十大网堵平台-十大正规网堵平台

十大网堵平台-十大正规网堵平台

0371-63319761
您的当前位置:主页 > 安全研究 > 十大网堵平台 >

物联网安全漏洞威胁研究一

时间:2022-03-09

物联网安全威胁

2016年10月21日,美国最主要域名服务器提供商DYN的服务器遭遇了大规模DDoS攻击,导致美国东海岸大面积断网。这次攻击为我们敲响了警钟——攻击者能够利用15万个安全性不够的物联网终端设备发起恶意攻击。面对物联网安全问题,我们生产服务商应该怎么做呢?
 

物联网领域主要存在四方面安全威胁:
 
(1)数据保护。很多设备收集的是敏感数据,不论是从商业角度,还是从管控角度,数据的传输、存储和处理都应该在安全情况下进行。
 
(2)攻击界面扩大化。物联网时代会有更多的设备在网上,这样IT基础设施会进一步扩大,攻击者会试探着去破解。与用户的终端不同,很多物联网设备需要永久在线和实时连接,这一特征使得它们更容易成为攻击的目标。
 
(3)对物联网运行过程的攻击。那些想干扰一个特定企业活动的行为,会让更多基础设施、设备和应用成为攻击目标,通过DoS攻击或通过危及、破坏个人设备。
 
(4)僵尸网络。未得到有效保护的物联网设备可能会招致僵尸网络攻击,大大降低企业的效率,长期如此将会导致企业声誉的损失。
 
所有这些威胁在一定程度上依赖于物联网设备的潜在漏洞,因此在部署和管理物联网设备时应该有安全的意识,精心设计,大量的工作应该列为高优先级。
 
为了应对盘旋于物联网安全架构周边的、日益增长的恐惧和疑虑,在物联网系统的安全防护方面也做了长期的实践和研究,以下我们将详细解说。
 
在四大环节开启防御对策:
 
我们的物联网系统主要分成终端、无线接入层、LoRa网关、云平台几个环节,我们物联网系统的安全防护也可以从这几个方面来分别说明:
 
1.LoRa终端
 
终端没有操作系统,不能远程登录控制,不用担心被黑客攻击后用来执行恶意代码;
 
程序代码写死在flash上面,无法通过远程篡改来让其停止工作;
 
2.无线通信
 
使用OTAA方式入网,无线终端接入网络前要先经过SN和KEY的校验,可以避免假冒终端攻击;
 
无线通信过程使用高级加密标准(AES)以及128位的密钥进行加密,通信报文不会被破解;
 
3.LoRa网关
 
LoRa网关本身只开放很少的服务端口,避免黑客利用常见网络协议服务端口的漏洞进行攻击;
 
和LoRa终端之间的通信为无线通信,防护机制见“无线通信”部分
 
和云平台之间的通信为有线TCP/IP通信,使用会议密钥进行加密;
 
4.云平台
 
公有云平台有防火墙防护,还是私有云整合到无线控制器WAC上面,WAC本身具有防护能力;
 
云平台只开放很少的服务端口,避免黑客利用常见网络协议服务端口的漏洞进行攻击;
 
公有云平台不允许使用弱密码,私有云平台会检测客户是否使用弱密码,如果是就提示客户修改;
 
每个项目发布之前,都会使用多种漏洞扫描工具对平台进行检测,确认平台不存在可以被黑客攻击的漏洞。

物联网安全需要一个多层次的方法论。从设备的角度看,应该从设计和开发的初始就着重考虑安全性,并保持硬件、软件和数据在整个设备生命周期中的安全。在设计安全功能时应采取积极主动,而不是被动的方法,研发更好的产品和解决方案。

(原文
来源:中国传动网
 
物联网中存在的五个安全问题分析

在一项年度消费者调查中,超过一半的受访者担心自己的隐私,并有三分之一的受访者担心受到黑客攻击。这些担忧并非完全没有依据,因为物联网确实存在一些安全问题:
 
问题1、缺少漏洞管理
 
虽然计算机和通信设备(例如智能手机和平板电脑)会定期接收新的更新,以修复最近发现的安全漏洞,但对于物联网设备来说,这通常既没有计划,也没有技术上的可行性。
 
解决方案:物联网解决方案需要漏洞修复功能,以通过软件更新来修复安全隐患。
 
问题2、缺少质量保证
 
安全专家警告说物联网设备的质量保证不足。在争夺市场份额的斗争中,制造商往往会忽略安全性,这样他们就可以在市场上击败竞争对手。较短的产品周期和较低的产品利润进一步加剧了这种趋势。
 
解决方案:需要质量保证标准来保护设备免受黑客攻击。此外,BUG悬赏计划已经证明了它们在产品开发中的有效性。在这些计划中,安全专家专门搜索软件漏洞,如果发现任何漏洞,就可以得到现金奖励。对于制造商而言,即使是付出丰厚奖金也是值得的,因为可以节省召回产品的成本并提高声誉。
 
问题3、隐私保护
 
许多物联网设备收集服务数据并将其发送给制造商,例如,在即将发生故障之前执行预测性维护。这样的数据流,必须得到充分保护,因为它们可以被黑客窃取。
 
解决方案:必须始终使用具有强身份验证的加密连接来建立数据连接。
 
问题4:安全概念需考虑客户的使用方式
 
即使制造商提供的硬件和软件都是安全的,但用户的使用方式不够安全也会带来风险。用户使用的简单密码使黑客能够轻松访问物联网系统。
 
解决方案:用户必须设置复杂密码,以将人为风险因素降至最低。这些要求包括安全密码和SSL传输的使用。
 
问题5、过时的合规政策
 
物联网设备制造商的现有安全策略通常已经过时,可能无法覆盖到传输中的用户数据。此数据位于网关上,IT人员可以随便查看。
 
解决方案:合规性策略必须成为产品开发的一部分,并且用户数据只能以加密形式在网关上出现。
 

 
诚然,所有这些听起来都是理所当然的,但不幸的是,事实并非如此。黑客很久以前就意识到了他们在物联网解决方案中的潜力,并利用了他们能够找到的漏洞发起攻击。例如,“Mirai僵尸网络”:这是一个由数十万个安全性较差的摄像头组成的网络,而三名美国学生在2016年8月使用了该摄像头僵尸大军,这是当时最大的拒绝服务攻击事件之一。
 
菲亚特-克莱斯勒也是“声名远扬”。计算机专家利用车载信息娱乐系统中的几个漏洞,远程入侵了一辆吉普切诺基,并迅速关闭了引擎以进行演示。这对制造商的声誉造成了无法估量的损失,并由此召回了140万辆汽车。

因此,制造商仍然需要确保物联网解决方案的最高安全性,并就标准达成一致;用户也应该关注安全问题,并在购买时优先考虑它们,毕竟,“一环软弱,全链不强”!


(原文来源:物联网中存在的五个安全问题分析 - 物联网 - 电子发烧友网http://www.elecfans.com/iot/1108933.html),
 
物联网面临的10大安全漏洞

物联网(IoT)技术无处不在,如果没有适当的安全保护措施,它们将很容易受到敏感数据泄漏的影响。从制造商到商业用户再到消费者,每个人都担心网络犯罪分子会侵入其物联网设备和系统。那么,在设计、部署或运行物联网设备时,需要考虑的最关键问题是什么?
 
 
根据OWASP漏洞列表分析,我们目前面临10大物联网安全漏洞:
 
1、弱、可猜测或硬编码密码
 
弱密码是简短的、简单的、系统默认的,或者可以通过使用一系列可能的密码列表(如字典中的单词、熟悉的名称等)执行暴力攻击而很快就能猜到的东西。
 
2、不安全的网络服务
 
设备上运行的不十大网堵平台可能会暴露给互联网,从而使攻击者可以破坏物联网设备。
 
3、不安全的生态系统接口
 
此问题涉及使消费者能够与其智能设备进行通信的API、移动和Web应用程序。这些接口中的任何漏洞都将使网络犯罪分子能够危害设备。
 
4、缺乏安全的更新机制
 
如果某台设备的更新过程不安全,就有可能成为恶意攻击的受害者。在这种情况下,您可能会在更新过程中无意中安装来自攻击者的恶意代码。更新过程必须通过加密渠道安全可靠地完成。
 
5、使用不安全或过时的组件
 
在代码中使用不安全或过时的组件可能会导致设备的安全性完全受损。这包括操作系统平台的弱定制以及使用来自受损供应商的第三方软件或硬件组件。
 
6、隐私保护不足
 
个人资料非常重要。如果被滥用,无论是有意还是无意,都会对人们的生活产生重大影响。物联网设备可以获得大量关于它们所处环境和使用它们的人的数据。
 
7、不安全的数据传输和存储
 
每当智能设备接收到数据并通过网络传输,或在新位置收集数据时,这些数据被泄露的可能性就会增加。(来自物联之家网)为了降低这些风险,您应该限制对敏感数据的访问,并确保数据始终是加密的。
 
8、缺乏设备管理
 
了解环境中的资产非常重要,有效管理资产也同样重要——您无法保护自己不知道的资产。在这一点上的失败可能会导致整个网络被黑客攻击。
 
9、不安全的默认设置
 
物联网设备通常带有弱默认设置。通常,我们只是不懂而已,没有更改这些默认设置。在其他情况下,由于您受到限制并且没有执行此操作所需的权限,因此无法更改系统配置。
 
10、缺乏物理硬化
 
必须对设备进行加固以防物理攻击。此时失败将使潜在攻击者获得敏感数据,这些数据有助于黑客发起远程攻击或获得对设备的本地控制。

积极考虑这些风险有助于降低因网络罪犯数量不断增多而受到危害的风险。


(原文来源:物联之家网)
 
物联网安全的主要漏洞以及解决方法 
 
物联网全球市场,收入超过了1000亿美元,而2025年的收入预测将达到1.5万亿美元。虽然这意味着更多的便利和改进的服务,但也为网络犯罪分子创造了更多机会。
 
物联网设备面临网络安全漏洞。他们无需我们授权即可工作,这使得在被破坏之前威胁识别变得更加困难。但是,如果您知道危险潜伏在哪里,则可以找到一种方法最大程度地降低网络安全风险。以下是2020年物联网的五个重大网络安全漏洞。
 
威胁是绝对真实的,首先我们了解下2016年10月发生的一个攻击事件。黑客识别了安全摄像机模型中的薄弱环节。同时,有超过300,000台摄像机连接了互联网。
 
 
黑客利用该漏洞并使用这些IoT设备对社交媒体平台发起了大规模攻击。一些主要的社交媒体平台,包括Twitter,停运了几个小时。这种类型的恶意软件攻击称为僵尸网络攻击。它由数百个携带恶意软件并同时感染数千个IoT设备的机器人提供动力。显然,由于各种原因,物联网设备特别容易受到这些攻击。接下来让我们一个个进行分析:
 
系统漏洞分类
 
在大多数情况下,研究人员专注于各种类型的漏洞。典型的潜在缺陷列表包括以下条目:
 
● 未修补的软件。许多人无视的直接漏洞。如果您是普通网民,则可以使用许多应用程序。他们中的大多数正在不断发展。开发人员使他们适应解决问题。在某些情况下,修补程序和更新可解决严重的漏洞。当人们拒绝更新时,就会出现威胁。
 
● 配置错误。这个概念涉及系统的各种变更。示例之一与用户开始使用新服务时获得的默认设置有关。通常,默认设置不关注安全性。您的路由器是不应保留其默认设置的小工具之一。相反,您应该定期更改凭据。因此,您将防止未经授权的访问或通信拦截。
 
● 凭据差。简单或重复使用的密码仍然是一个问题。尽管网络安全行业已经为每个网友提供了选择,但是使用原始和复杂密码的建议仍然被忽略。取而代之的是,人们想出了舒适的密码。这是什么意思?人们可以轻松记住的组合,以及可悲的是,黑客可以轻松猜测的组合。了解凭证填充攻击的性质后,您将需要一个非常复杂的密码来保证安全。
 
● 恶意软件,网络钓鱼和网络。如今,恶意软件已成为Internet不可或缺的一部分(即使我们不喜欢它)。骇客每天都会散布各种复杂的变体,研究人员并不一定总能向我们发出警告。网络钓鱼也是与到达用户邮箱的欺诈和欺诈性报价有关的主要威胁之一。
 
● 信任关系。这些漏洞触发了连锁反应。例如,各种系统可以彼此链接以允许访问。如果一个网络遭到破坏,其他网络也可能崩溃。
 
● 凭据受损。这种威胁是指对您的凭据的不道德勒索。后来,它们被用来获得未经授权的访问。例如,我们可以使用未经正确加密的系统之间的通信。然后,黑客可以拦截此交换并以纯文本形式检索密码。
 
● 恶毒的内幕。系统中的某些参与者可以利用他们的特权并执行恶意操作。
 
● 加密不正确。黑客或其他恶意资源可以拦截网络上加密不良的通信。由于存在此类漏洞,因此可能会发生许多灾难性的情况。例如,骗子可以获取机密信息或在部门之间散布虚假信息。
 
● 零日漏洞和其他缺陷。此类漏洞无法解决,并且会继续困扰着系统。黑客将尝试利用此类缺陷,并查看哪些系统可能受到威胁。
 
没有经验的用户:是最大的漏洞
 
物联网是一个复杂的概念。大多数使用互联网连接设备的人远非精通技术的专家。没有人告诉他们他们的咖啡机可能被入侵,或者他们的相机可以被用来发起DDoS攻击。网络安全专家在过去的二十年中一直在强调强密码的重要性,而不是单击电子邮件中的恶意链接。
 
消费者认为公司和服务有责任确保其数据安全。他们甚至建议企业应采取法律行动。这是什么意思?好吧,用户希望公司将其安全性看作不是遵守规则,而是自然而然的责任。但是,这种态度可能会导致非常严重的漏洞。用户可以将所有责任留给政府和其他机构。如果不将自己视为重要变量,他们可能不会实施必要的网络安全步骤。因此,我们认为需要保持平衡。公司和消费者都需要积极主动地保护自己的信息。
 
制造过程中的缺陷
 
物联网市场爆炸性增长是因为物联网设备提供了更多的便利,易于使用并带来了真正的价值。但是,这个市场呈指数增长的另一个原因是-物联网设备价格合理。您无需再变得超级富有,即可将整个家庭变成一个智能家居。
 
制造商将其视为机遇,并争先恐后地抢占了自己的物联网市场。结果–无监督且便宜的制造过程,以及缺乏或完全缺乏合规性。这是制造难以妥协的物联网设备的秘诀,只有政府才能通过严格的法律和法规来解决。因此,错误的生产可能导致各种问题,例如注入缺陷。
 
所有程序和服务都必须在认为内容合适之前对其进行过滤。如果此类过程缺少适当的身份验证步骤,则它们可以充当更大问题的网关。输入的另一个问题是跨站点脚本(XSS)。简而言之,它是指为Web应用程序提供带有输入的JavaScript标记的过程。可疑输入的目的可能有所不同。可能是良性的,也可能是恶意的。
 
不定期更新
 
大多数著名的物联网品牌一词都在不断地致力于发现其设备上的漏洞。一旦找到后门,他们就会发布更新和补丁以提供必要的安全修复程序。最终用户需要更新其IoT设备,这是一个潜在的问题,因为人们仍然不愿更新其智能手机和计算机。研究人员发布了最具破坏性的漏洞列表。其中包括尚未修补的缺陷,并将继续威胁用户的安全。其中之一允许黑客通过诱骗的Microsoft Office文档运行恶意软件。另一个反映了Drupal的关键性质,它允许黑客传播被称为Kitty的恶意软件病毒。
 
有许多具有自动更新功能的IoT设备,但是此过程存在安全问题。设备应用更新之前,它将备份发送到服务器。黑客可以利用这一机会来窃取数据。公共Wi-Fi和加密网络上的IoT设备特别容易受到此类攻击。可以通过使用在线VPN来防止这种情况。它加密连接并屏蔽网络上所有设备的IP地址。
 
影子物联网设备
 
即使本地网络完全安全,并且其上所有IoT设备的固件和软件都已更新到最新版本,影子IoT设备也可能造成严重破坏。这些设备(也称为流氓IoT设备)可以完美地复制为替代而构建的IoT设备。
 
随着BYOD成为垂直行业的主要趋势,员工可以将自己感染的IoT设备带入工作中。一旦连接到网络,恶意的IoT设备就可以下载并发送或处理数据。潜在的损害是无法理解的。
 
在线物联网设备的数量每天都在增加。物联网的这些网络安全问题应同时涉及个人和企业用户。如果我们想看到结果,则必须最小化与IoT相关的安全漏洞。凭着物联网行业的当前状况以及最终用户的意识,可以肯定地说,我们将至少看到更多由物联网驱动的大规模网络攻击。我们只有更加关注消费者和公司对待漏洞的方式。在发生前阻止破坏行动。(作者名称:Anas Baig)
 
(原文来源:物联网安全:5个主要漏洞以及解决方法_设备 http://www.sohu.com/a/431054741_100065701)

文章来源:微信公众号“十大网堵平台”

Copyright © 2017-2020 十大网堵平台 版权所有 豫ICP备18011434号-1 豫公网安备 41019702002746号