事故层出不穷，物联网还有哪些安全盲点

许多人认为物联网设备很简单，但它们其实并不简单，实际上它们运行的是具有完整网络堆栈和应用层的 *** 作系统。更糟糕的是，其中大部分是我们无法控制的。据研究，多达82%的企业无法识别连接到其网络的所有设备，77%的公司承认物联网设备量的增加会带来严重的安全挑战。

由于我们无法控制的设备数量持续增长，因此风险也在增加。我们已经看到僵尸网络的显着增加，物联网设备被接管并用于从数量、暴力攻击到垃圾邮件和数据泄露等各种应用。例如，骇客可以控制交通摄像头，上传流氓固件，从而可以远程控制受影响的设备。

目前摄像机在动态DNS服务、设备间的通信和缓冲区溢出漏洞方面都存在问题。易受攻击的物联网设备为恶意软件的迅速传播提供入口点。同样，随着我们无线连接的增强，使更多设备能够相互连接，威胁也在不断增加。例如BlueBorne攻击，它允许攻击者利用蓝牙中的漏洞接管设备。目前53亿个设备存在该风险，开启蓝牙功能使攻击者可以悄悄接管任何设备。

这些易受攻击的端点的最恐怖的事情之一是，它们可以让攻击者在您不知情的情况下获得访问权限。如果您不知道网络上的所有设备有哪些或不知道它们是否已正确打补丁，那么就不知道这些设备的防御措施何时已失效。同样，尽管防火墙在某些特定点上可能会很好地保护外围设备并监控网络流量，但企业之间通常也不清楚网络上列入白名单的设备是否适合。并且现在这些设备为了可以直接相互通信，通常使用蓝牙或Wi-Fi来绕过安全系统。

那么物联网所需要做的是将可视性从外围设备扩展到网络核心。一个成功的架构不能依赖代理，它必须清楚所有连接的设备是什么，以及设备何时被入侵。在实施安全解决方案时，需要一些可以与现有环境集成并且位于现有网络基础架构之上的工具，以提供观察。

尽可能地采用自动化，以避免安全团队的重复性工作。同样，分析物联网中各个设备的行为。建模网络中所有设备的预期行为和预期行为，在可能的地方自动执行安全策略，并将不正常的情况报告给安全人员。虽然物联网正在促成许多行业令人振奋的发展，但我们不能忽视安全问题，否则它可能成为发生重大事件的盲点。

以上由物联传媒提供，如有侵权联系删除

转（ >物联网的引入已经推动了多个行业的发展，例如农业、公用事业、制造业和零售业。
物联网解决方案有助于提高工厂和工作场所的生产率和效率。同样，由物联网驱动的医疗设备也导致了互联和主动的医疗保健方法的发展。
智慧城市还利用物联网来构建联网的交通信号灯和停车场，以减少交通流量不断增加的影响。
但是，物联网安全威胁的影响可能被证明是物联网实施中的主要问题。诸如DDoS、勒索软件和社会工程学之类的IoT安全威胁可用于窃取人员和组织的关键数据。攻击者可以利用IoT基础设施中的安全漏洞来执行复杂的网络攻击。

物联网的安全和互联网的安全问题一样，永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据，其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高，对“隐私权”(Privacy)保护的要求也更高（如ITU物联网报告中指出的），此外还有可信度(Trust)问题，包括“防伪”和DoS（Denial of Services）（即用伪造的末端冒充替换（eavesdropping等手段）侵入系统，造成真正的末端无法使用等），由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样，主要有8个尺度： 读取控制，隐私保护，用户认证，不可抵赖性，数据保密性，通讯层安全，数据完整性，随时可用性。 前4项主要处在物联网DCM三层架构的应用层，后4项主要位于传输层和感知层。其中“隐私权”和“可信度”（数据完整性和保密性）问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析，我们会发现现有的安全体系基本上可以满足物联网应用的需求，尤其在其初级和中级发展阶段。
物联网应用的特有（比一般IT系统更易受侵扰）的安全问题有如下几种：
1 Skimming：在末端设备或RFID持卡人不知情的情况下，信息被读取
2 Eavesdropping: 在一个通讯通道的中间，信息被中途截取
3 Spoofing：伪造复制设备数据，冒名输入到系统中
4 Cloning: 克隆末端设备，冒名顶替
5 Killing:损坏或盗走末端设备
6 Jamming: 伪造数据造成设备阻塞不可用
7 Shielding: 用机械手段屏蔽电信号让末端无法连接
主要针对上述问题，物联网发展的中、高级阶段面临如下五大特有（在一般IT安全问题之上）的信息安全挑战：
1 4大类（有线长、短距离和无线长、短距离）网路相互连接组成的异构（heterogeneous）、多级(multi-hop)、分布式网络导致统一的安全体系难以实现“桥接”和过度
2 设备大小不一，存储和处理能力的不一致导致安全信息（如PKI Credentials等）的传递和处理难以统一
3 设备可能无人值守，丢失，处于运动状态，连接可能时断时续，可信度差，种种这些因素增加了信息安全系统设计和实施的复杂度
4 在保证一个智能物件要被数量庞大，甚至未知的其他设备识别和接受的同时，又要同时保证其信息传递的安全性和隐私权
5 多租户单一Instance服务器SaaS模式对安全框架的设计提出了更高的要求
对于上述问题的研究和产品开发，国内外都还处于起步阶段，在WSN和RFID领域有一些针对性的研发工作，统一标准的物联网安全体系的问题还没提上议事日程，比物联网统一数据标准的问题更滞后。这两个标准密切相关，甚至合并到一起统筹考虑，其重要性不言而喻。
物联网信息安全应对方式：
首先是调查。企业IT首先要现场调查，要理解当前物联网有哪些网络连接，如何连接，为什么连接，等等。
其次是评估。IT要判定这些物联网设备会带来哪些威胁，如果这些物联网设备遭受攻击，物联网在遭到破坏时，会发生什么，有哪些损失。
最后是增加物联网网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具，这些物联网工具最好还要能够确认和阻止攻击，并且能够帮助物联网企业选择加密和访问控制（能够对攻击者隐藏设备和通信）的解决方案。