物联网安全：挑战和最佳实践

物联网是近年来发展最快的技术趋势之一。但是，越来越多的安全问题使许多潜在用户无法使用IoT设备。本文介绍了物联网安全的挑战以及确保物联网系统安全的方法。

什么是物联网？

物联网（IoT）是一种智能设备网络，它们相互连接，以便在无需人工干预的情况下通过互联网交换数据。物联网系统中的设备范围从简单的传感器到DNA分析设备和冰箱。物联网技术需要几个相互紧密交互的智能设备。物联网系统的架构需要无线网络和云数据库进行通信。

物联网设备可以执行不同的功能，但是其主要目的是通过传感器收集，存储和处理有关环境的数据，以便将这些数据传递给其他设备。

为了确保数据处理，物联网系统包括以下组件：

· 嵌入式处理器的智能设备

· 带有边缘处理器的网关（智能手机，集线器或服务器）

· 带有远程服务器的云或数据中心可通过无线连接交换数据

物联网技术几乎应用于所有领域：家庭，制造业，汽车工业，医疗保健，能源，农业和楼宇自动化。

物联网安全的重要性

物联网设备使我们的生活更轻松，更舒适，但同时也面临着网络攻击的风险。物联网系统的安全性在大多数企业和家庭中仍然是盲点，但是低估这些设备受到的威胁可能会付出惨痛的代价。

2014年，惠普发起了一项调查，该调查显示十种流行的智能设备中有七种容易受到潜在攻击。识别出的大多数安全风险与未加密的数据、个人数据的收集、易受攻击的用户界面以及不安全的通信有关。

在物联网设备市场迅速增长的同时，可能遭受攻击的风险也在增加。根据Gartner的调查，物联网将包括260亿个互联设备，到2020年，物联网安全支出将达到8.405亿美元。同时，超过25％的企业识别攻击将涉及物联网系统，这刺激了公司增加预算物联网安全。

同时，黑客利用物联网系统破坏敏感信息的方式正在增长。例如，某些IoT婴儿监视器包含允许未经授权进行监视的漏洞，而智能手表可以通知黑客您的位置，健康数据，甚至您输入的内容。

不用说，由于某些物联网设备用于医疗保健或人类保护，因此其安全性对于人们的生活至关重要。

物联网系统面临的5大最常见网络安全挑战

确保物联网系统安全的主要挑战是，大多数传统的物联网设备资源受限且功能有限，因此它们无法运行传统的安全功能。以下列出了物联网安全中的其他常见挑战：

1.固件漏洞

许多物联网设备由于未更新固件而变得容易受到网络攻击。即使设备首次上线时固件具有抗攻击性，随着时间的流逝也可能发现漏洞。因此，如果没有持续的固件更新，设备的安全性就会降低。

2.不安全的通讯

大多数现有的安全功能最初都是为台式计算机设计的，很难在资源受限的IoT设备上实现。因此，物联网设备之间仍然普遍存在诸如数据泄漏和未加密数据之类的安全漏洞。

如果设备不使用加密和身份验证机制，则黑客可以轻松地执行中间人攻击，以破坏更新过程并控制您的设备。攻击者甚至可以安装恶意软件或更改设备的功能。此外，您的设备发送的明文消息可能会被其他设备捕获，并可供攻击者使用。

此外，未隔离的连接设备容易相互攻击。例如，如果攻击者可以访问您家庭网络中的一台设备，则他们可以进行恶意活动来危害其他设备。

3.物联网系统的数据泄漏

通过捕获产品中未加密的消息，黑客可以访问有关您的位置，银行帐户，健康状况等的信息。但是，不安全的通信并不是攻击者收集有关用户的个人信息的唯一方法。所有数据都通过云进行传输，并且云托管的服务也可能遭受外部攻击。因此，设备本身和云中都可能发生数据泄漏。

4.对恶意软件和其他滥用的敏感性

物联网设备容易受到恶意软件的攻击，攻击者可以使用它们来更改功能，收集个人数据以及发起其他攻击。此外，如果制造商不能确保所提供软件的足够安全性，设备可能会立即感染病毒。到消费者开始使用IoT设备时，可能已经发现固件中的新漏洞，需要进行更新以再次确保设备安全。默认情况下打开的漏洞（如身份验证弱或未使用和不安全的端口）也可能使设备受到滥用。

5.服务中断的可能性

物联网设备的安全挑战之一是由于物理损坏或网络连接或云支持丢失而导致服务中断的风险。

设备可能会被盗，受损甚至物理损坏。此外，由于Wi-Fi或无线电干扰或断电，其与网络的连接可能会中断。至于云连接，您的设备可能失去与云的链接的原因很多。云软件可能存在错误，互联网连接中断，或者仅仅是用户决定停止使用基于云的应用程序。

无法使用或损坏的产品可能会导致局域网运行不正常，财产损失和入侵。

IoT设备上的7种最常见的攻击类型

由于其安全漏洞，物联网系统可能容易受到各种网络攻击。以下是IoT设备上最常见的攻击类型列表。

1.拒绝服务攻击。物联网设备的处理能力有限，使其非常容易受到拒绝服务攻击。在DoS攻击期间，由于大量假流量，设备响应合法请求的能力受到损害。

2.拒绝睡眠攻击。连接到无线网络的传感器应不断监控环境，因此它们通常由不需要频繁充电的电池供电。通过将设备大部分时间保持在睡眠模式来保留容量。睡眠和唤醒时间是根据不同协议（例如MAC）的通信需求控制的。攻击者可能利用MAC协议的漏洞来执行拒绝睡眠攻击。这种攻击会消耗电池电量，因此会禁用传感器。

3.中间人攻击。在设备和基于云的应用程序之间插入流量的攻击者可以利用未加密的通信攻击不完善的物联网网络。

4.设备欺骗。当设备的数字签名和加密实现不当时，这是可能的。例如，黑客可能利用不良的公共密钥基础设施（PKI）来“欺骗”网络设备并破坏IoT部署。

5.恶意软件。由于缺乏软件更新，攻击者可以在设备上安装恶意软件，然后使用其执行恶意活动。诸如宽带路由器，销售点系统和健康设备之类的设备容易受到恶意软件的攻击。

6.物理入侵。尽管大多数攻击都是远程进行的，但如果设备被盗，也可能对其进行物理入侵。攻击者可以篡改设备组件，使它们无法正常运行。

7.基于应用程序的攻击。当嵌入式系统上使用的设备固件或软件存在安全漏洞或云服务器或后端应用程序存在漏洞时，可能会发生此类攻击。

如何确保物联网系统的安全性

确保物联网系统安全的主要问题是，传统的安全技术并非针对功率受限的设备，低带宽网络和资源受限的平台而设计。此外，物联网产品的安全功能可能还会增加其成本和开发时间，这绝对不是业务驱动因素。

物联网安全最佳实践旨在提高物联网系统三个主要组件的安全性：设备，网络和数据。

1.固定装置

· 防篡改硬件。物联网设备可能被攻击者窃取，以便对其进行篡改或访问敏感数据。为了防止这种情况，有必要使您的产品防篡改。您可以通过使用端口锁或摄像机护盖以及应用强大的启动级密码或采取其他措施来防止损坏产品，从而确保物理安全。

· 提供补丁程序和更新。尽管仅在销售时向制造商赔偿，但设备的持续维护需要额外的费用。但是，只有不断更新和修补才能确保产品的适当安全性。最好建立不需要用户采取任何措施的自动和强制性安全更新。告知消费者您支持产品的时间间隔，并告诉用户在此期间结束后应该做什么。

· 渗透测试和动态代码分析。渗透测试是查找IoT产品固件和软件漏洞并尽可能减少攻击面的主要工具。最初，静态代码分析用于发现最明显的缺陷，但是要挖掘隐蔽的漏洞，则需要使用动态测试。动态测试是在编译后的代码上执行的，而编译后的代码将像在正常操作期间一样运行，从而使您可以在接近实际用例的情况下测试代码。由于IoT设备与环境广泛交互并与其他设备通信，因此在渗透测试中使用动态代码分析非常重要。

· 数据保护。物联网设备还应确保性能和产品开发后的数据安全。确保加密密钥存储在非易失性设备内存中。此外，您可以提供处置用过的产品或提供不暴露敏感数据而丢弃它们的方法。

· 性能要求。物联网设备中的处理器和微控制器的性能应满足某些要求，以确保适当的可用性。例如，它们应该使用很少的功率，但提供高处理能力。此外，设备应确保授权，数据加密和无线连接。只要有可能，即使暂时中断了与互联网的连接，您的物联网产品也应该能够执行其功能。

2.保护网络

· 强认证。这可以通过使用唯一的默认凭据来实现。在命名或寻址产品时，请使用最新的协议以确保其功能长期存在。如果可能，请为您的产品提供两步验证，例如，使用复杂的密码和安全码。

· 加密和安全协议。设备之间的通信也需要安全保护。但是，密码算法应适合于物联网设备的有限容量。可以将传输层安全性（TLS）或轻型密码术（LWC）应用于这些目的。物联网架构允许您使用无线或有线技术，例如RFID，蓝牙，蜂窝，ZigBee，Z-Wave，线程和以太网。此外，您可以使用优化协议（例如IPsec和SSL）确保网络安全。

· 最小化设备带宽。将网络流量限制为IoT设备运行所需的数量。如果可能，对设备进行编程以限制硬件和内核级带宽并显示可疑流量。这将保护您的产品免受可能的DoS攻击。该产品还应该编程为在检测到恶意软件的情况下重新启动并清除代码，因为恶意软件可以用来劫持设备并将其用作僵尸网络的一部分以执行DDoS攻击。

· 将网络划分为多个部分。通过将大型网络划分为多个较小的网络，实现下一代防火墙的安全性。为此，请使用IP地址或VLAN的范围。为了确保安全的Internet连接，请在IoT系统中实现VPN。

3.保护数据

· 保护敏感信息。为每种产品安装唯一的默认密码，或者在首次使用设备时要求立即更新密码。使用身份验证可确保只有授权用户才能访问数据。此外，如果用户决定退回或转售产品，请安装重置机制以清除敏感数据和配置设置。

· 仅收集必要的数据。确保您的物联网产品仅收集其操作所需的数据。这将减少数据泄露的风险并保护消费者的隐私。

· 安全的自定义网络通信。为了获得更好的安全性，请限制产品的通信。不要完全依赖网络防火墙，而是通过默认情况下通过入站连接使产品不可见来确保安全通信。此外，使用针对物联网系统需求优化的加密方法和协议。

结论

物联网设备的开发人员应从开发阶段开始考虑其产品的安全性。但是，很难找到经验丰富的专业人员来为物联网设备的需求采用安全技术。开发安全的物联网产品需要硬件安全工程师的技能，具有设计安全软件的丰富经验的工程师以及具有渗透测试的大量经验的质量保证专家。