物聯網是設備通過互聯網的連接。就像社交網絡或電子郵件服務一樣，物聯網實際上并沒有連接人，而是連接了智能設備，這些智能設備包括但不限于您的計算機，智能手機，智能家電，自動化工具等。

但是，與現有的所有類型的技術類似，物聯網也是一把雙刃劍。 它有它的優點，但是伴隨著這項技術存在著嚴重的威脅。由于制造商相互競爭以將最新設備推向市場，因此很少有人考慮與其物聯網設備相關的安全性問題。

常見的物聯網安全威脅

物聯網目前面臨的最大安全威脅和挑戰是什么?此問題是各種最終用戶最常詢問的問題之一。基本上，在我們日常使用的物聯網設備中，存在著許多物聯網安全威脅，這使得這個技術世界更加脆弱。

為了讓我們的物聯網系統遠離安全漏洞，我們必須識別最常見的物聯網安全威脅 并解決威脅和挑戰。在這里，我們確定一個最常見的物聯網安全威脅列表，這將有助于我們采取適當的保障措施。

1. 缺乏更新

目前，全球約有230億個IoT設備。Statista報告稱，到2020年，這一數字將增至近300億。物聯網連接設備數量的巨大增長并非沒有任何后果。

2015年至2025年全球物聯網(IoT)連接設備的安裝數量(十億)

所有生產這些設備的公司所面臨的最大問題是，在處理與設備相關的安全問題和風險方面，他們很粗心。這些連接的設備大多數都無法獲得足夠的安全更新。有些根本無法更新。

曾經被認為是安全的設備隨著技術的發展而變得完全脆弱和不安全，使它們易于受到網絡罪犯和黑客的攻擊。

制造商每天都在相互競爭并發布設備，而沒有過多地考慮安全風險和問題。

大多數制造商確實提供了“空中傳送”(OTA)固件更新，但一旦他們開始使用新設備，這些更新就會停止，使他們的前一代設備面臨攻擊。

如果這些公司不能定期為他們的設備提供安全更新，那么他們的客戶群將面臨潛在的網絡攻擊和數據泄露。

2. 受感染的物聯網設備發送垃圾郵件

技術的發展為我們帶來了許多智能設備，包括但不限于智能設備，智能家居系統等。這些設備使用與其他IoT連接設備類似的計算能力，并且可以用于各種活動。

受到感染的設備可以變成電子郵件服務器。根據互聯網安全公司Proofpoint的一份報告，一臺智能冰箱被用來發送數千封垃圾郵件，而其所有者卻沒有任何線索。這些智能設備中的大多數都可以轉變為電子郵件服務器，以發送大量垃圾電子郵件。

3. 被納入僵尸網絡的物聯網設備

類似于被劫持并變成大量垃圾郵件的電子郵件服務器的設備，智能物聯網設備也可用作僵尸網絡，以進行DDoS(分布式拒絕服務)攻擊。

過去，黑客曾使用嬰兒監視器，網絡攝像頭，流媒體盒，打印機甚至智能手表來進行大規模DDoS攻擊。制造商需要了解與物聯網連接設備相關的風險，并采取所有必要步驟來保護其設備。

4. 不安全通信

許多IoT設備在通過網絡發送消息時不會對消息進行加密。這是目前最大的物聯網安全挑戰之一。公司需要確保設備和云服務之間的通信是安全和加密的。

確保安全通信的最佳實踐是使用傳輸加密并使用TLS等標準。通過使用不同的網絡隔離設備還有助于創建安全的私有通信，從而使傳輸的數據保持安全和機密。大多數應用和服務已開始加密其消息，以確保其用戶信息的安全。

5. 使用默認密碼

大多數公司在出廠時均使用默認密碼，甚至不告訴客戶對其進行更改。這是最大的物聯網安全威脅之一，因為默認密碼是常識，犯罪分子可以輕松地獲取密碼進行暴力破解。

憑據薄弱幾乎使所有與IoT連接的設備容易遭受暴力破解和密碼黑客攻擊。在其IoT設備上使用不安全憑據的公司正在使其客戶和企業面臨遭受直接攻擊和被蠻力嘗試感染的風險。

6. 遠程訪問

WikiLeaks發布的文件提到，美國中央情報局(CIA)一直在入侵物聯網設備，并在所有者不知情的情況下打開攝像頭/麥克風。攻擊者可能在您不知情的情況下進入您的設備并竊取各種信息。

他們的文件指出，Android和iOS等最新軟件存在大量漏洞，這意味著犯罪分子也可以利用這些漏洞實施令人發指的犯罪。

7. 個人信息泄漏

經驗豐富的網絡犯罪分子可以通過不安全的IoT設備找出互聯網協議(IP)地址，這些地址可用于查明用戶的位置及其實際居住地址。

這就是為什么許多互聯網安全專家建議通過虛擬專用網絡(VPN)保護您的IoT連接的原因。在路由器上安裝VPN將加密通過ISP的所有流量。VPN可以使您的Internet協議地址私有，并保護整個家庭網絡。

8. 家庭入侵

如前所述，不安全的IoT設備可能會泄漏您的IP地址，該IP地址可用于查明您的居住地址。

黑客可以將這些信息出售給犯罪組織經營的地下網站。 此外，如果您使用的是物聯網連接的智能家居安全系統，那么這些也可能受到損害。這就是為什么您需要通過IoT安全性和使用VPN保護連接的設備的原因。

9. 遠程車輛訪問

當我們都渴望駕駛智能汽車時，這些與物聯網相連的汽車也存在著很高的風險。

熟練的黑客可能會訪問您的智能汽車，并通過遠程訪問劫持它。 這是一個令人恐懼的想法，因為其他人控制您的汽車會使您容易遭受更大傷害。

幸運的是，智能汽車制造商正在密切關注這些“物聯網安全”威脅，并努力保護其設備免受任何形式的破壞。

10. 勒索軟件

勒索軟件已經在PC和公司網絡上使用了很長時間。 犯罪分子會加密您的整個系統，并威脅要刪除您的所有數據，除非您支付贖金。

攻擊者開始鎖定不同的智能設備并要求贖金進行解鎖只是時間問題。研究人員已經找到了一種在智能恒溫器上安裝勒索軟件的方法，這非常令人震驚，因為犯罪分子可以升高或降低溫度，直到勒索贖金得到支付為止。更加可怕的是，攻擊者獲得了對家庭安全系統或智能設備的控制。

11. 數據盜竊

黑客總是緊追數據，這些數據包括但不限于客戶名稱，客戶地址，信用卡號，財務詳細信息等等。 即使公司擁有嚴格的IoT安全性，網絡犯罪分子也可以利用不同的攻擊媒介。

例如，一個易受攻擊的物聯網設備足以破壞整個網絡并獲得對敏感信息的訪問。 如果將此類設備連接到公司網絡，則黑客可以訪問該網絡并提取所有有價值的數據。 然后，黑客濫用這些數據，或將其大量出售給其他罪犯。

12. 損害醫療器械

美國電視連續劇曾播出過一次襲擊事件，罪犯以植入的醫療設備為目標刺殺一個人。

雖然這種攻擊不是在現實生活中進行的。但這種威脅仍然使美國前副總統迪克·切尼(Dick Cheney)移除了植入的除顫器的無線功能，以避免出現這種情況。隨著越來越多的醫療設備連接到物聯網，這些類型的攻擊隨時有可能發生。

13. 更多的設備，更多的威脅

這是物聯網設備大幅增長的不利方面。在過去的十年中，防火墻背后的設備數量已大大增加。過去，我們只需要擔心保護個人計算機不受外部攻擊。

現在，在這個時代，我們有很多不同的物聯網設備需要擔心。從我們的日常智能手機到智能家電等等。由于有太多可以被黑客入侵的設備，黑客將始終在尋找最薄弱的鏈接并將其破壞。

14. 小型物聯網攻擊

我們兩年前就聽說過Mirai僵尸網絡。在Mirai之前，有一種比Mirai更危險的Reaper，Reaper比Mirai危險得多。大規模攻擊會造成更大的破壞，但我們也應該警惕經常未被發現的小規模攻擊。

小規模的攻擊通常會逃避檢測并從漏洞中逃脫。黑客將試圖利用這些微攻擊來執行他們的計劃，而不是大手筆。

15. 自動化與人工智能

AI工具已經在世界范圍內使用。有一些人工智能工具幫助制造汽車，而另一些工具則在篩選大量數據。然而，使用自動化有一個缺點，因為只需要代碼中的一個錯誤或錯誤的算法就可以搞垮整個AI網絡以及它控制的整個基礎設施。

AI和自動化只是一種代碼。如果有人能夠訪問這些代碼，他們就可以控制自動化并執行他們想要的任何事情。因此，我們必須確保我們的工具在此類攻擊和威脅面前保持安全。

16. 人為因素

由于設備數量的增加，與IoT交互的人員數量也會增加。并非每個人都在關注網絡安全。有些甚至對數字攻擊一無所知。

在保護其物聯網設備時，此類人員通常具有最低的安全標準。如果這些人及其不安全的設備連接到組織或公司網絡，則它們可能會給組織或公司網絡帶來厄運。

17. 知識不足

這也是可以通過正確共享知識輕松解決的另一種威脅。人們要么對物聯網了解不多，要么不在乎。缺乏知識通常可能是對公司或個人網絡造成巨大破壞的原因。

應該優先考慮提供有關物聯網，連接的設備以及對每個人的威脅的所有基本知識。 具有有關物聯網及其安全威脅的影響的基本知識可能是擁有安全網絡和數據泄露之間的區別。

18. 缺乏時間與金錢

大多數人或組織不會在安全的物聯網基礎設施上進行投資，因為他們覺得這太耗時或太昂貴。這種情況必須改變。否則，公司將因襲擊而面臨巨大的財務損失。

數據是任何公司都可以擁有的最有價值的資產。數據泄露意味著巨大損失。投資安全的IoT設置不會像大規模的數據泄露那樣昂貴。

19. 機器網絡釣魚

機器網絡釣魚將成為未來幾年的一個重要問題。黑客將滲透物聯網設備和網絡，發送假信號，這將導致所有者采取行動，可能會損害運營網絡。

例如，物聯網安全威脅處理程序可能會發出一個虛假的制造工廠報告，它正在處理一半的產能。而它實際正在處理100%，工廠運營商將試圖進一步增加可能對工廠造成破壞的負荷。

20. 較弱的身份驗證協議

隨著這么多物聯網設備充斥市場，制造商忽略了一個事實，即每個設備都需要一個適當和強大的認證協議。這種糟糕的授權機制常常導致向用戶提供比預期更高的訪問權限。

大多數設備缺乏密碼復雜度、缺省憑證、缺少加密、沒有雙因素認證和不安全的密碼恢復。這些安全漏洞很容易導致黑客輕松訪問設備和網絡。

21. 隱私問題

大多數設備收集各種類型的數據，其中包括敏感信息。當設備開始收集個人信息時，如果沒有針對該數據的任何適當保護方法，則會引起隱私問題。

如今，幾乎所有智能手機應用程序都需要在iOS和Android上具有某種類型的權限和數據收集。 您需要查看這些權限，并查看這些應用程序正在收集什么樣的數據。 如果收集的數據屬于個人和敏感性質，那么最好放棄該應用程序。

22. 物理安全性差

現在，到目前為止，我們一直在談論數字安全性，但這并不是對IoT設備的唯一威脅。 如果物理安全性較差，則黑客無需進行大量工作即可輕松訪問設備。

物理弱點是黑客可以很容易地拆卸設備并訪問其存儲。比如設備有暴露的USB端口或其他類型的端口，可能導致黑客訪問設備的存儲介質并破壞設備上的任何數據。

23. RFID竊取

這是一種掠奪的形式，黑客從借記卡，信用卡，ID卡/護照和其他文件上使用的RFID芯片中攔截無線信息和數據。

掠奪此數據的目的是竊取用于高級身份盜用的個人信息。 黑客使用NFC支持的設備來記錄RFID芯片中所有未加密的數據，然后通過無線信號進行廣播。

24. 中間人攻擊(Man-in-the-Middle Attacks)

這是一種攻擊，黑客通過不安全的IoT設備或網絡中的漏洞攔截了兩方之間的通信，然后他們在雙方認為彼此通信的同時更改了消息。 這些攻擊對于相關方而言可能是災難性的，因為在通信過程中其所有敏感信息都處于危險之中。

25. 污水坑計劃(Sinkhole Schemes)

黑客可以輕松地從無線傳感器網絡(WSN)節點吸引所有流量，以建立一個漏洞。 這種類型的攻擊會產生隱喻性的漏洞，損害數據的機密性，并拒絕向網絡提供任何服務。這是通過丟棄所有數據包而不是將它們發送到目的地來完成的。

總結

隨著時間的推移，物聯網規模變得越來越大。伴隨而來的安全威脅也將越來越大。與物聯網產業相關的制造商和其他人必須認真對待安全問題和威脅。

知識是抵御這種威脅的第一道防線。所以，你需要讓自己跟上物聯網安全威脅及其對策的速度。