物联网安全是保护物联网 (IoT) 设备免受攻击的实践。
阅读本文后,您将能够:
复制文章链接
物联网 (IoT) 设备是计算机化的互联网连接对象,例如联网安全摄像头、智能冰箱和支持 WiFi 的汽车。物联网安全是保护这些设备并确保它们不会将威胁引入网络的过程。
任何连接到互联网的东西都可能在某个时候面临攻击。攻击者可能尝试使用各种方法远程破坏物联网设备,其方法涵盖凭证盗窃到漏洞利用等等。一旦他们控制了物联网设备,就可以利用它来窃取数据、进行分布式拒绝服务 (DDoS) 攻击,或尝试入侵连接网络的其余部分。
物联网安全可能特别具有挑战性,因为许多物联网设备在建造时没有考虑到强大的安全性——通常情况下,相比安全性,制造商更注重功能和可用性,以便设备能够迅速进入市场。
物联网设备已日渐成为日常生活的一部分,消费者和企业都可能面临物联网安全挑战。
所有计算机化设备都有固件,这是操作硬件的软件。在计算机和智能手机中,操作系统在固件之上运行;对于大多数物联网设备来说,固件本质上就是操作系统。
大多数物联网固件都不像计算机上运行的复杂操作系统那样有许多安全保护措施。而且这种固件往往充斥着已知的漏洞,在某些情况下无法修补。这使得物联网设备容易受到针对这些漏洞的攻击。
许多物联网设备都带有默认的管理员用户名和密码。这些用户名和密码通常不是很安全,例如,使用“password”作为密码。更糟糕的是,有时给定型号的所有物联网设备都共用这些相同的凭证。在某些情况下,这些凭证无法重置。
攻击者很清楚这些默认的用户名和密码,许多成功的物联网设备攻击仅仅是因为攻击者猜到了正确的凭证。
在途攻击者将自己置于相互信任的两方(例如,物联网安全摄像头和摄像头的云服务器)之间,并截获两者之间的通信。物联网设备特别容易受到这种攻击,因为许多设备默认不加密通信(加密会扰乱数据,使其不能被未经授权的各方理解)。
许多物联网设备,如物联网安全摄像头、交通信号灯和火灾警报器,都或多或少地放置在公共区域的永久位置。如果攻击者可以物理访问物联网设备的硬件,他们就可以窃取其数据或接管设备。这种方法一次只会影响一个设备,但如果攻击者获得的信息使他们能够破坏网络上的其他设备,那么物理攻击可能会产生更大的影响。
恶意方经常使用不安全的物联网设备在 DDoS 攻击中生成网络流量。当攻击方可以从各种不同的设备向其目标发送流量时,DDoS 攻击会更加强大。此类攻击更难阻止,因为涉及的 IP 地址太多(每个设备都有自己的 IP 地址)。Mirai 僵尸网络是有记录以来最大的 DDoS 僵尸网络之一,主要由物联网设备组成。
每当制造商发布漏洞补丁或软件更新时,都需要更新物联网设备。这些更新消除了攻击者可以利用的漏洞。没有最新的软件会使设备更容易受到攻击,即使它只是过时了几天。在许多情况下,物联网固件更新由制造商控制,而不是设备所有者,制造商有责任确保漏洞得到修补。
如果可能的话,应更新物联网设备管理凭证。最好是避免在多个设备和应用程序中重复使用凭证——每个设备都应该有一个独特的密码。这有助于防止基于凭证的攻击。
物联网设备相互连接、与服务器连接,并与其他各种联网设备连接。每一个连接的设备都需要进行身份验证,以确保它们不会收到来自未经授权方的输入或请求。
例如,攻击者可以假装是一个物联网设备,并向服务器请求机密数据,但如果服务器首先要求他们出示一个真实的 TLS 证书(下文中会详细介绍此概念),那么此攻击将不会成功。
在大多数情况下,这种类型的身份验证需要由设备制造商进行配置。
物联网设备数据交换在通过网络时容易受到外部方和在途攻击者的攻击——除非使用加密来保护数据。可以将加密想象成一个信封,在信件通过邮政服务时保护其内容。
加密必须与身份验证相结合,以完全防止在途攻击。否则,攻击者可以在两个物联网设备之间建立单独的加密连接,并且两者都不会意识到它们的通信被拦截了。
大多数物联网 (IoT) 设备都具备多种功能,其中一些功能可能未被所有者使用。但即使未使用这些功能,用户可能也会保持设备上的其他端口处于打开状态,以备不时之需。连网设备打开的端口越多,攻击面就越大,攻击者通常只需简单地 ping 设备上的不同端口来寻找处于打开状态的端口。禁用不必要的设备功能,将会关闭这些额外的端口。
DNS 过滤是使用域名系统阻止恶意网站的过程。将 DNS 过滤作为一种安全措施添加到具有物联网设备的网络中,可以防止这些设备访问互联网上它们不应访问的位置(即攻击者的域)。
相互传输层安全 (mTLS) 是一种相互身份验证,即网络连接的双方相互验证。TLS 是一种用于在客户端-服务器连接中验证服务器的协议;mTLS 验证两个连接的设备,而不仅仅是一个。
mTLS 对于物联网安全很重要,因为它确保只有合法的设备和服务器才能发送命令或请求数据。它还加密网络上的所有通信,使攻击者无法拦截它们。
mTLS 要求向所有经过身份验证的设备和服务器颁发 TLS 证书。TLS 证书包含设备的公钥和证书颁发者的信息。可以将展示 TLS 证书以启动网络连接想象成人们展示其身份证以证明其身份。
Cloudflare API Shield 使用强客户端证书身份和严格基于模式的验证来保护物联网 API,从而保护物联网设备。了解有关 Cloudflare API Shield 的更多信息。
Cloudflare Zero Trust 针对物联网设备和组织的其他计算资源(例如员工笔记本电脑和内部服务器)都支持 mTLS。要了解有关使用 Cloudflare Zero Trust 安装 mTLS 的更多信息,请参阅我们的文档。还可以阅读有关 mTLS 的更多信息。