安全加固物聯網設備的十條“軍規”與武器
譯文【51CTO.com快譯】物聯網就像一把雙刃劍,它既能夠給我們帶來擁有智能鎖的智能家居、以及可自動煮早茶的Wi-Fi水壺,又在價格上不菲的同時,給我們的各種實用場景帶來潛在的安全隱患。
黑客們可以通過物聯網所連接的設備輕松地進入您的網絡。據說,在北美一家賭場里,攻擊者就曾通過一個用于監控魚缸溫度的智能溫度計上的低風險漏洞,攻破了其所在的物聯網,并訪問到了賭場客戶的高端數據庫。
如果您覺得上述案例只是個別現象的話,那么下面發生在大公司物聯網產品上的安全事件,就代表著一定的普遍性:
- Amazon的Alexa和Google的Home智能助手都曾存在著安全性漏洞,某些網絡釣魚程序可以輕松地竊聽用戶的信息(請參見:https://www.washingtonpost.com/technology/2019/05/06/alexa-has-been-eavesdropping-you-this-whole-time/)。
- Samsung智能冰箱上的顯示屏被設計為與用戶的Gmail日歷相集成,但是由于無法驗證SSL/TLS證書,因此黑客可以潛入同一網段,并竊取登錄憑據。
- 2019年2月,Apple在其FaceTime應用中發現了一個嚴重漏洞,攻擊者可以在接受或拒絕來電之前,訪問目標用戶的iPhone攝像頭和麥克風(請參見:https://www.macworld.co.uk/news/iphone/facetime-bug-hack-3691275/)。
- 在2018年的黑帽子大會上,兩位安全研究人員演示了如何遠程控制植入到人體內的微型醫療器械,來禁用胰島素泵,并控制起搏器的設備系統。
此外,Mirai也是一種以物聯網為中心的惡意軟件,它以較弱的憑據去感染目標設備,然后將其轉變為能夠實施遠程控制的僵尸網絡(zombies或bots)。盡管Mirai的原始創建者已被發現,其源代碼也被公布,但是它已經具有了多個變種。它們會專門發起各種DDoS攻擊,其中包括:Rutgers University攻擊,以及針對Dyn(針對Netflix和Twitter等提供域名服務的公司)的攻擊。
最大的物聯網安全風險是什么?
可見,我們需要通過安全措施來保護物聯網設備,限制其對我們生活的窺探。由開放Web應用安全項目(Open Web Application Security Project,OWASP)基金會創建的針對Web應用安全、以及移動安全等方面的風險意識表,就值得各類組織與個人予以借鑒和采用。下表列出了2014和2018年OWASP在智能設備中發現的十大物聯網漏洞:
(請參見:https://owasp.org/www-project-internet-of-things/)
從上述OWASP 2018版的十大物聯網漏洞列表中,我們可以看出:不安全的生態系統(包括Web接口、云接口等),數據安全性,以及物理安全性等問題,都是早在2014年以前就已經上榜,而且一直保持在該列表之中的。這些有助于我們對物聯網設備的安全性發展方向和速度,有一個清晰的認識。與此同時,這些也提出了有關物聯網安全解決方案的效力和采用率等相關問題。
安全加固物聯網設備的十條“軍規”
由于物聯網已成為了我們日常生活中不可或缺的一部分,因此我們必須合理地加固各種連接設備、數據和網絡。在此,我們將和您討論十種常規且能夠盡快“落地”的十種方法。
1. 了解您的網絡及其所連接的設備
首先,您必須明白,一旦您的設備連接到了互聯網上,那么整個網絡就被暴露到了各種潛在的攻擊面前。因此如果設備本身的安全性不足,那么攻擊者就很容易得逞。隨著越來越多的設備都配備了可訪問的Web界面,我們很容易及時地發現在網絡中,有哪些相鄰的設備“掉線”了。為了保障安全,您需要通過分析,順藤摸瓜地了解自己的物聯網絡、網絡上的設備、以及它們容易泄露的信息類型。而且特別值得注意的是設備上的應用程序是否具有社交共享等屬性。網絡攻擊性會使用諸如位置信息、用戶個人詳細信息等元素,來跟蹤甚至竊取他們感興趣的其他內容,進而造成安全攻擊事故。
2. 評估在線的物聯網設備
我們需要持續對連接在自己物聯網中的設備進行態勢評估,及時從制造廠商的網站上安裝與設備相對應的安全補丁與更新,檢索具有更強安全功能的新型號設備予以更換。當然,在采購和添置之前,您應當盡量通過各種渠道,了解如下方面的信息:
- 其對應的產品是否能夠及時披露或報告各種安全漏洞?
- 在向潛在客戶推銷其產品的同時,是否提及且滿足網絡安全的各項需求?
- 它是如何在自己的智能解決方案中實施安全控制的?
3. 用強密碼來保護您的設備和帳戶
請棄用默認密碼或普通密碼(例如“admin”或“password123”),改用不易被猜測且獨特的強密碼,來保護您的所有帳戶和設備。當然,如果需要,您也可以使用密碼管理器來跟蹤并管理所有的密碼。同時,我們還應確保自己、以及團隊其他成員不在多個設備的帳戶中使用相同的密碼,并能夠定期對它們進行變更。此外,除了密碼的固定過期周期之外,也請您設置好錯誤密碼嘗試輸入的次數限制,并實施適當的帳戶鎖定策略。
4. 為智能設備提供單獨的網絡
如有可能,請將您的智能設備與家庭或企業的現有網絡分離開來,這也是物聯網安全性最具戰略意義的方法之一。有了這種網絡分離的方式,即便攻擊者找到了進入智能設備的途徑,他們也無法訪問到您的業務數據,或是嗅探到您通過個人電腦的銀行轉帳記錄。
5. 重新配置設備上的默認設置
通常,各種智能設備在出廠時都會帶有一些基本的,但并不安全的默認設置。更糟的是,有時您都無法修改設備上的這些設置。因此,您需要在設備選型和設備配置階段,通過全面評估來重新配置默認的信任憑據,易受攻擊的功能和賬號權限,以及開放的端口等。
6. 啟用防火墻和其他主流物聯網安全解決方案以識別漏洞
您需要安裝防火墻以阻止未經授權的網絡流量,運行入侵檢測系統和入侵防御系統(IDS/IPS)來監視和分析現有的網絡流量。您還可以使用自動漏洞掃描程序,來發現網絡基礎架構中的安全漏洞;以及使用端口掃描程序,來識別已開啟的端口,并檢查正在運行的網絡服務是否存在著已知漏洞。
7. 使用強加密來避免不安全的網絡連接
如果您需要遠程檢查智能化設備,那么請切勿使用公共Wi-Fi網絡、或未采用可靠加密協議的網絡。不過,如果您必須使用公共Wi-Fi的話,請驗證它是否啟用了WPA2,而不是那些諸如WEP或WPA等過時的標準。顯然,不安全的互聯網連接會使您的數據和設備輕易地受到攻擊。當然,如今業界已發現WPA2本身也可能受到key重裝攻擊(KRACK,請參見:https://www.blackhat.com/docs/eu-17/materials/eu-17-Vanhoef-Key-Reinstallation-Attacks-Breaking-The-WPA2-Protocol-wp.pdf),而就算是WPA3也容易受到Dragonblood的攻擊。
8. 在不使用設備及其功能時應斷開其連接
請檢查物聯網設備上應用程序的運行權限,并閱讀它們的隱私權政策,以獲悉它們將如何使用您提供共享的信息。如果并不需要,請禁用設備上的遠程訪問、或語音控制等功能,而且在此類設備的非使用的時段,將它們與連接的網絡完全斷開。
9. 關閉通用即插即用(Universal Plug and Play,UPnP)
通用即插即用的主要功能是:在無需配置的情況下,無縫地連接到網絡設備上。不過,由于UPnP協議存在著漏洞,攻擊者可以很容易地從外部滲透到您的網絡中,并發現各種已連接的設備。由于UPnP在多臺路由器上是默認開啟的,因此除非您一定需要,否則請及時檢查設置并禁用之。
10. 通過實施物理安全來保護設備
盡量不要丟失那些已經裝有管控物聯網設備應用的手機。除了在設備上實施PIN/密碼/生物識別保護外,也請您安裝具有遠程擦除功能的手機APP。同時,請設置好自動或有選擇性的備份策略,以轉存任何重要的數據。
此外,您也應當限制智能設備的可訪問性。例如,是否應該關閉冰箱的USB端口?限制某個端口允許并發訪問的最大連數,以及在可行的情況下考慮禁用Web訪問(即僅開放本地訪問的方式)。
物聯網安全分析工具
除了前面討論的物聯網安全加固方法之外,您還可以使用各種工具來更好地監視和控制物聯網絡。例如,Wireshark和tcpdump(命令行實用程序)是兩個開源的工具,它們可用于監視與分析網絡流量。其中,Wireshark帶有GUI,除了具有各種排序和過濾的功能項,它還提供友好的用戶界面。
此外,Shodan、Censys、Thingful和ZoomEye也都是可用于搜索和管理物聯網設備的工具。其中,ZoomEye非常適合于新用戶,他們通過單擊過濾器,便可自動生成相應的搜索查詢結果。
最后,值得一提的是ByteSweep。它是設備制造商提供的一種免費安全分析平臺,可讓測試人員在產品出廠之前,對目前設備的安全態勢進行全面檢查。
原文標題:10 IoT Security Tips You Can Use to Secure Your IoT Devices,作者:Lumena Mukherjee
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
