物联网安全:什么是和什么不应该是- Malwarebytes Labs | Malwarebytes Labs必威官方登录备用必威平台APP

互联网已经渗透到今天似乎所有的技术进步，导致了互联网的一切。曾经仅限于台式机和电话插孔的设备，现在可以通过多种设备联网和连接，从Nest这样的家庭供暖和制冷系统，到Alexa这样的人工智能伴侣。这些设备可以通过网络将信息传递到世界服务器农场、公司数据库、你自己的手机中的任何地方。(例外:我客厅角落里的那个死区。如果机器人反抗，我就挤在那里。)

这些联网设备就是营销人员所说的物联网(IoT)。如今，当你在硅谷见到一位身穿REI背心的高管时，你肯定会听说它。为什么?因为我们在网上发送的设备越多，就有越多的企业可以将它们货币化。当你可以花更多的钱买一台告诉你牛奶快用完了的冰箱时，为什么还要买一台普通的冰箱呢?

物联网

不幸的是(我相信你已经预见到了这一点)，我们连接到互联网上的设备越多，网络犯罪的可能性就越大。分析公司高德纳(Gartner)表示，到2020年，这一数字将超过260亿个连接设备—排除个人电脑、平板电脑和智能手机。除非发生意外后天–就像全球灾难一样，这项技术即将到来。那么让我们来谈谈固有的风险，好吗？

今天物联网网络犯罪发生了什么?

使用物联网的个人和公司都容易受到攻击。但攻击的程度如何？犯罪分子能侵入你的烤面包机并访问你的整个网络吗？他们能渗透虚拟会议并获取公司的专有数据吗？他们能监视你的孩子、控制你的吉普车或关键医疗设备吗？

到目前为止，现实与炒作并没有太大差距。两年前,一台智能冰箱被黑客入侵并开始在制作冰块时发送色情垃圾邮件。婴儿监视器已用于偷听，甚至和你说话睡觉(或不睡觉)的孩子。2016年10月，数千个安全摄像头遭到黑客攻击，对Dyn发起了有史以来规模最大的分布式拒绝服务(DDoS)攻击。Dyn为Twitter、Netflix和CNN等公司提供关键域名系统(DNS)服务。2017年3月，维基解密美国中央情报局拥有破解物联网设备的工具例如三星智能电视，可以远程记录酒店或会议室的对话。还有多久这些东西会被用来做邪恶的用途?

隐私也是物联网设备的一个问题。你想让KitchenAid了解你的购物习惯吗?如果KitchenAid与亚马逊合作，必威客服app开始向你宣传本周出售的蓝莓会怎样?如果它会自动帮你订购呢?

目前，物联网攻击的频率相对较少，可能是因为这些设备还没有巨大的市场渗透。如果有那么多的家庭也有Cortanas就像个人电脑一样，我们将看到更多的行动。随着物联网设备的迅速普及，网络犯罪分子将精力集中在利用众多安全和隐私漏洞上只是时间问题。

安全和隐私问题即将浮出水面

根据Forrester的2018年预测，物联网安全缺口只会越来越大。研究人员认为，物联网可能会与公有云整合，通过访问、处理、窃取和泄漏个人网络数据，引入更多的攻击可能性。此外，正在研究更多赚钱的物联网攻击，如加密货币挖掘或对销售点机器、医疗设备或车辆的勒索软件攻击。想象一下，你下班开车回家时被人勒索赎金。"如果你想让我们发动你的车，你得付给我们300美元。"

就像现实版的大富翁游戏。

隐私和数据共享可能变得更加难以管理。例如，您如何最好地保护儿童数据，根据儿童在线隐私保护规则，儿童数据受到高度监管和保护(杯)，如果你是一个制造者智能玩具？有一些规则规定哪些个人身份信息可以或不能被捕获和传输——因为这些信息最终可能被拦截。

隐私问题也可能扩大，包括如何保护个人数据不受国内外国家行为者的情报收集。2017年5月，美国国家情报总监丹尼尔·科茨(Daniel Coats)在参议院情报特别委员会听证会上作证时表示:“未来，国家和非国家行为体可能会使用物联网设备来支持情报操作或国内安全，或访问或攻击目标计算机网络。”

简而言之，这一切都可能向南发展。

那么，物联网防御为何如此薄弱？

鉴于物联网技术是一列失控的列车，永不回头，重要的是要看看是什么让这些设备如此脆弱。从技术和基础设施的角度来看:

设备本身的安全性很差或根本不存在。与移动电话、平板电脑和台式计算机不同，这些操作系统几乎没有保护措施。为什么？在设备中建立安全性可能成本高昂，发展缓慢，有时会阻碍设备以理想的速度和速度运行容量。
由于网络分割不良，该设备直接暴露在网络上。它可以充当内部网络的枢纽，为犯罪分子打开后门。
基于通用的，通常是Linux衍生的硬件和软件开发过程，留下了不必要的功能。翻译：有时开发人员会留下在测试版中开发的不再相关的代码或功能。Tsk，Tsk。甚至我的孩子在玩完游戏后也会收拾残局。（不，他不会。但他应该。）
默认凭证通常是硬编码的。这意味着你可以插入你的设备，无需创建一个唯一的用户名和密码。猜猜看，网络混混多久会输入“1-2-3-4-5”并正确输入密码?(甚至黑头盔知道不要把这种密码放在他的行李上，更不要说他的数字助手了。)

从哲学的角度来看，在这些设备的开发中，安全并不是必须的。快速的进步推动着我们前进，而开发者们现在也赶上了潮流。为了反其道而行之，他们需要逆潮流而动，开始实施安全措施——不仅要快，而且要彻底——以击退即将到来的攻击浪潮。

有什么解决方案?

每个人都同意这种技术正在发生。许多人认为这是一件好事。但似乎没有人足够了解或足够想要放慢速度并实施适当的安全措施。看来我们应该在物联网安全方面有所进展。不知何故，我们既不在这里也不在那里。(好了，引用灵魂收容所够多了。)

以下是我们认为加强物联网安全需要做的事情。

政府干预

为了让开发商更加重视安全，可能需要政府采取行动。政府官员可以：

与网络安全和情报部门合作，收集一系列协议，使物联网设备对消费者和企业更安全。
建立一个委员会来审查收集到的情报，选择和优先处理协议，以便制定法规。
让它成为法律。(Easy peasy lemon squeezy)

开发人员操作

开发人员需要将安全性融入到产品中，而不是在事后才附加它。他们应该:

让红队在正式发布前对设备进行审核。
在设置点强制更改凭据。（即，除非修改默认凭据，否则设备将无法工作。）
如果有网络访问要求https。
删除不需要的功能。

谢天谢地，尽管进展缓慢，但我们已经朝着正确的方向迈出了步伐。2017年8月，国会提出了物联网网络安全改进法案，旨在要求出售给美国政府的任何设备都是可修补的，没有任何已知的安全漏洞，并允许用户更改其默认密码。注意：卖给美国政府．他们不太关心美国公民的隐私和安全。

也许是为了回应社会和传统媒体的回击，包括我们关于智能锁的一篇文章,亚马逊现在预览物联网安全服务。

那么，网络安全制造商是否会填补这一空白呢？Verizon、DigiCert和Karamba Security等供应商已经开始致力于为物联网设备和网络安全专门构建的解决方案。但要建立标准还有很长的路要走。很可能会发生分水岭违约事件（或几起），将导致更直接的行动。

如何保护您的物联网设备

与此同时，普通消费者和企业能做些什么来保护自己呢?这是一个开始:

评估您将引入网络的设备是否真的需要智能。(你需要一个能上网的烤面包机吗?)最好将物联网技术视为默认的敌意，而不是内在地将你所有的个人信息托付给它——或允许它访问你的网络。说到……
对网络进行分段。如果您确实希望在家庭或企业中使用物联网设备，请将其与包含敏感信息的网络分开。
更改默认凭据。看在上帝的份上，请想出一个难以破解的密码。然后将其存储在密码管理器忘了它吧。

物联网设备尚未使世界短路的原因是，许多设备构建在不同的平台、不同的操作系统上，并使用不同的编程语言（大多数是专有的）.因此，为每一台设备开发恶意软件攻击都是不现实的。如果企业想让物联网成为一种盈利模式，安全性将毫无必要地提高。这只是时间问题。在那之前……做好准备。