物聯網零散的安全記錄長期以來一直是安全界的討論話題，但2016年10月的Mirai惡意軟件攻擊事件引起了世界各國的關注。

這是對物聯網第一次成功的大規模安全攻擊，利用惡意軟件將易受攻擊的物聯網設備變成僵尸網絡大軍，通過多種大規模DDoS攻擊摧毀Netflix、Twitter和Reddit等知名網站。

Mirai并不是一個復雜的惡意軟件，它只是在物聯網設備上掃描網絡上的Telnet開放端口，然后嘗試總共61個默認密碼，試圖獲得盡可能多的設備控制權。

這是一個令人擔憂的成功策略，有近40萬臺設備在巔峰時刻連接在一起，足以造成大規模破壞。更重要的是，它提出了一個嚴重問題，即便是粗糙惡意軟件也可以輕松通過薄弱的物聯網安全實踐。

[[242451]]

過去的錯誤

MiRAI惡意軟件攻擊聽起來像是糟糕的情況，但不幸的是，有相當多的物聯網設備( Gartner預測，2017年有84億臺連網設備，到2020年將增至204億臺 ) 極易受到這種攻擊。

近年來，許多制造商和供應商急于利用物聯網市場的快速增長機會，并沒有采取強有力的安全措施，以便盡快將產品推向市場。

因此，如今許多設備都有默認密碼和憑據，使用不安全的配置，并且眾所周知的難以升級。總之，他們很容易被攻擊。

新低級協議黑客(如KRACK )的出現，也讓潛在攻擊者更容易繞過和破壞物聯網基礎設施，并注入惡意代碼，或操縱易受攻擊設備中的數據。

這樣做可能會產生嚴重影響。例如，如果設備需要與云應用程序同步，惡意代碼或操縱的數據可能被用來感染云或發回不正確的設置或操作，從而帶來潛在的破壞性后果。

幸運的是，物聯網制造商和供應商正慢慢意識到設備和基礎設施保護不足所帶來的安全風險。

但是，由于已經有那么多保護不良的設備(并且還在生產中)存在，在進行任何實施之前，從各種不同角度對安全進行全面評估仍然是絕對必要的。

物聯網安全的三個關鍵領域

至少應徹底檢查以下三個方面：

• 軟件：在安裝任何新設備之前，務必確保制造商從一開始就遵守嚴格的軟件安全措施，而不是事后才采取的措施。其核心是能夠遠程修補設備，為抵御網絡威脅和軟件進步提供急需的未來防護。
• 硬件：物理安全是評估新物聯網設備的另一個關鍵領域。包括物理開關這樣簡單的東西，允許用戶在需要時關閉某些功能(例如，具有麥克風功能的設備靜音按鈕)。在組件中集成防篡改措施也大大減少了未經許可訪問它們的機會。
• 網絡：對于物聯網設備與后端管理或存儲解決方案之間的任何數據交換，應始終使用HTTPS等安全協議。強身份驗證方法也很重要，應提示用戶在首次使用時立即將任何默認憑據更改為強大的字母數字替代方法。

與許多新技術一樣，制造商和供應商在過去幾年物聯網熱潮中很容易忘記了安全的重要性。 然而，現在蜜月期已經結束，而像Mirai這樣危險新型惡意軟件構成的威脅變得更加普遍，每個人都需要開始認真對待。

上述基本安全原則將有助于抵御外部威脅。幸運的是，業界已經開始意識到這一點，但在更好的安全措施變得更加普遍之前，對新的物聯網實施采取謹慎態度仍然是必不可少的。