Check Point: 物聯(lián)網(wǎng)設備安全刻不容緩
2021 年 2 月一個普通的星期五早上,佛羅里達州奧茲馬市的居民從沉睡中醒來,發(fā)現(xiàn)他們的供水系統(tǒng)遭到了黑客入侵。黑客試圖增加水中氫氧化鈉(堿液)的濃度,毒害全城居民……幸運的是,市政工作人員及時發(fā)現(xiàn)并阻止了攻擊。事后,當?shù)卣杆倩貞矒彷浨,聲稱這件事證明了他們目前的安全措施是有效的。但事實真的如此嗎?
當今的黑客行為幾乎均為利益驅(qū)動,隨著物聯(lián)網(wǎng)用例的不斷增加,物聯(lián)網(wǎng)在攻擊者眼中愈發(fā)成為一塊誘人的蛋糕。在構(gòu)建物聯(lián)網(wǎng)設備時,企業(yè)必須意識到這種不斷擴大的威脅形勢,并確保設備具有開箱即用的安全性,能夠幫助用戶抵御網(wǎng)絡攻擊,這一點比以往任何時候都重要。
Check Point安全專家將通過本文探討物聯(lián)網(wǎng)設備風險劇增的原因,同時紹在開發(fā)物聯(lián)網(wǎng)產(chǎn)品時引入多層防護措施的核心方法。
物聯(lián)網(wǎng)黑客攻擊:日益嚴峻的威脅形勢
哪些類型的產(chǎn)品最容易遭到物聯(lián)網(wǎng)攻擊?答案令人不寒而栗:所有類型的產(chǎn)品。Check Point通過其強大的威脅情報云對未來物聯(lián)網(wǎng)安全重點行業(yè)進行了預測:
汽車設備:曾經(jīng)有一支安全專家隊伍設法入侵吉普 SUV,成功將其駛離了道路,這個實驗讓人們意識到,聯(lián)網(wǎng)汽車非常容易受到攻擊。麥肯錫的一份報告稱,“當今的汽車擁有多達 150 個 ECU(電子控制單元)和大約 1 億行代碼;許多觀察人士預計,到 2030 年,它們將擁有大約 3 億行軟件代碼”,比商用飛機還要復雜。
醫(yī)療設備:圣猶達醫(yī)療設備公司推出的植入式心臟設備存在一個漏洞,一旦遭到黑客利用,就會危及患者生命安全。雖然黑客不太可能真的剝奪患者的生命,但這很容易成為黑客索取高額贖金的目標。
關鍵基礎設施:破壞供暖和制冷系統(tǒng)的 DDoS 攻擊就屬于這種類型的攻擊。當前,物聯(lián)網(wǎng)控制著從車庫門到建筑安全,再到照明和投影系統(tǒng)的一切設備,黑客一旦入侵,后果將不堪設想。此外,物聯(lián)網(wǎng)設備作為進入公司網(wǎng)絡的后門,為黑客提供了 root 訪問權(quán)限,他們可以更改源代碼并在整個網(wǎng)絡中隨意移動,對敏感服務器和數(shù)據(jù)造成了巨大威脅。
多維攻擊
為何一些設備特別容易受到攻擊?Check Point安全專家總結(jié)出以下四個主要因素:
物聯(lián)網(wǎng)設備缺乏統(tǒng)一的標準和規(guī)范
不安全且“始終在線”的網(wǎng)絡訪問
第三方組件可能存在漏洞
難以部署基于軟件的安全策略
除了這些問題之外,大多數(shù)物聯(lián)網(wǎng)設備的默認密碼都較弱,而且網(wǎng)絡管理員很少執(zhí)行更改默認密碼操作。如今黑客的目標已經(jīng)不再只是路由器、醫(yī)療設備和工業(yè)控制器等技術設備。智能手表、網(wǎng)絡攝像頭、智能電視、吸塵器、打印機,甚至玩具都可能成為不法分子的犯罪渠道。
同時,黑客的攻擊可能屬于以下一種或多種類別:
蓄意毀壞:就像供熱和制冷系統(tǒng)一樣,隨著越來越多的生產(chǎn)線接入物聯(lián)網(wǎng),黑客成功入侵系統(tǒng)的可能性大大增加,他們希望通過入侵對企業(yè)索要高額贖金。
數(shù)據(jù)泄露:黑客可能會攔截進出物聯(lián)網(wǎng)設備的數(shù)據(jù),包括信用卡信息和實時健康更新、視頻圖像和生產(chǎn)線控制命令等,然后用來實施勒索或訪問其他系統(tǒng)。
滲透:攻擊者可以使用物聯(lián)網(wǎng)設備訪問內(nèi)部網(wǎng)絡,然后再通過內(nèi)部網(wǎng)絡潛入設備(通常沒有零信任或其他現(xiàn)代無信任框架保護)執(zhí)行命令。
因此,無論哪個行業(yè),用戶都需要保護物聯(lián)網(wǎng)設備,確保它不會被黑客用來攻擊企業(yè)以及企業(yè)的客戶、破壞公司聲譽。
多層防護措施
雖然黑客的攻擊日趨頻繁,但是通過物聯(lián)網(wǎng)制造商充分的安全規(guī)劃,幾乎所有類型的攻擊都可以被有效防范。
為確保物聯(lián)網(wǎng)設備處于最佳風險防范狀態(tài),用戶首先要評估所有潛在的風險途徑,然后強化設備和管理策略。
以下是Check Point安全團隊總結(jié)的部分最佳安全實踐:
創(chuàng)建用戶可自行更新的身份驗證方法(例如用戶名和密碼),以此作為基本防線。
考慮添加無密碼/生物識別安全功能,以加強安全控制。
僅根據(jù)需要存儲和傳輸數(shù)據(jù),以實現(xiàn)合法的商業(yè)目的或滿足用戶需求。
加密所有數(shù)據(jù)通信。(超過 90% 的物聯(lián)網(wǎng)數(shù)據(jù)通信都沒有加密。)
部署如Check Point Quantum IoT Protect Firmware 這樣的工具,提供設備運行時保護,從而輕松開發(fā)具有內(nèi)置固件安全性的物聯(lián)網(wǎng)互聯(lián)設備,抵御最復雜的網(wǎng)絡攻擊。
固件安全:最有效的應對之策
在上述所有最佳實踐中,最為有效、同時最具性價比的防護策略是關注設備固件更新。
對于服務器、工作站、筆記本電腦、平板電腦及 Android 、 iOS 等主流設備,用戶可以依賴其軟件的安全性。然而,許多物聯(lián)網(wǎng)設備難以實施基于軟件的安全性,因為它們沒有統(tǒng)一的接口和通信標準。
由于制造物聯(lián)網(wǎng)產(chǎn)品的供應商有很多,物聯(lián)網(wǎng)環(huán)境的通信協(xié)議通常都是專有的:由特定供應商為特定行業(yè)中的特定設備創(chuàng)建。因此,物聯(lián)網(wǎng)環(huán)境的設備通信、統(tǒng)一安全策略管理以及適時進行應用補丁與升級十分復雜。這是物聯(lián)網(wǎng)設備經(jīng)常出現(xiàn)配置錯誤、未打補丁和不安全的主要原因。
顯然,要想從一眾廠商中脫穎而出,并通過構(gòu)建滿足嚴格安全標準的產(chǎn)品建立信任,企業(yè)需要為客戶提供更安全的體驗。Check Point Quantum IoT Protect Firmware 可為用戶提供設備運行保護、抵御零日網(wǎng)絡攻擊,為企業(yè)打造更安全的使用體驗。
Check Point Quantum IoT Protect Firmware 采用了上述最佳安全實踐中提到的管理策略:
評估:確定哪些風險可能危害產(chǎn)品安全。
強化:控制流完整性 (CFI) 保護功能可實時阻止攻擊,包括零日攻擊,且不會影響用戶體驗。
控制:通過開放的 API 控制通信,設置安全實踐,管理產(chǎn)品。
因此,Check Point能夠幫助用戶真正體驗開箱即用的安全物聯(lián)網(wǎng)設備,同時幫助用戶通過部署安全的物聯(lián)網(wǎng),提升自身核心競爭力。
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市