易受攻击的物联网设备的真正危险

安全资讯 小布 405浏览 0评论

过去几年,犯罪分子对物联网 (IoT) 设备的格局进行了大量探索,从网络安全的角度来看,这对家庭用户和公司造成了巨大限制。

犯罪分子正在滥用此类设备进行攻击,但有一些方法可以保护资产免受此类攻击。

物联网威胁

物联网设备的缺陷造成的损害是巨大的,因为犯罪分子利用弱点来访问和控制内部网络上多次可用的设备。这些漏洞是绕过内部防火墙、访问私有网络并窃取敏感和关键信息在连接设备环境中传输的立足点。在风险方面,犯罪分子破坏了设备并能够传播恶意负载或转移到其他网络,在很长一段时间内保持持久性,对这些设备上的异常活动的检测和监控仍然被视为一个巨大的挑战。

 

大挑战

从缺乏设备管理到硬件或软件的严重缺陷,这组 IoT 漏洞分为几个部分。例如,在本文中,可以了解一个跟踪为 CVE-2021-31251 的漏洞,这是 telnet 协议上的一个缺陷,可被利用来获取远程特权会话。具体来说,可以滥用溢出来控制 IoT 设备,并因此用作访问内部网络的初始入口点。

总而言之,由于缺乏必要的内置安全性来应对新出现的威胁,智能设备很容易受到攻击。物联网设备仍然易受攻击的一些原因是:

  •    有限的计算资源和硬件限制:设备由于其性质而拥有有限的资源集,并且不保证安全机制来对抗外部威胁以及数据保护例程以避免数据泄露。
  •    不同技术的使用:这些设备使用不同的技术;使标准保护方法和协议的创建变得困难的一点。
  •    易受攻击的组件:这些小设备中使用的许多组件都很容易受到攻击,并且正在影响数百万已部署的设备。

如今,攻击者正在利用物联网漏洞渗透或建立大规模攻击的初始立足点,这加强了设计方法安全的重要性。从这个意义上说,下面我们将描述物联网领域中存在的一些重要漏洞。

 

没有完美的方法可以避免漏洞,因为物联网设备的一部分由于计算能力和硬件限制而容易受到各种缺陷的影响。影响物联网设备的最重要漏洞如下所述。

缺乏安全的更新机制

“缺乏安全更新设备的能力。这包括缺乏设备上的固件验证、缺乏安全交付(传输中未加密)、缺乏防回滚机制以及缺乏更新导致的安全更改通知。”

从这一点来看,有必要创建一种高效且安全的更新机制。例如,传感器或智能设备应配备及时更新并在任何地方使用 SSL 协议。

缺乏设备管理

“生产中部署的设备缺乏安全支持,包括资产管理、更新管理、安全退役、系统监控和响应能力。”

将风险降至最低的最具挑战性的任务之一是管理所有设备并关闭边界。扫描和分析设备允许安全团队了解他们在网络上的物联网设备,从而考虑他们的风险、行为、活动等。

不安全的数据传输和存储

“生态系统内任何地方的敏感数据都缺乏加密或访问控制,包括静止、传输或处理过程中。”

网络和通信层在物联网设备中起着至关重要的作用,因为它们是不同部分之间的桥梁,促进信息共享和与设备的实时交互。

强制执行此问题的一个明显示例是,例如,使用负责认证和验证通信链的 CA。另一方面,数据标记化应被视为保护只有授权设备才能访问的敏感数据的一种方式。

弱密码、可猜测密码或默认密码

“使用易于暴力破解、公开可用或不可更改的凭据,包括固件或客户端软件中的后门,这些后门授予对已部署系统的未授权访问权限。”

物联网领域的一个普遍缺陷是弱密码和默认密码。从这个意义上说,对此类设备的管理不善为潜在的攻击媒介(例如蛮力)打开了大门。

不安全的网络服务

“在设备上运行的不必要或不安全的网络服务,尤其是那些暴露在互联网上的网络服务,会危及信息的机密性、完整性/真实性,并存在未经授权远程控制物联网设备的风险。”

物联网设备是当今内部网络基础设施的一部分,它们可以与大量智能设备进行通信,例如烟雾报警器、接近传感器或光学设备。这样,应检查在其网络上传输信息的不需要的开放端口和服务,并考虑删除或禁用作为安全措施。

隐私保护不足

“存储在设备或生态系统中的用户个人信息被不安全、不当或未经许可使用。”

在许多情况下,用户的数据直接存储在设备上,甚至发送到提供商管理的云服务。在这种情况下,提供商必须负责确保最佳安全实践,并确保各方在请求时删除用户数据。

评估物联网的影响

物联网领域漏洞的影响间接影响互联网的安全。通过这种方式,有必要通过设计保证这些设备的安全,并与利益相关者和所有有趣的部分共同承担责任。例如,制造商需要解决已知漏洞,针对现有缺陷发布补丁,并报告对旧产品的生命周期终止和支持。

作为一般安全措施,强烈建议使用适当的机制保护对设备的网络访问。此外,将物联网设备与网络中的其他关键资产隔离开来,通过探索这些智能设备的弱点,在非法访问的情况下很难探索和增加犯罪分子的任务。

让我们认真对待物联网安全,因为在这十年中,犯罪分子大量使用该领域来访问内部网络。

转载请注明:布尔云安的博客 » 易受攻击的物联网设备的真正危险

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址