【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 物联网安全:5个主要漏洞以及解决方法 – 【四维创智】

物联网安全:5个主要漏洞以及解决方法

11月 11,2020by admin

物联网全球市场,收入超过了1000亿美元,而2025年的收入预测将达到1.5万亿美元。虽然这意味着更多的便利和改进的服务,但也为网络犯罪分子创造了更多机会。
 
物联网设备面临网络安全漏洞。他们无需我们授权即可工作,这使得在被破坏之前威胁识别变得更加困难。但是,如果您知道危险潜伏在哪里,则可以找到一种方法最大程度地降低网络安全风险。以下是2020年物联网的五个重大网络安全漏洞。
 

 
威胁是绝对真实的,首先我们了解下2016年10月发生的一个攻击事件。黑客识别了安全摄像机模型中的薄弱环节。同时,有超过300,000台摄像机连接了互联网。
 
黑客利用该漏洞并使用这些IoT设备对社交媒体平台发起了大规模攻击。一些主要的社交媒体平台,包括Twitter,停运了几个小时。这种类型的恶意软件攻击称为僵尸网络攻击。它由数百个携带恶意软件并同时感染数千个IoT设备的机器人提供动力。显然,由于各种原因,物联网设备特别容易受到这些攻击。接下来让我们一个个进行分析:
 
系统漏洞分类
 
在大多数情况下,研究人员专注于各种类型的漏洞。典型的潜在缺陷列表包括以下条目:
 
未修补的软件。许多人无视的直接漏洞。如果您是普通网民,则可以使用许多应用程序。他们中的大多数正在不断发展。开发人员使他们适应解决问题。在某些情况下,修补程序和更新可解决严重的漏洞。当人们拒绝更新时,就会出现威胁。
 
配置错误。这个概念涉及系统的各种变更。示例之一与用户开始使用新服务时获得的默认设置有关。通常,默认设置不关注安全性。您的路由器是不应保留其默认设置的小工具之一。相反,您应该定期更改凭据。因此,您将防止未经授权的访问或通信拦截。
 
凭据差。简单或重复使用的密码仍然是一个问题。尽管网络安全行业已经为每个网友提供了选择,但是使用原始和复杂密码的建议仍然被忽略。取而代之的是,人们想出了舒适的密码。这是什么意思?人们可以轻松记住的组合,以及可悲的是,黑客可以轻松猜测的组合。了解凭证填充攻击的性质后,您将需要一个非常复杂的密码来保证安全。
 
恶意软件,网络钓鱼和网络。如今,恶意软件已成为Internet不可或缺的一部分(即使我们不喜欢它)。骇客每天都会散布各种复杂的变体,研究人员并不一定总能向我们发出警告。网络钓鱼也是与到达用户邮箱的欺诈和欺诈性报价有关的主要威胁之一。
 
信任关系。这些漏洞触发了连锁反应。例如,各种系统可以彼此链接以允许访问。如果一个网络遭到破坏,其他网络也可能崩溃。
 
凭据受损。这种威胁是指对您的凭据的不道德勒索。后来,它们被用来获得未经授权的访问。例如,我们可以使用未经正确加密的系统之间的通信。然后,黑客可以拦截此交换并以纯文本形式检索密码。
 
恶毒的内幕。系统中的某些参与者可以利用他们的特权并执行恶意操作。
 
加密不正确。黑客或其他恶意资源可以拦截网络上加密不良的通信。由于存在此类漏洞,因此可能会发生许多灾难性的情况。例如,骗子可以获取机密信息或在部门之间散布虚假信息。
 
零日漏洞和其他缺陷。此类漏洞无法解决,并且会继续困扰着系统。黑客将尝试利用此类缺陷,并查看哪些系统可能受到威胁。
 
没有经验的用户:是最大的漏洞
 
物联网是一个复杂的概念。大多数使用互联网连接设备的人远非精通技术的专家。没有人告诉他们他们的咖啡机可能被入侵,或者他们的相机可以被用来发起DDoS攻击。网络安全专家在过去的二十年中一直在强调强密码的重要性,而不是单击电子邮件中的恶意链接。
 
消费者认为公司和服务有责任确保其数据安全。他们甚至建议企业应采取法律行动。这是什么意思?好吧,用户希望公司将其安全性看作不是遵守规则,而是自然而然的责任。但是,这种态度可能会导致非常严重的漏洞。用户可以将所有责任留给政府和其他机构。如果不将自己视为重要变量,他们可能不会实施必要的网络安全步骤。因此,我们认为需要保持平衡。公司和消费者都需要积极主动地保护自己的信息。
 
制造过程中的缺陷
 
物联网市场爆炸性增长是因为物联网设备提供了更多的便利,易于使用并带来了真正的价值。但是,这个市场呈指数增长的另一个原因是-物联网设备价格合理。您无需再变得超级富有,即可将整个家庭变成一个智能家居。
 
制造商将其视为机遇,并争先恐后地抢占了自己的物联网市场。结果–无监督且便宜的制造过程,以及缺乏或完全缺乏合规性。这是制造难以妥协的物联网设备的秘诀,只有政府才能通过严格的法律和法规来解决。因此,错误的生产可能导致各种问题,例如注入缺陷。
 
所有程序和服务都必须在认为内容合适之前对其进行过滤。如果此类过程缺少适当的身份验证步骤,则它们可以充当更大问题的网关。输入的另一个问题是跨站点脚本(XSS)。简而言之,它是指为Web应用程序提供带有输入的JavaScript标记的过程。可疑输入的目的可能有所不同。可能是良性的,也可能是恶意的。
 
不定期更新
 
大多数著名的物联网品牌一词都在不断地致力于发现其设备上的漏洞。一旦找到后门,他们就会发布更新和补丁以提供必要的安全修复程序。最终用户需要更新其IoT设备,这是一个潜在的问题,因为人们仍然不愿更新其智能手机和计算机。研究人员发布了最具破坏性的漏洞列表。其中包括尚未修补的缺陷,并将继续威胁用户的安全。其中之一允许黑客通过诱骗的Microsoft Office文档运行恶意软件。另一个反映了Drupal的关键性质,它允许黑客传播被称为Kitty的恶意软件病毒。
 
有许多具有自动更新功能的IoT设备,但是此过程存在安全问题。设备应用更新之前,它将备份发送到服务器。黑客可以利用这一机会来窃取数据。公共Wi-Fi和加密网络上的IoT设备特别容易受到此类攻击。可以通过使用在线VPN来防止这种情况。它加密连接并屏蔽网络上所有设备的IP地址。
 
影子物联网设备
 
即使本地网络完全安全,并且其上所有IoT设备的固件和软件都已更新到最新版本,影子IoT设备也可能造成严重破坏。这些设备(也称为流氓IoT设备)可以完美地复制为替代而构建的IoT设备。
 
随着BYOD成为垂直行业的主要趋势,员工可以将自己感染的IoT设备带入工作中。一旦连接到网络,恶意的IoT设备就可以下载并发送或处理数据。潜在的损害是无法理解的。
 
在线物联网设备的数量每天都在增加。物联网的这些网络安全问题应同时涉及个人和企业用户。如果我们想看到结果,则必须最小化与IoT相关的安全漏洞。凭着物联网行业的当前状况以及最终用户的意识,可以肯定地说,我们将至少看到更多由物联网驱动的大规模网络攻击。我们只有更加关注消费者和公司对待漏洞的方式。在发生前阻止破坏行动。