物联网安全面临的挑战

物联网涉及将互联网连接添加到相互关联的计算设备，机械和数字机器，物体，动物或人的系统，并能够通过网络自动传输数据，如果设备没有得到适当的保护，允许设备连接到互联网会导致许多严重的漏洞。

物联网安全是涉及保护物联网（IoT）中连接设备和网络的技术领域。物联网涉及将互联网连接添加到相互关联的计算设备，机械和数字机器，物体，动物或人的系统。每个“ 东西 ”都提供一个唯一的标识符，并能够通过网络自动传输数据。如果设备没有得到适当的保护，允许设备连接到互联网会导致许多严重的漏洞。

物联网安全面临的挑战

许多挑战阻碍了物联网设备的安全并确保了物联网环境中的端到端安全性。由于网络设备和其他对象的想法相对较新，因此在产品设计阶段，安全性并不总是被视为首要任务。此外，由于物联网是一个新兴市场，许多产品设计师和制造商更有兴趣将他们的产品快速推向市场，而不是从一开始就采取必要措施来建立安全性。

物联网安全性引发的一个主要问题是使用硬编码或默认密码，这可能导致安全漏洞。即使密码被更改，它们通常也不够强大以防止渗透。

物联网设备面临的另一个常见问题是它们通常受资源限制，并且不包含实现强安全性所需的计算资源。因此，许多设备不能或不能提供高级安全功能。例如，监控湿度或温度的传感器无法处理高级加密或其他安全措施。此外，由于许多物联网设备都是“设置并忘记它” - 放置在现场或机器上并留到生命周期结束 - 它们几乎不会收到安全更新或补丁。从制造商的角度来看，从一开始就建立安全性可能代价高昂，开发速度变慢并导致设备无法正常运行。

连接非本质上为物联网连接设计的传统资产是另一项安全挑战。用连接技术取代传统基础设施成本过高，因此许多资产将使用智能传感器进行改造。但是，由于遗留资产可能尚未更新或曾经具有抵御现代威胁的安全性，因此攻击面扩大了。

在更新方面，许多系统仅包括对设定时间范围的支持。对于旧资产和新资产，如果未添加额外支持，安全性可能会失效。由于许多物联网设备在网络中停留多年，因此增加安全性可能具有挑战性。

物联网安全性也受到缺乏行业认可标准的困扰。虽然存在许多物联网安全框架，但没有单一的商定框架。大型公司和行业组织可能有自己的特定标准，而某些部门（如工业物联网）则拥有行业领导者的专有，不兼容的标准。这些标准的多样性使得它不仅难以保护系统，而且还确保它们之间的互操作性。

IT 和运营技术（OT）网络的融合给安全团队带来了许多挑战，特别是那些负责保护系统和确保其专业领域以外领域的端到端安全性的团队。涉及学习曲线，具有适当技能的 IT 团队应负责物联网安全。

组织必须学会将安全性视为一个共同的问题，从制造商到服务提供商再到最终用户。制造商和服务提供商应优先考虑其产品的安全性和隐私性，并且默认情况下还提供加密和授权。但是责任并没有就此结束; 最终用户必须确保采取自己的预防措施，包括更改密码，在可用时安装补丁以及使用安全软件。

值得注意的物联网安全漏洞和物联网黑客攻击

自从物联网概念起源于 20 世纪 90 年代后期以来，安全专家一直警告大量连接到互联网的不安全设备存在潜在风险。随后发生的一系列攻击成为头条新闻，其中包括冰箱和电视用于向黑客发送垃圾邮件，渗透婴儿监视器和与儿童交谈。值得注意的是，许多物联网黑客并不针对设备本身，而是使用物联网设备作为进入大型网络的入口点。

例如，在 2010 年，研究人员透露，Stuxnet 病毒被用于对伊朗离心机进行物理破坏，攻击始于 2006 年，但主要攻击发生在 2009 年。通常被认为是最早的物联网攻击案例之一，Stuxnet 针对的是监督控制和工业控制系统（ICS）中的数据采集​​（SCADA）系统，使用恶意软件感染可编程逻辑控制器（PLC）发送的指令。

对工业网络的攻击只是持续存在，CrashOverride / Industroyer，Triton 和 VPNFilter 等恶意软件针对易受攻击的 OT 和工业物联网系统。

2013 年 12 月，企业安全公司 Proofpoint Inc.的一位研究人员发现了第一个物联网僵尸网络。据该研究人员称，超过 25％的僵尸网络由计算机以外的设备组成，包括智能电视，婴儿监视器和家用电器。

2015 年，安全研究人员查理·米勒和克里斯·瓦拉塞克对吉普车进行了无线黑客攻击，更换了汽车媒体中心的无线电台，打开挡风玻璃刮水器和空调，并停止加速器工作。他们说他们也可以杀死发动机，刹车并完全停止刹车。Miller 和 Valasek 通过克莱斯勒的车载连接系统 Uconnect 渗透到了汽车的网络中。

Mirai 是迄今为止最大的物联网僵尸网络之一，于 2016 年 9 月首次攻击记者 Brian Krebs 的网站和法国网络主机 OVH; 攻击时钟分别为 630 千兆位每秒（Gbps）和 1.1 兆兆位每秒（Tbps）。接下来的一个月，域名系统（DNS）服务提供商 Dyn 的网络成为目标，使得许多网站，包括亚马逊，Netflix，Twitter 和纽约时报，几个小时都无法使用。这些攻击通过消费者物联网设备渗透到网络中，包括 IP 摄像头和路由器。

此后出现了许多 Mirai 变体，包括 Hajime，Hide'N Seek，Masuta，PureMasuta，Wicked 僵尸网络和 Okiru 等。

在 2017 年 1 月的通知中，美国食品和药物管理局（FDA）警告说，采用无线电频率的嵌入式系统的 St. Jude Medical 植入式心脏设备，包括心脏起搏器，除颤器和重新同步设备，可能容易受到安全入侵和攻击。

物联网安全工具和立法

存在许多物联网安全框架，但迄今为止还没有单一的行业认可标准。但是，简单地采用物联网安全框架可以提供帮助; 他们提供工具和清单，以帮助公司创建和部署物联网设备。这些框架已由 GSM 协会，物联网安全基金会，工业互联网联盟和其他机构发布。

2015 年 9 月，联邦调查局发布了公共服务公告 FBI 警报号 I-091015-PSA，该公告警告了物联网设备的潜在漏洞并提供了消费者保护和防御建议。

2017 年 8 月，国会推出了物联网网络安全改进法案，该法案要求出售给美国政府的任何物联网设备不使用默认密码，没有已知的漏洞并提供修补设备的机制。针对那些制造出售给政府的设备的制造商，它为所有制造商应采用的安全措施设定了基准。

同样在 2017 年 8 月，发展创新和发展物联网（DIGIT）法案通过了参议院，但仍在等待众议院的批准。该法案要求商务部召集工作组并制定物联网报告，包括安全和隐私。

虽然不是特定于物联网，但 2018 年 5 月发布的通用数据保护法规（GDPR）统一了整个欧盟的数据隐私法。这些保护扩展到物联网设备及其网络和物联网设备制造商应该考虑它们。

2018 年 6 月，国会通过现代应用，研究和物联网法案趋势或 SMART 物联网法案，提议商务部开展物联网行业研究，并为物联网设备的安全增长提供建议。

2018 年 9 月，加利福尼亚州立法机构批准了 SB-327 信息隐私：连接设备，该法律引入了在该国销售的物联网设备的安全要求。