文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何减轻真实存在的物联网安全风险?

2024-12-02 02:55

关注

对于Colonial输油管道的网络攻击事件对美国几个州的商业活动造成了严重的影响,许多加油站连续几天没有燃料供应。这是网络诈骗的一次成功攻击,网络攻击者通过劫持管理输油管道的计算机设备以索取赎金。无论是犯罪组织、敌对国家还是怀有恶意的个人,对于物联网设备来说都是一种迫在眉睫的威胁。随着越来越多的设备连接互联网,这种网络威胁只会在未来变得更加普遍。

事实上,任何连接到互联网的设备都容易受到黑客攻击和滥用。在物联网时代,这意味着恶意行为者可能会利用数十亿台物联网设备存在的漏洞来访问机密数据、传播恶意软件或勒索软件、将物联网设备转化为僵尸网络、关闭公用事业公司或其他行业的基础设施,甚至导致人身伤害。

人们需要了解的是,网络威胁手段在不断发展,安全防御策略和措施也需要跟上它们的步伐。为了保护组织资产和最终用户,企业尤其应该做到以下几点:

检查物联网应用程序的安全性以防止潜在的黑客攻击

(1)从弱身份验证开始

也许网络安全中最常见的问题(也是最容易通过常识缓解的问题)是人类普遍存在的懒惰倾向:很多人使用过于简单的密码,比如“123”、“ABC”或相对容易猜测或通过暴力破解得出的字母、数字或字符。从本质上说,密码是抵御网络攻击者的第一道防线。如果设置的密码不够强,使用的设备和网络就不安全。更令人担忧的是,在某些情况下,密码甚至可以公开访问或存储在应用程序的源代码中。因此,适当的“网络安全条例”的首要规则是必须拥有强密码,即使遭到暴力破解也不会轻易地猜测到。

(2)在数据传输过程中缺乏加密可能代价高昂

除了以上几点之外,物联网网络安全的另一个重大威胁是缺乏用于物联网设备之间定期传输的加密。许多不一定存储敏感数据的物联网设备(例如恒温器)不会对它们发送到其他设备的数据进行加密。然而,如果网络攻击者设法攻击或破坏网络,他们仍然可以拦截到传输到该设备或从该设备传输的凭据和其他重要信息。

(3)低处理能力阻碍及时的安全更新

许多物联网应用程序的设计方式使其能够经济地使用数据,从而降低成本并延长电池寿命。但是这使得向这些设备发送无线(OTA)更新进行安全设置变得困难。这使这些设备更容易受到黑客攻击。

其他常见问题包括最初不是为云计算连接设计的传统资产、使用同一网络与具有不同安全设置的多种设备共享网络访问、由于缺乏通用标准以及缺少固件更新而导致的不一致安全标准等。

对过去安全漏洞的分析可以提供宝贵的见解

虽然随着技术不断发展,每年都会出现无数的攻击媒介和零日漏洞,但分析过去的安全漏洞可以帮助预测恶意行为者的行为和动机。例如,以上提到的对Colonial输油管道的网络攻击就是勒索攻击行为。(瀚云科技) 同样,2016年Mirai僵尸网络案例也是臭名昭著,这是因为这个恶意软件设法将145607台监控摄像头和IP摄像头纳入到僵尸网络中,以造成严重破坏。这个僵尸网络是由一名黑客创建的,由不安全的物联网设备聚合而成。在多次网络攻击中,僵尸网络首先使Minecraft服务器崩溃,随后迅速对法国网络托管服务OVH公司以及Netflix、Twitter、Reddit、卫报和CNN的网站发起攻击。更令人担忧的是,该恶意软件的代码仍然在互联网上传播,而且Mirai的继任者继续进行网络攻击,例如劫持加密货币挖矿业务。 更令人担忧的是,美国食品和药物管理局(FDA)于2017年宣布,制造商St.Jude Medical的46.5万多个植入式心脏起搏器设备容易受到黑客攻击。虽然并没有遭遇到黑客攻击的新闻报道,而且St.Jude Medica公司也迅速修补了设备的安全漏洞,但这是一个令人不安的发现,可能具有致命的影响。如果黑客来控制这些心脏起搏器,他们可能会通过耗尽电池或改变心率让患者面临致命的风险。

熟悉保护应用程序的策略和解决方案

那么企业可以做些什么来保证他们的物联网设备的安全呢?企业应该从以前的网络攻击事件中吸取教训,从一开始就将保护其应用程序的解决方案纳入新设备的设计和使用协议中。

一方面,企业应该充分利用物理安全措施(例如围栏、门、百叶窗)来确保他们的设备安全。另一个特定于蜂窝物联网设备的问题是许多关键信息存储在SIM卡上。一般来说,SIM卡是可移动的,这使得这些数据更容易受到攻击。然而使用eSIM是更好的选择,因为eSIM直接焊接到电路板上,因此很难进行物理访问。


来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯