應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

需要遵循的企業(yè)物聯(lián)網(wǎng)安全實(shí)踐清單

2021-11-18 13:58 企業(yè)網(wǎng)D1Net

導(dǎo)讀:物聯(lián)網(wǎng)在為人們的生活帶來(lái)巨大優(yōu)勢(shì)的同時(shí),也帶來(lái)了安全挑戰(zhàn)。在網(wǎng)絡(luò)世界中,很多網(wǎng)絡(luò)攻擊者致力于通過(guò)安裝攝像頭、監(jiān)聽(tīng)通信、竊取數(shù)據(jù)、訪問(wèn)代碼處理和分析邊緣數(shù)據(jù)來(lái)感染物聯(lián)網(wǎng)設(shè)備。

  科技讓人們的日常生活變得豐富精彩。由于無(wú)人駕駛汽車、人工智能機(jī)器人和創(chuàng)新技術(shù),人們一直夢(mèng)想的未來(lái)就在這里,而這場(chǎng)革命將得益于物聯(lián)網(wǎng)。事實(shí)上,據(jù)估計(jì),到2025年底,全球?qū)⒂?57.5億臺(tái)物聯(lián)網(wǎng)設(shè)備,并實(shí)現(xiàn)智能家電、智能電網(wǎng)、自動(dòng)駕駛汽車等的互聯(lián)互通。

  物聯(lián)網(wǎng)在為人們的生活帶來(lái)巨大優(yōu)勢(shì)的同時(shí),也帶來(lái)了安全挑戰(zhàn)。在網(wǎng)絡(luò)世界中,很多網(wǎng)絡(luò)攻擊者致力于通過(guò)安裝攝像頭、監(jiān)聽(tīng)通信、竊取數(shù)據(jù)、訪問(wèn)代碼處理和分析邊緣數(shù)據(jù)來(lái)感染物聯(lián)網(wǎng)設(shè)備。

  因此,企業(yè)必須不斷評(píng)估物聯(lián)網(wǎng)設(shè)備安全方面的風(fēng)險(xiǎn)。

  最近的物聯(lián)網(wǎng)攻擊軟件

  由于物聯(lián)網(wǎng)系統(tǒng)容易受到惡意網(wǎng)絡(luò)攻擊。以下是影響物聯(lián)網(wǎng)世界的重大攻擊軟件列表:

  Xbash僵尸網(wǎng)絡(luò)

  惡意軟件可以通過(guò)各種方式損害計(jì)算機(jī),有時(shí)受害者直到造成巨大損失之后才知道其影響。更糟糕的是什么?很多物聯(lián)網(wǎng)設(shè)備受到僵尸網(wǎng)絡(luò)(Robot+Network的簡(jiǎn)稱)的攻擊和影響。網(wǎng)絡(luò)犯罪分子使用特殊的惡意軟件來(lái)破壞多個(gè)用戶設(shè)備的安全,并將所有受影響的系統(tǒng)組建成一個(gè)機(jī)器人僵尸網(wǎng)絡(luò)。

  受影響的設(shè)備可能完全正常運(yùn)行而沒(méi)有警告標(biāo)志,但黑客可以訪問(wèn)并創(chuàng)建僵尸網(wǎng)絡(luò),該網(wǎng)絡(luò)能夠傳播多種不同類型的網(wǎng)絡(luò)犯罪行為,例如傳播DDoS或惡意軟件攻擊。

  Mozi

  Mozi惡意軟件包含來(lái)自Mirai、Gafgyt和IoTReaper的源代碼,它們都是針對(duì)物聯(lián)網(wǎng)設(shè)備的惡意軟件家族的一部分。Mozi能夠使用暴露的telnet嵌入Linux設(shè)備。

  與Xbash僵尸網(wǎng)絡(luò)類似,Mozi惡意軟件將受影響的物聯(lián)網(wǎng)設(shè)備構(gòu)建成網(wǎng)絡(luò)所有者可以訪問(wèn)的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。所有者可以通過(guò)訪問(wèn)網(wǎng)絡(luò)輕松分發(fā)DDoS攻擊、有效負(fù)載執(zhí)行和過(guò)濾數(shù)據(jù)。

  Dark Nexus

  Dark Nexus是一種使用DDoS獲取經(jīng)濟(jì)利益的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò),是一種新興的僵尸網(wǎng)絡(luò),它利用受到感染的電腦、MacBook和智能手機(jī)通過(guò)路由器、熱像儀、攝像機(jī)等進(jìn)行DDoS攻擊。

  最近,大約有1372個(gè)僵尸機(jī)器人作為反向代理遍布全球各地,如俄羅斯、中國(guó)、韓國(guó)、巴西和泰國(guó)。

  Muhstik僵尸網(wǎng)絡(luò)

  Muhstick Botnet誕生于2018年3月,從那時(shí)起,它就通過(guò)利用多個(gè)Web應(yīng)用程序來(lái)影響云計(jì)算服務(wù)器。它是一種類似蠕蟲(chóng)的自我傳播機(jī)器人,能夠感染物聯(lián)網(wǎng)設(shè)備和Linux服務(wù)器。

  目前,已知該惡意軟件以O(shè)racleWebLogic、Drupal為目標(biāo),以進(jìn)一步傳播受感染的攻擊。

  Mirai僵尸網(wǎng)絡(luò)(Dyn攻擊)

  2016年10月12日,一次大規(guī)模分布式DDoS攻擊導(dǎo)致美國(guó)東海岸的大部分網(wǎng)絡(luò)無(wú)法訪問(wèn)。這是Mirai僵尸網(wǎng)絡(luò)攻擊的結(jié)果。

  黑客使用它在物聯(lián)網(wǎng)設(shè)備中發(fā)起DDoS攻擊,在影響設(shè)備之后,Mirai會(huì)搜索其他惡意軟件以完全清除它們,以便進(jìn)一步利用。

  分析企業(yè)物聯(lián)網(wǎng)安全挑戰(zhàn)

  物聯(lián)網(wǎng)在增強(qiáng)企業(yè)的網(wǎng)絡(luò)能力方面發(fā)揮了重要作用。它通過(guò)開(kāi)發(fā)設(shè)備和網(wǎng)絡(luò)之間的有效連接,幫助他們提高技術(shù)能力。

  以下是企業(yè)面臨的一些主要物聯(lián)網(wǎng)安全挑戰(zhàn):

  數(shù)據(jù)不足和更新

  不安全的固件或軟件是物聯(lián)網(wǎng)安全的最大挑戰(zhàn)之一。應(yīng)該更新物聯(lián)網(wǎng)設(shè)備以了解何時(shí)出現(xiàn)任何漏洞以開(kāi)發(fā)安全補(bǔ)丁。然而,并非所有企業(yè)都遵循了這一實(shí)踐。在更新過(guò)程中,備份和數(shù)據(jù)被傳輸?shù)皆贫?,讓黑客有機(jī)會(huì)竊取企業(yè)的寶貴數(shù)據(jù)。

  缺乏物理硬化

  物聯(lián)網(wǎng)需要在沒(méi)有任何中介的情況下自主地得到物理保護(hù)。有時(shí),物聯(lián)網(wǎng)設(shè)備還可以長(zhǎng)時(shí)間地在遠(yuǎn)程位置進(jìn)行物理干預(yù)。開(kāi)發(fā)發(fā)射器和傳感器以滿足企業(yè)物聯(lián)網(wǎng)安全實(shí)踐清單是一項(xiàng)挑戰(zhàn)。因此,如果物聯(lián)網(wǎng)設(shè)備制造商沒(méi)有確保物理硬化,用戶有責(zé)任保護(hù)他們的設(shè)備。

  缺乏加密

  在數(shù)字世界中,黑客能夠操縱最初為保護(hù)缺乏存儲(chǔ)能力和處理能力的設(shè)備而集成的算法。在這種情況下,加密被認(rèn)為是防止數(shù)據(jù)違規(guī)的有效方法。然而,即使是加密也常常會(huì)導(dǎo)致安全警報(bào)。要將其轉(zhuǎn)化為安全支持,企業(yè)需要滿足企業(yè)物聯(lián)網(wǎng)安全實(shí)踐檢查表。

  數(shù)據(jù)安全和隱私問(wèn)題

  與物聯(lián)網(wǎng)設(shè)備相關(guān)的各種安全和隱私問(wèn)題是識(shí)別、身份驗(yàn)證和設(shè)備異構(gòu)性。在數(shù)字時(shí)代,缺乏集成、可擴(kuò)展性、監(jiān)控、商業(yè)模式等是黑客的新線索,這些黑客會(huì)干擾敏感數(shù)據(jù)并以未經(jīng)授權(quán)的方式訪問(wèn)多個(gè)私人系統(tǒng)。

  缺乏適當(dāng)?shù)氖录憫?yīng)流程

  缺乏適當(dāng)?shù)氖录憫?yīng)流程會(huì)導(dǎo)致數(shù)據(jù)丟失或泄露。在這個(gè)以網(wǎng)絡(luò)安全為重的時(shí)代,網(wǎng)絡(luò)安全事件流程對(duì)于企業(yè)來(lái)說(shuō)是一項(xiàng)重要的計(jì)劃,以防止利用其收集的數(shù)據(jù)和信息破壞登錄憑據(jù)和使數(shù)據(jù)庫(kù)泄露。

  連接產(chǎn)品的物聯(lián)網(wǎng)安全檢查表

  該清單涵蓋了創(chuàng)建最小攻擊面區(qū)域時(shí)需要審查的領(lǐng)域,以及在快速發(fā)展的領(lǐng)域中維護(hù)安全系統(tǒng)的關(guān)鍵功能和操作。

  操作系統(tǒng)

  許多Linux系統(tǒng)和SOC都有多個(gè)端口,黑客可以通過(guò)這些端口破壞安全性,這成為易受黑客攻擊的區(qū)域。另一方面,眾所周知,微控制器單元可以在沒(méi)有任何操作系統(tǒng)支持的情況下運(yùn)行其“裸機(jī)”。在這里,所需的通信渠道由產(chǎn)品開(kāi)發(fā)人員提供便利,因此不會(huì)為安全漏洞打開(kāi)任何端口。

  依賴性

  必須在企業(yè)物聯(lián)網(wǎng)安全實(shí)踐清單中納入一個(gè)嚴(yán)格的系統(tǒng),以不斷更新庫(kù)和外部依賴項(xiàng)。多個(gè)協(xié)議和加密會(huì)定期升級(jí),這意味著企業(yè)必須處于領(lǐng)先地位以保護(hù)物聯(lián)網(wǎng)設(shè)備。隨著依賴性的提高,維護(hù)水平也隨之提高。

  應(yīng)用程序

  隨著系統(tǒng)運(yùn)行多個(gè)應(yīng)用程序,針對(duì)網(wǎng)絡(luò)攻擊的漏洞和錯(cuò)誤也會(huì)增加。因此,物聯(lián)網(wǎng)設(shè)備中的應(yīng)用程序應(yīng)該能夠通過(guò)運(yùn)行審計(jì)來(lái)自動(dòng)消除此類威脅。

  通訊

  為了確保機(jī)密性、安全性、完整性和真實(shí)性,必須進(jìn)行適當(dāng)?shù)募用?。如果云?jì)算和物聯(lián)網(wǎng)設(shè)備之間的通信沒(méi)有加密,企業(yè)的寶貴數(shù)據(jù)和信息可能會(huì)受到損害。

  云計(jì)算

  企業(yè)的服務(wù)器系統(tǒng)需要持續(xù)監(jiān)控和檢查以消除物聯(lián)網(wǎng)安全挑戰(zhàn)。強(qiáng)烈建議為其服務(wù)提供商、依賴項(xiàng)和操作系統(tǒng)訂閱郵件列表和警報(bào)。通過(guò)持續(xù)監(jiān)控和最小化網(wǎng)絡(luò)、應(yīng)用程序和依賴表面積,可以降低風(fēng)險(xiǎn)。

  用戶訪問(wèn)和安全

  威脅通常不容易識(shí)別,即使它們?cè)谄髽I(yè)內(nèi)部。為了解決這個(gè)問(wèn)題,必須在團(tuán)隊(duì)內(nèi)建立一個(gè)強(qiáng)大而積極的安全和意識(shí)圈。此外,強(qiáng)密碼、雙因素身份驗(yàn)證和加密等簡(jiǎn)單而有效的做法可以幫助避免用戶受到損害。

  物聯(lián)網(wǎng)安全實(shí)踐清單概述

  企業(yè)應(yīng)主動(dòng)意識(shí)到物聯(lián)網(wǎng)設(shè)備可能帶來(lái)的風(fēng)險(xiǎn),了解他們保護(hù)的系統(tǒng)規(guī)模,針對(duì)物聯(lián)網(wǎng)挑戰(zhàn)對(duì)團(tuán)隊(duì)進(jìn)行安全教育;并在維護(hù)設(shè)備安全性和牢記員工生產(chǎn)力之間取得平衡。企業(yè)物聯(lián)網(wǎng)安全實(shí)踐清單為保護(hù)任何規(guī)模組織中的物聯(lián)網(wǎng)設(shè)備提供了重要的參考。

  物聯(lián)網(wǎng)安全措施

  所有系統(tǒng)都需要維護(hù)以保持領(lǐng)先于不斷變化的安全風(fēng)險(xiǎn)。以下是企業(yè)需要采取的一些措施來(lái)加強(qiáng)物聯(lián)網(wǎng)安全性

  漏洞評(píng)估和滲透測(cè)試

  企業(yè)可以通過(guò)使用物聯(lián)網(wǎng)安全測(cè)試工具定期測(cè)試他們的系統(tǒng)來(lái)保持領(lǐng)先于先進(jìn)的黑客技術(shù),從而在他們開(kāi)發(fā)時(shí)修復(fù)漏洞和錯(cuò)誤,從而保持領(lǐng)先地位。

    固件應(yīng)用程序?qū)彶?/strong>

  專家需要在固件開(kāi)發(fā)過(guò)程中清理應(yīng)用程序錯(cuò)誤,以防止客戶級(jí)別的應(yīng)用程序缺陷和錯(cuò)誤。

  安全更新和修補(bǔ)機(jī)制

  安全更新和協(xié)議會(huì)不時(shí)更新。為了保護(hù)企業(yè)物聯(lián)網(wǎng),所有設(shè)備都應(yīng)該可以訪問(wèn)快速固件部署。

Hacking, Data Theft, Online Fraud, Cyber Crime, Hacker