哈爾濱中軟分享：物聯網設備所面臨的風險與挑戰

物聯網是一種包含網路感測器的設備，可以進行遠程監測和控制。到2025年，物聯網設備的安裝數量預計將達到750億台。這些設備包括家用路由器、遠程攝像頭、醫療設備等等。物聯網市場涵蓋的領域非常廣泛，包括工業、銀行業、零售業、製造業以及醫療保健等行業。2018年以來，隨著總體網路安全趨勢的暴露，全球範圍內大量正在使用中的物聯網設備如今已淪落為網路犯罪分子的樂園。隨著越來越多物聯網設備被引入市場，物聯網所面臨的風險也在愈發增多，且威脅樣式也在發生轉變。

威脅之源

物聯網設備是多式多樣的，一些看似並不複雜的設備——比如IP攝像頭，或是連接外部網路的硬碟驅動器，由於它們的用途較為單一，因此被設計成易於部署、少量配置且容易設置的形態，這類設備也被稱為「啞巴」設備。然而，漏洞往往就藏在這些簡單設計里，產品的易用性往往也意味著產品安全性上的薄弱。為了急於將產品推廣上市，物聯網設備製造商幾乎很少會顧及到產品的安全方面，這就導致了一些惡意軟體——比如Mirai、Shishiga、Hajime、Okiru和Torii等，在暗中蔓延橫行，爭先恐後般的想要引導對企業、政府、ISP、電信等機構的下一代設備的攻擊。上述的這些惡意軟體，其意圖都是接管物聯網設備、積累殭屍網路，進而用於拒絕服務攻擊(DDoS、垃圾郵件和各種其他毀滅性的網路病毒)。

就在不久之前，研究人員發現了一個新型的物聯網殭屍網路。它感染了累計超過10萬個家庭路由器，並通過向用戶發送Hotmail、Outlook和Yahoo垃圾郵件的方式影響受害者。而它所利用的漏洞，早在2013年就由DefenseCode的安全研究人員指出了，這個漏洞存在於Broadcom UPnP SDK模件中，而該模件已經嵌入了多個供應商的數千個路由器模型里。

美中經濟與安全審查委員會則指出了物聯網發展所面臨的另一個威脅：

增長的風險

物聯網設備的高速增長，一方面是科技進步的必然結果，另一方面卻為民眾埋下了嚴重的安全隱患，甚至可能會對電力、通信等行業的關鍵基礎設施造成災難性的後果。因此，政府促使物聯網製造商將安全機制嵌入到其設備的舉措就顯得愈發重要。

參議院特別情報委員會副主席、弗吉尼亞州參議員馬克·華納(Mark Warner)呼籲美國各機構對此採取舉措，而美國國會就是首批提出立法推進物聯網安全的代表之一，加利福尼亞州當前則通過立法，要求製造商擁有「合理的安全功能或特徵」。上個月，歐盟執法機構歐洲刑警組織和歐盟網路和信息安全局ENISA召開了物聯網安全會議，討論行業的當前核心問題——如何在為時已晚之前保護物聯網。

可以想到，許多製造商會爭辯說，要求物聯網設備的額外安全性必然會增加設備的成本。但只有當我們接受了安全性這個前提，才能防止對全國乃至全球產生影響的災難。

阻止物聯網入侵

立法是個好的長期解決方案，但它並不是立竿見影的解決辦法。下列幾種方法可以防止物聯網設備受到感染，同時也必須採取其他步驟，以防止這些設備對連接到網路的其他設備造成進一步損害。

密碼設置是開啟物聯網設備保護的最簡單容易的步驟，但常常被人們忽視。密碼的初始默認值通過查看在線文檔就可以知曉了。由於這些設備安裝起來很容易，用戶通常不會更改初始密碼，當其連接到互聯網時，就相當於為惡意行為者提供了一扇大門，讓他們能夠隨意進入、感染並利用設備。

而另一個漏洞利用機會對網路犯罪分子們來說就十分熟悉了——一旦在物聯網設備中發現漏洞，大多數在部署後不會更新。更麻煩的是，許多設備甚至無法更新。這意味著只要製造商還沒有提供方法來修改漏洞，被部署後設備就只能維持原樣，這也是惡意軟體能大行其道的原因之一。設備一旦遭到感染，阻止惡意軟體的唯一方法就是將設備更換。

如前所述，物聯網設備是用途單一或有限的設備，它們不需要擁有完全的網路訪問許可權就能完成工作。因此將設備部署到網路上時，應限制其他設備的訪問許可權，能防止感染的進一步蔓延。在理想情況下，物聯網設備應該只能訪問執行的基本內容，其他任何東西都應該被屏蔽。

最後，在企業網路上部署物聯網設備時，如果設備能夠訪問關鍵業務的應用程序，應當確保有方法能監控流量，並安裝相應的監控警報，提示惡意或異常活動的出現。例如，如果煙霧探測器開始與郵件伺服器通信，那麼你就會知道當中肯定出現了問題。網路流量分析正是清楚了解這種活動發生的途徑所在。

只有當眾人都認識到了內在的風險，並立法推動的情況下，物聯網製造商將不得不改進這些設備的安全性，否則在災難性事件發生時我們才不至於追悔莫及。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！