尸程序,并传播感染。
“Mirai “有能力以这种方式传播损害,但感染的传播也是由于设备的用户方面。这是第二个因素。最容易的目标是,如果设备在互联网上是开放访问的,并且有一个更容易的ID和密码。在一些情况下,制造商在发货时设置的密码被披露,在许多情况下,它没有像以前那样被改变。当 “Mirai “找到一个可访问的设备时,它用暴力手段强行输入简单的ID和密码,如 “admin”、”password “和 “123456 “来传播感染。
Mirai “的亚种接二连三地被创造出来,而且破坏力的蔓延并没有减少。认识到ID和密码的重要性,并保持制造商和用户的安全意识,是预防恶意软件攻击的重要第一步。
接管物联网产品并将其作为外部攻击的跳板
跳板攻击是指物联网产品被劫持并被用来攻击外部世界。这种劫持的手段是恶意软件 “Mirai “和一个名为 “BlueBorne “的安全漏洞,该漏洞被发现是蓝牙的一个漏洞。
DDoS攻击被称为堡垒攻击的一个典型例子。它是一种通过从被劫持的设备向目标服务器发送大量的处理请求来刺破服务器的处理能力并停止服务的攻击。
除此以外,还出现了发送未经请求的电子邮件或进行旨在泄漏信息的操作的情况。在日本,2012年发生的个人电脑远程控制事件是著名的,通过远程控制他人的个人电脑宣布犯罪的事实给许多人留下了恐惧的垫脚石攻击。
这些堡垒攻击的真正可怕之处在于,堡垒设备的所有者往往不知道他们已经被糊弄了。在你不知情的情况下成为攻击的贡献者的可能性就在眼前。
网络摄像头的信息泄露
有一些网站可以从互联网上访问,并可以看到由未受保护的网络摄像头投射的图像。很多信息都是从这种图像中泄露出来的。
对于许多网络摄像机来说,网络连接的ID和密码都留在工厂里,所以很容易被访问并播放视频。这包括设施内的安全摄像机和工厂内的监控摄像机。
如果这种视频泄露被滥用,重要的公司信息也可能被泄露。
对于物联网安全措施,我应该怎么做?
那么,应该采取什么样的措施来应对这些物联网安全风险?
在IPA(信息技术促进机构)公布的 “2019年信息安全十大威胁“中,对2018年发生的社会影响最大的安全风险进行了排名和公布。其中,按照个人和组织的使用情况进行了排名,但在这两种情况下,”物联网设备管理不当 “都排在了第10位。
与前一年相比,作为个人使用的威胁的排名有所上升,但组织使用的排名有所下降。这意味着,物联网安全措施正在组织层面上进行。在组织层面的措施是从哪一点开始的?
从重新认识物联网的本质来看
为了应对物联网的安全风险,必须提醒管理层和管理人员注意物联网的性质。以下三个属性很重要。
- 认识到你是 “连接 “的
的确,很多人都知道物联网的用处,但很多人并没有意识到或深刻理解与互联网连接的意义。我们必须重申,我们通过物联网与外部世界相连,并且我们可以从外部访问它。
- 认识到物联网系统作为信息资产的重要性
被物联网连接起来的东西,通过不断产生和传输、接收信息,本身就是一种信息资产。必须认识到,物联网系统是企业的重要信息资产,这些信息的泄露是一种资产的损失。
- 认识到安全的重要性
认识到自己与外部世界的联系,以及重要信息的交换,自然会让你感受到安全的重要性。让我们重申,在物联网的运作中,风险是背对背的,而安全作为一种风险对策是非常重要的。
具体的物联网安全措施
那么,应对这些风险的具体措施是什么?
- 有限的网络
防止来自外部的攻击的最有效方法是阻断与外部的通信,但这有悖于物联网的效用。因此,有必要进行系统配置,限制网络,只在需要的时候和地方进行通信。
让我们盘点一下通信路线,并建立一个可以可视化网络配置的机制。此外,我们还将采取一些措施,如不留下容易被攻击的telnet的开放端口,以及阻止不需要连接的物联网设备。
此外,由于网络的限制,引入现场处理的边缘 计算,也是有效的安全措施。
- 不要使用默认密码
许多恶意软件试图通过暴力攻击ID和密码来入侵。作为一种对策,避免使用默认的ID和密码,并使用难以破译的更改后的ID和密码。
使用难以突破的ID和密码是安全措施的第一步,也是最好的防御措施。
- 更新到最新的固件
攻击物联网的手段在不断发展,安全漏洞也在不断被寻找。为了应对这种情况,操作物联网的应用程序的固件必须保持更新。
- 避免不明确的/不必要的设备使用/连接
避免使用制造商不清楚的设备或有问题的支持。即使该设备不是恶意的,它也可能是脆弱的漏洞来源。另外,关闭不使用或不需要与之通信的具有物联网功能的设备的电源,或切断与网络的连接。
安全的重要性随着物联网的普及而增加
随着物联网的普及,制造业实现了创新发展,据说这是第四次工业革命。另一方面,随着所有设备与互联网的连接,安全风险的增加也是一个事实。要有效利用物联网,安全意识和对策也是不可或缺的。
