By GRL Team on Jul 30, 2024
IoT

物联网消费设备:迎接便利性或保持安全谨慎?

   

GRL, Sanjay K Sharma

消费类物联网(IoT)设备的迅速普及为我们日常生活带来了前所未有的便利。调查预计全球物联网设备数将在 2030 年将达到 290 亿台,其中也包括如婴儿监视器、烟雾探测器和门锁的安全设备。此外,智能相机、电视、扬声器、可穿戴健康追踪器等娱乐系统,家庭自动化和报警系统也让生活管理的方方面面更无缝。然而,物联网的扩散也增加了网络中的安全风险。连接到网络的每台备都有可能成为网络攻击者的入点。由于许多物联网设备在安全功能方面偏落后,也缺乏定期更新,使得物联网系统成为了致命的空挡。

2023 年:物联网软件攻击率激增

对于物联网安全来说,2023 年就是个关键的转折点。一份 Zscaler ThreatLabz 的报告显示,物联网恶意软件攻击比前一年增加了 400%1,而这激增也跟互联设备的日益扩散有着密切关系。

2024 年 Roku 网络攻击

美国高科公司 Roku 在 2024 年遭受了网络攻击,使得超过 576,000 个账户2泄密。这事件也凸显了互联体制的漏洞,让全世界再次考量消费者信任、监管合规性以及网络安全措施等问题。而缺乏了足够安全保障的设备更是有可能成为 DDoS 攻击的起发点。不久之后所发生的 Mirai 僵尸网络攻击3恰恰利用了如此设备扰乱了不少数的官网,通过智能摄像头、健康监视器等设备将数十万人置于危险之中,在次突显了网络攻击的潜在规模。

 

物联网设备的安全漏洞

为了避免在物联网设备连接到广泛网络后暴露漏洞,推荐提前弥补以下弱点:

 

  1. 薄弱身份验证:如用户名和密码的身份验证机制已无法提供足够的保护,而仍依靠这样落后措施的设备易让网络分子上手。
  2. 未加密的存储数据: 物联网设备上存储的个人数据必须加密,以免被提取和滥用。
  3. 未使用的接口: 如果开放或未使用的接口没有被妥善保护或禁用,攻击者能利用此接口获得未经授权的访问或对设备进行远程控制。
  4. 缺乏定期更新: 缺乏定期安全更新的物联网设备必然积累漏洞,随着时间越来越容易被侵入。

 

制造商的角色:由于消费者往往对物联网设备的漏洞不熟悉,制造商更是需要对产品的身份验证协议,固件更新,加密存储等安全措施保持紧密。

根据欧盟 RED 规定,在欧盟区分布的消费类物联网设备必须在2025年8月之前获得 CE 标志认证,以证明该产品符合了最基本的网络安全要求。此外,制造商还要根据各种目标市场考虑 ETSI EN 303 645、NIST、OWASP Top 10、CWE 25 等私营认证计划。这些标准则通过13项关键建议为联网消费产品提供以下安全措施:

  • 取消默认密码
  • 实施漏洞披露政策
  • 持续的软件更新

以获得各种国家和国际标准认证的 GRL 实验室根据上述的标准为消费类物联网设备,应用以及电信设备进行全面的安全测试。在网络危机在日益进化的情况下,别等到为时已晚。现在就联系物联网专家,积极做好应对最坏情况的准备,以保护您的客户和品牌。

 

关于作者

Sanjay K Sharma

副总监 – 网络安全服务

Sanjay K Sharma 负责根据各种国家、国际和行业标准开发网络安全服务并建立评估设施。 支持物联网和数字连接技术战略。

 

参考资料

  1. Adm Ford. 11 Jan 2024. Securing Public Sector Against IoT Malware in 2024. Zscaler Blog.
  2. Ty Roush. 12 Apr 2024. Roku Says 576,000 Accounts Compromised In Latest Security Breach. Forbes.
  3. Cloudflare. What is the Mirai Botnet?

Published by GRL Team Jul 30, 2024

Related Post