物联网 (IoT) 安全：挑战和最佳实践

也许每个人出生的时候都以为这世界都是为他一个人而存在的，当他发现自己错的时候，他便开始长大

少走了弯路，也就错过了风景，无论如何，感谢经历

更多关于Android安全的知识，可前往：https://blog.csdn.net/ananasorangey/category11955914.html

转载文章的原文文章：https://www.4hou.com/index.php/posts/B90k

物联网 (IoT) 一直是近年来发展最快的技术趋势之一。根据IoT Analytics的数据，到 2025 年，全球可能有超过 270 亿台联网设备。

然而，软件漏洞和网络攻击等日益增加的安全问题可能使许多客户不愿使用物联网设备。这种物联网安全问题对于在医疗保健、金融、制造、物流、零售和其他已经开始采用物联网系统的行业中运营的组织来说尤其重要。

在本文中，我们将探讨物联网安全是什么，以及它为何如此重要，以及关键的物联网安全挑战和攻击媒介。我们还讨论了在物联网环境中保护设备、数据和网络的方法。本文希望对IoT 安全团队有所帮助。

什么是物联网和物联网安全？

物联网是一个智能设备网络，它们相互连接，以便在没有任何人工干预的情况下通过互联网交换数据。

物联网系统的架构通常由无线网络、用于通信的云数据库、传感器、数据处理程序和相互密切交互的智能设备组成。物联网系统使用以下组件来交换和处理数据：

· 收集、存储和共享有关环境和其他设备和组件的数据的智能设备

· 智能设备使用的嵌入式系统——包括各种处理器、传感器和通信硬件——其目标是收集、发送和处理从环境中获取的数据

· 物联网网关、集线器或其他在物联网设备和云之间路由数据的边缘设备

· 带有通过无线连接交换数据的远程服务器的云或本地数据中心

物联网技术用于各个行业：制造、汽车、医疗保健、物流、能源、农业等。根据特定物联网系统的目标，智能设备的范围可以从简单的传感器到 DNA 分析硬件。最流行的物联网用例和设备是：

常见的物联网用例

· 家庭自动化系统监控和控制家庭属性，如温度、照明、娱乐系统、电器和警报系统。用于家庭自动化的常见智能设备包括助理扬声器、恒温器、冰箱、插头和灯泡。

· 卫生保健。医疗物联网 (MIoT) 为医疗保健专业人员提供了很多监控患者的机会，也为患者提供了自我监控的机会。用于 MIoT 的智能设备包括无线连接的健身手环、血压和心率监测袖带以及血糖仪。

· 智慧城市使用智能设备收集的数据来改善基础设施、公用事业和服务。此类设备可以连接传感器、灯、仪表、垃圾箱和空气质量监测系统。

· 可穿戴设备主要用于医疗保健和运动。此类设备包括健身追踪器、心电图监测器、血压监测器和智能手表。

· 联网汽车是指配备互联网访问权限的车辆，可以与车内和车外的设备共享访问权限和数据。该技术允许人们使用移动应用程序远程访问车辆功能，提高安全性并自动支付通行费。

· 智能仓库使用自动化和互连技术来帮助企业提高生产力和效率。智能仓库的常见组件包括机器人、无人机、射频识别 (RFID) 扫描仪、人工智能驱动程序和复杂的仓库管理软件。

为什么物联网安全很重要？

物联网系统如此广泛的应用需要组织特别关注系统安全。

任何漏洞都可能导致系统故障或黑客攻击，进而影响数百或数千人。例如，红绿灯可能会停止工作，导致交通事故；或者家庭安全系统可能会被窃贼关闭。由于一些物联网设备用于医疗保健或人类保护，因此它们的安全性对人们的生活至关重要。

在开发物联网系统时优先考虑安全性的另一个重要原因是确保其数据安全。智能设备会收集大量敏感数据，包括个人身份信息，这些数据需要受到各种网络安全法律、标准和法规的保护。此类信息的泄露可能导致诉讼和罚款。它还可能导致声誉受损和客户信任的丧失。

物联网安全是一组方法和实践，旨在保护构成物联网环境的物理设备、网络、流程和技术免受广泛的物联网安全攻击。

物联网安全的两个关键目标是：

1.确保安全地收集、存储、处理和传输所有数据

2.检测并消除 IoT 组件中的漏洞

物联网安全目标

然而，开发安全的物联网系统并保护它们免受攻击并非易事。下面我们来探索关键的物联网安全问题。

5个最常见的物联网安全挑战

从 2021 年 1 月到 6 月，有 15.1 亿次物联网设备被泄露，而卡巴斯基在 2020 年全年报告了6.39 亿次泄露事件。在开发物联网系统时低估网络安全的重要性是不可接受的。

要了解如何保护物联网系统，必须首先探索潜在的网络安全风险。以下是物联网常见的安全挑战列表：

物联网网络安全挑战

1. 软件和固件漏洞

确保物联网系统的安全性很棘手，主要是因为许多智能设备资源受限且计算能力有限。因此，它们无法运行强大的、资源密集型的安全功能，并且可能比非物联网设备具有更多的漏洞。

许多物联网系统存在安全漏洞，原因如下：

· 缺乏有效内置安全性的计算能力

· 物联网系统中的访问控制不佳

· 用于正确测试和提高固件安全性的预算有限

· 由于物联网设备的预算有限和技术限制，缺乏定期补丁和更新

· 用户可能不会更新他们的设备，从而限制了漏洞修补

· 随着时间的推移，旧设备可能无法使用软件更新

· 对物理攻击的保护不佳：攻击者可以靠得足够近来添加他们的芯片或使用无线电波入侵设备

恶意行为者旨在利用他们在目标物联网系统中发现的漏洞来破坏其通信、安装恶意软件并窃取有价值的数据。例如，使用易受攻击的凭据（如弱密码、可回收密码和默认密码）允许黑客入侵Ring 智能相机。他们甚至设法使用摄像头的麦克风和扬声器与受害者进行远程交流。

2. 不安全的通信

大多数现有的安全机制最初都是为台式计算机设计的，很难在资源受限的物联网设备上实施。这就是为什么传统的安全措施在保护物联网设备的通信方面没有那么有效的原因。

不安全通信造成的最危险的威胁之一是中间人 (MitM) 攻击的可能性。如果设备不使用安全加密和身份验证机制，黑客可以轻松地执行中间人攻击以破坏更新过程并控制您的设备。攻击者甚至可以安装恶意软件或更改设备的功能。即使您的设备没有成为 MitM 攻击的受害者，如果您的设备以明文消息形式发送，它与其他设备和系统交换的数据仍然可以被网络犯罪分子捕获。

连接的设备容易受到其他设备的攻击。例如，如果攻击者只能访问家庭网络中的一台设备，他们就可以轻松破坏其中的所有其他非隔离设备。

3.物联网系统的数据泄露

我们已经确定，通过从您的物联网系统中捕获未加密的消息，黑客可以访问其处理的数据。这甚至可能包括敏感数据，例如您的位置、银行账户详细信息和健康记录。然而，滥用安全性较差的通信并不是攻击者收集有价值数据的唯一方式。

所有数据都通过云传输并存储在云中，云托管服务也可能受到外部攻击。因此，设备本身和它们连接的云环境都可能发生数据泄漏。

物联网系统中的第三方服务是数据泄漏的另一个可能来源。例如，Ring 智能门铃被发现在未经客户适当同意的情况下向 Facebook 和 Google 等公司发送客户数据。此事件的出现是因为 Ring 移动应用程序中启用了第三方跟踪服务。

4. 恶意软件风险

Zscaler最近的一项研究发现，最容易受到恶意软件攻击的设备是机顶盒、智能电视和智能手表。

如果攻击者找到将恶意软件注入物联网系统的方法，他们可能会更改其功能、收集个人数据并发起其他攻击。此外，如果制造商不确保足够的软件安全性，某些设备可能会立即感染病毒。

一些组织已经找到了处理最著名的以物联网为目标的恶意软件的方法。例如，FBI 特工分享了该机构如何阻止 Mirai 僵尸网络攻击，微软发布了一份指南，介绍如何主动保护您的系统免受 Mozi IoT 僵尸网络的攻击。

然而，黑客不断发明新的方法来滥用物联网网络和设备。2021 年，研究人员发现用Golang编写的恶意软件 BotenaGo 可以利用智能设备中的 30 多个不同的漏洞。

5. 网络攻击

除了上面讨论的恶意软件和 MITM 攻击外，物联网系统还容易受到各种网络攻击。以下是物联网设备上最常见的攻击类型列表：

物联网系统的 5 种常见攻击

1.拒绝服务 (DoS) 攻击。物联网设备的处理能力有限，这使得它们极易受到拒绝服务攻击。在 DoS 攻击期间，由于大量虚假流量，设备响应合法请求的能力受到损害。

2.拒绝睡眠 (DoSL) 攻击。连接到无线网络的传感器应持续监控环境，因此它们通常由不需要频繁充电的电池供电。通过将设备大部分时间保持在睡眠模式来保存电池电量。睡眠和唤醒模式根据不同协议的通信需求进行控制，例如介质访问控制(MAC)。攻击者可能会利用 MAC 协议的漏洞进行 DoSL 攻击。这种类型的攻击会耗尽电池电量，从而禁用传感器。

3.设备欺骗。当设备未正确实施数字签名和加密时，可能会发生这种攻击。例如，糟糕的公钥基础设施 (PKI) 可能会被黑客利用来“欺骗”网络设备并破坏物联网部署。

4.物理入侵。尽管大多数攻击都是远程执行的，但如果设备被盗，也有可能对其进行物理入侵。攻击者可以篡改设备组件，使其以意想不到的方式运行。

5.基于应用程序的攻击。当嵌入式系统上使用的设备固件或软件存在安全漏洞或云服务器或后端应用程序存在弱点时，这些类型的攻击是可能的。

考虑到这些挑战，让我们继续了解可帮助您保护 IoT 系统的物联网安全最佳实践。

确保物联网系统安全的最佳实践

IoT 安全最佳实践可以帮助您加强对 IoT 系统三个主要组件的保护：设备、网络和数据。让我们从讨论保护智能设备的方法开始。

1. 保护智能设备

如何保护智能设备

· 确保防篡改硬件。物联网设备可能会被攻击者窃取以篡改或访问敏感数据。为了保护设备数据，有必要使您的产品防篡改。您可以通过使用端口锁或摄像头盖以及通过应用强启动级密码或采取其他方法来确保物理安全，以防篡改时禁用产品。

· 提供补丁和更新。持续的设备维护需要额外的成本。但是，只有通过不断的更新和补丁才能确保适当的产品安全性。最好建立不需要最终用户执行任何操作的自动和强制安全更新。告知消费者您将支持产品的时间跨度，并告诉用户在此期间结束后他们应该做什么。系统发布后，请务必密切关注即将出现的漏洞并相应地开发更新。

· 运行彻底的测试。渗透测试是您发现物联网固件和软件漏洞并尽可能减少攻击面的主要工具。您可以使用静态代码分析来发现最明显的缺陷，也可以使用动态测试来挖掘隐藏良好的漏洞。

· 实施设备数据保护。物联网设备应在利用期间和之后确保数据的安全性。确保加密密钥存储在非易失性设备内存中。此外，您可以提供处理旧产品或提供一种在不暴露敏感数据的情况下丢弃它们的方法。

· 满足组件性能要求。物联网设备硬件必须满足某些性能要求才能确保适当的可用性。例如，物联网硬件应该使用很少的功率，但提供高处理能力。此外，设备必须确保强大的授权、数据加密和无线连接。即使与 Internet 的连接暂时中断，您的 IoT 解决方案也可以正常工作。

2. 安全网络

如何保护物联网网络

· 确保强身份验证。这可以使用唯一的默认凭据来实现。在为您的产品命名或寻址时，请使用最新的协议以确保它们的长期功能。如果可能，请为您的产品提供多因素身份验证。

· 启用加密和安全通信协议。设备之间的通信也需要安全保护。然而，加密算法应该适应物联网设备的有限容量。出于这些目的，您可以应用传输层安全性或轻量级密码术。IoT 架构允许您使用无线或有线技术，例如 RFID、蓝牙、蜂窝、ZigBee、Z-Wave、Thread 和以太网。此外，您可以通过优化的协议（例如 IPsec 和安全套接字层）确保网络安全。

· 最小化设备带宽。将网络流量限制在 IoT 设备运行所需的量。如果可能，对设备进行编程以限制硬件和内核级带宽并揭示可疑流量。这将保护您的产品免受可能的 DoS 攻击。该产品还应编程为在检测到恶意软件时重新启动并清除代码，因为恶意软件可用于劫持设备并将其用作僵尸网络的一部分来执行分布式 DoS 攻击。

· 将网络划分为多个部分。通过将大型网络分成几个较小的网络来实施下一代防火墙安全。为此，请使用 IP 地址或 VLAN 范围。为了确保互联网连接的安全，请在您的 IoT 系统中实施 VPN。

3. 保护数据

如何保护物联网系统中的数据

· 保护敏感信息。为每个产品安装唯一的默认密码，或要求在首次使用设备时立即更新密码。应用强大的身份验证以确保只有有效用户才能访问数据。为了更好地保护隐私，您还可以实施重置机制，以便在用户决定退货或转售产品时删除敏感数据并清除配置设置。

· 只收集必要的数据。确保您的 IoT 产品仅收集其运行所需的数据。这将降低数据泄露的风险，保护消费者的隐私，并消除不遵守各种数据保护法规、标准和法律的风险。

· 安全的网络通信。为了获得更好的安全性，请限制您的产品在 IoT 网络中进行不必要的通信。不要完全依赖网络防火墙，并通过默认情况下通过入站连接使您的产品不可见来确保安全通信。此外，使用针对物联网系统需求优化的加密方法，例如高级加密标准、三重 DES、RSA和数字签名算法。

除了上述做法外，请务必遵循NIST 物联网设备网络安全指南等建议，该指南旨在解决2020 年物联网网络安全改进法案中提出的挑战。

结论

在构建物联网项目时，从早期研发阶段开始考虑安全性至关重要。然而，由于频繁的网络攻击和寻找潜在系统漏洞的复杂性，确保物联网环境中设备、网络和数据的强大网络安全具有挑战性

你以为你有很多路可以选择，其实你只有一条路可以走