GRL, Sanjay K Sharma
消费类物联网(IoT)设备的迅速普及为我们日常生活带来了前所未有的便利。调查预计全球物联网设备数将在 2030 年将达到 290 亿台,其中也包括如婴儿监视器、烟雾探测器和门锁的安全设备。此外,智能相机、电视、扬声器、可穿戴健康追踪器等娱乐系统,家庭自动化和报警系统也让生活管理的方方面面更无缝。然而,物联网的扩散也增加了网络中的安全风险。连接到网络的每台备都有可能成为网络攻击者的入点。由于许多物联网设备在安全功能方面偏落后,也缺乏定期更新,使得物联网系统成为了致命的空挡。
2023 年:物联网软件攻击率激增
对于物联网安全来说,2023 年就是个关键的转折点。一份 Zscaler ThreatLabz 的报告显示,物联网恶意软件攻击比前一年增加了 400%1,而这激增也跟互联设备的日益扩散有着密切关系。
2024 年 Roku 网络攻击
美国高科公司 Roku 在 2024 年遭受了网络攻击,使得超过 576,000 个账户2泄密。这事件也凸显了互联体制的漏洞,让全世界再次考量消费者信任、监管合规性以及网络安全措施等问题。而缺乏了足够安全保障的设备更是有可能成为 DDoS 攻击的起发点。不久之后所发生的 Mirai 僵尸网络攻击3恰恰利用了如此设备扰乱了不少数的官网,通过智能摄像头、健康监视器等设备将数十万人置于危险之中,在次突显了网络攻击的潜在规模。
物联网设备的安全漏洞
为了避免在物联网设备连接到广泛网络后暴露漏洞,推荐提前弥补以下弱点:
- 薄弱身份验证:如用户名和密码的身份验证机制已无法提供足够的保护,而仍依靠这样落后措施的设备易让网络分子上手。
- 未加密的存储数据: 物联网设备上存储的个人数据必须加密,以免被提取和滥用。
- 未使用的接口: 如果开放或未使用的接口没有被妥善保护或禁用,攻击者能利用此接口获得未经授权的访问或对设备进行远程控制。
- 缺乏定期更新: 缺乏定期安全更新的物联网设备必然积累漏洞,随着时间越来越容易被侵入。
制造商的角色:由于消费者往往对物联网设备的漏洞不熟悉,制造商更是需要对产品的身份验证协议,固件更新,加密存储等安全措施保持紧密。
根据欧盟 RED 规定,在欧盟区分布的消费类物联网设备必须在2025年8月之前获得 CE 标志认证,以证明该产品符合了最基本的网络安全要求。此外,制造商还要根据各种目标市场考虑 ETSI EN 303 645、NIST、OWASP Top 10、CWE 25 等私营认证计划。这些标准则通过13项关键建议为联网消费产品提供以下安全措施:
- 取消默认密码
- 实施漏洞披露政策
- 持续的软件更新
以获得各种国家和国际标准认证的 GRL 实验室根据上述的标准为消费类物联网设备,应用以及电信设备进行全面的安全测试。在网络危机在日益进化的情况下,别等到为时已晚。现在就联系物联网专家,积极做好应对最坏情况的准备,以保护您的客户和品牌。
关于作者
Sanjay K Sharma
副总监 – 网络安全服务
Sanjay K Sharma 负责根据各种国家、国际和行业标准开发网络安全服务并建立评估设施。 支持物联网和数字连接技术战略。
参考资料
- Adm Ford. 11 Jan 2024. Securing Public Sector Against IoT Malware in 2024. Zscaler Blog.
- Ty Roush. 12 Apr 2024. Roku Says 576,000 Accounts Compromised In Latest Security Breach. Forbes.
- Cloudflare. What is the Mirai Botnet?