刘敏
作者很懒,什么都没留下

31

文章/篇

30.6万

阅读/次

拜访信息

为了给您提供更快更好的服务,在获取作者联系方式前,想对您有个简单了解. 邀请您填写如下信息

提交成功

非常感谢您的配合,我们的作者会尽快通过您的微信,
请耐心等待~

微信号

15701235851

物联网兴起的背后,危机重重?

刘敏
2017-09-23 · 17:21
[ 亿欧导读 ] 物联网正在全速前进,没有任何放缓的迹象。今年早些时候,Gartner公司报告称,2017年将有84亿件“东西”投入使用。这比2016年增长了31%,如果企业现在不采取行动,它也将创造同样多的漏洞。
物联网,商业应用,物联网,金融科技

文章来源于:刘敏,图片来自“123rf.com.cn”

本文来自techproresearch.com,作者CHRISTINE PARIZO;由亿欧编译。


物联网正在全速前进,没有任何放缓的迹象。今年早些时候,Gartner公司报告称,2017年将有84亿件“东西”投入使用。这比2016年增长了31%,如果企业现在不采取行动,它将创造同样多的漏洞。

Gartner预测,到2020年,联网的产品将达到204亿件。中国、北美和西欧将会占据2017年整体物联网的三分之二,同时也是消费领域最大的用户。但企业并没有落后太多,预计在2017年,他们将会使用31亿个联网的设备。这就导致了僵尸网络、蛮力和注入攻击的可能性,黑客可以利用它们进行攻击。专家建议警惕和问责,以防止和减少违规行为。

漏洞在哪里?

“物联网设备最常见的弱点是注入问题,”Rob Clyde说,他是ISACA的副主席。这包括从应用程序的SQL注入到操作系统和主机上下文中的溢出条件。有了物联网,这些问题可能会肆虐。首先,设备制造商可能没有像其他类型的供应商那样快速地推出安全补丁的基础结构和流程。此外,一些物联网设备不会自动更新漏洞。

根据Risk Based Security的Brian Martin的说法,暴力攻击并不依赖于软件的相同类型的漏洞。他说,物联网的漏洞源于没有实施适当的暴力攻击保护,比如账户锁定或请求限制。

Martin说,虽然BYOD攻击来自于网络浏览器和操作系统的缺陷,但物联网攻击往往是基于特定厂商代码中的漏洞。“在设备周围包装一个网络界面可能会导致常见的网络攻击,比如跨站脚本(XSS)、跨站点请求伪造(CSRF)、SQL注入(SQLi)、远程命令执行和常见的默认凭证。”

“Mirai的僵尸网络就是这样,”Pascal Geenens说,他是Radware的安全布道者。然而,Hajime的僵尸网络利用了由制造商在调制解调器上创造的安全后门,以及默认的密码,感染设备。他说,后门是为服务提供商提供的,但如果他们没有得到管理,很可能会被恶意滥用。

随着物联网设备继续向商业世界进军,组织应该有一个明确的物联网结构,以确保数据和运营得到妥善保护。这些准则涵盖了物联网设备的采购、使用和管理,无论是由公司还是员工拥有,并免费向科技专业研究者开放。

如何预防?

Clyde说,组织可能没有负责维护物联网安全的个人,但这是一个关键的预防步骤。他说:“确保有人被分配看守,并实施与物联网或其他问题相关的补丁或变通方案。“理想情况下,物联网设备应该自动更新。Clyde还建议,保持一种无线连接的、IP连接的或其他设备的库存,这些设备可能会存储、处理或传输潜在的敏感信息。

Geenens表示:“我们还应该注意到,当安全研究人员公布了漏洞,并由制造商发布补丁时,这并不一定意味着用户会立即更新,这可能会让设备暴露出来。”

可以制定一些基本的步骤来防止攻击:更改默认密码、定期更新和检查软件和微代码,并在防火墙或安全网关后面放置非调制解调器或路由器的设备。Geenens说:“通常没有什么好理由直接把不受保护的物联网设备连接到公共互联网,除了调制解调器和路由器。”就像其他类型的设备一样,你应该在有大量物联网设备的网络上实现基于流量的异常检测或入侵防御系统。

Geenens说:“根据我的经验,在设计网络安全的设备上,没有任何标签。”即使是高端设备也有后门和漏洞——没有任何东西能从研发中获得完美的安全防御。

因此,预防也需要扩展到部署。Geenens说道,物联网设备应该放在单独的部分,理想情况下,网络将是微分割的。这样,如果设备被破坏,它也不会感染网络的其他部分。

至于产品,发布安全漏洞政策的供应商,以及关于谁与安全问题接触的明确指示,会是一个很好的起点,Jason Malacko说,他是Logicalis US的安全实践关系和产品经理。

随着物联网被广泛采用,它对黑客的吸引力将会越来越大——就像所有技术一样。通过现在的行动、搜索安全产品和实施策略,企业可以在向组织引入连接设备时保护自己。

本文经授权发布,版权归原作者所有;内容为作者独立观点,不代表亿欧立场。如需转载请联系原作者。

各工作岗位将被AI取代的概率

选择岗位,查看结果

制图员和摄影师

87.9%

广告

参与评论

最新文章

1、 若贵平台是网站或者APP,在进行单篇原创文章转载时,需在文章标题或者导语下方,注明文章来源以及作者名称;若寻求5篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。

【若贵司平台转载亿欧公司原创文章已经超过5篇,请及时与我们联系补签转载合作协议,计算时间以2019年2月10日之后为准】

2、 若贵平台是微信公众号,在进行单篇原创文章转载时,请联系亿欧公司内容运营人员进行单篇文章的白名单开通,同样需要注明文章来源及作者名称;若寻求2篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。可将公司全称(简称)、公司网址、微信公众号、微信或者电话等信息发送至hezuo@iyiou.com,会有工作人员与您取得联系。

关闭

快来扫描二维码,参与话题讨论吧!

快捷登录 密码登录
获取验证码

新用户登录后自动创建账号

登录表示你已阅读并同意《亿欧用户协议》

快捷登录 密码登录

账号为用户名/邮箱的用户 选择人工找回

关联已有账户

新用户或忘记密码请选择,快捷绑定

账号为用户名/邮箱的用户 选择人工找回

快速注册

获取验证码

创建关联新账户

发送验证码

找回密码

获取验证码
账号为用户名 / 邮箱的用户 选择人工找回

未完成注册的用户需设置密码

如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

账号密码登录

乐乐呵呵@微信昵称

该亿欧账号尚未关联亿欧网账户

关联已有账户

曾经使用手机注册过亿欧网账户的用户

创建并关联新账户

曾用微信登录亿欧网但没有用手机注册过亿欧的用户

没有注册过亿欧网的新用户

先前使用邮箱注册亿欧网的老用户,请点击这里进入特别通道
意见反馈
意见反馈
亿欧公众号 亿欧公众号
小程序-亿欧plus 小程序-亿欧plus
返回顶部