分析物联网设备七大攻击面及其应对方案针对物联网设备的安全问题,需要提高黑客攻击物联网设备的成本,降低物联网设备的安全风险。我们将从7个攻击面对设备进行安全评估分析,并给出应对措施。1.糟糕的web用户界面配置良好的web用户界面是吸引用户的重要因素之一。对于物联网应用程序而言,良好的web用户界面可以帮助用户实现各项控制功能,设置设备,以及更快、更轻松地将设备集成到系统中。但是麻烦的是,这些web用户界面经常也会为网络犯罪分子提供同样的易用性。大多数情况下,令人烦恼的物联网web界面问题与web应用程序的问题同样困扰着企业。虽然sql注入在物联网应用程序中并不是什么大问题,但命令注入、跨站点脚本以及跨站点请求伪造都是编程错误,能够导致犯罪分子随时访问设备和完整的系统,以控制、监视和访问真实世界的运营操作。幸运的是,大多数web用户界面安全问题的补救措施与多年来向web开发人员反复灌输的内容相同,包括:验证输入、要求强密码(并且不允许在第一阶段的初始设置后使用默认密码)、不公开凭据、限制密码重试尝试,以及确保密码和用户名恢复程序的可靠性等。正如sam在《卡萨布兰卡(casablanca)》中所吟唱的那般,;;随着时光流逝,还是那一套。威胁案例。在2014年的44con大会上,研究人员mikejordan就演示了如何利用佳能的pixma打印机的web界面修改打印机的固件从而运行doom游戏。2.缺乏身份验证为物联网应用程序验证用户身份是一件好事。当应用程序可以控制建筑物访问和进行环境控制,或者为可能监视建筑物使用者的音频和视频设备提供访问权限时,身份验证似乎是必备因素,但在某些情况下,即使是最基本的身份验证也在实施中被遗漏了。对于物联网应用程序来说,两种身份验证非常重要。首先第1页共5页是用户身份验证。考虑到许多物联网环境的复杂性,问题是每个设备是否需要身份验证,或者单个系统身份验证是否足以支持网络上的每个设备。易用性的考虑使大多数系统设计人员选择后者,所以对接入设备或控制中心的强身份验证显得至关重要。系统的单点登录也使得另一种类型的认证设备认证变得更为重要。由于用户没有在每个设备接口上进行身份验证,因此物联网网络中的设备应该要求它们之间进行身份验证,以便攻击者无法使用隐含的信任作为进入系统的凭证。与web界面安全性一样,关闭这个安全漏洞的前提是将物联网视为一个真正的应用程序网络。由于许多设备没有本机用户界面这取决于浏览器ui或用于人机交互的应用程序因此会出现如何实现的特殊问题,但任何设备缺乏身份验证,使得物联网周边的安全性变得更加脆弱。威胁案例。2018年5月,英国pentestpartners的安全研究人员发现,由于z-wave协议安全类的nodeinfo命令完全未加密且未经过身份验证,最终导致超过1亿个物联网设备容易受到黑客降级攻击,允许攻击者在未设置安全性的情况下截获或广播欺骗节点命令类。3.使用默认配置你知道iot设备自带的默认用户名和密码吗。这是每个人都可以通过谷歌搜索得到解答的问题。所以,对于那些不允许改变默认设置的设备和系统来说,这将会是一个真正的问题。默认用户凭证(比如说常用的用户名admin)是物联网安全设置问题上的一个巨大威胁信号,但这并不是唯一重要的设置,包括使用的端口、设置具有管理员权限的用户、记录(或不记录)日志和事件通知,这些网络参数都是应该关注的以安全为中心的设置,应该通过这些安全设置来满足各种部署需求。除了允许将安全设置与环境现有的安全基础设施更完全地结合起来之外,对默认设置的修改还能够减少iot的攻击面,并增加入侵者侵入系统的难度。但是,与本文中描述的许多其他安全问题一样,这一点不是用户能轻易改变的。但是,无法第2页共5页更改的默认值确实为安全基础架构的额外审查提供了另一个点,这些安全基础架构将覆盖在iot部署上。威胁案例。2014年,proofpoint的研究人员首次发现了涉及电视、冰箱等传统家电在内的大规模网络攻击,这也是首次出现针对家电产品的僵尸网络,并且也是物联网网络攻击的首例。据悉,黑客每天侵入超过10万台消费设备,包括家用路由器、多功能媒体中心、电视机以及冰箱,并将此作为僵尸网...
