第一,对大数据的收集持谨慎态度。之所以在前面用很多文字引用了华为和三星的战略内容,是有原因的。看华为,它有一个“集中收集、管理、处理数据后向合作伙伴、行业开放”的细节。而三星,也有一个“能够与云端连接”的细节。这些,是典型的收集大数据存储在云端的行为。这种行为,如果不加约束则危险很大。之前,三星智能电视监听事件,我们应该记忆犹新。试想,物联网之下,我们在这些硬件面前是“赤裸裸”的。所以,物联网企业应该“自律”,不要在大数据采集方面为所欲为。
第二,对大数据的转移和利用持谨慎态度。前面第一点里已经提到过一个细节:“处理数据后向合作伙伴、行业开放”。这应该是大数据在不同企业间转移、利用的过程。而大数据在转移与利用的这个过程里,也有危险。毕竟,各个厂商的安全意识、安全水平、硬件水平不一,安全隐患很大。欧洲反计算机病毒协会创始人、德国歌德塔(G
Data)安全软件公司安全顾问Eddy
Willems在接受我的采访时也曾说过,“企业不同设备之间的安全过滤措施不够”。所以,这种大数据之间的合作很让人担忧。这个问题,必须解决。
第三,严防外部危险因素的侵入。如果说前两点属于物联网企业的“内因”的话,那么第三点就是严防“外因”。目前,黑客利用商用WIFI入侵的例子已经很多,甚至连飞机都难以幸免。这就要求我们的物联网企业,必须重视安全防范问题。这些问题包括,商用WIFI的过度商业化的问题,软件的漏洞问题,智能硬件和数据库的密码问题,硬件设备的加密问题,物联网企业安全意识不强的问题,物联网用户安全意识不强的问题,还有不同物联网企业之间的终端设备兼容问题。如果这些问题不予解决,那黑客会无孔不入的。
近日,外媒报道称,物联网安全公司Armis在蓝牙协议中发现了8个漏洞,这些漏洞将影响53亿设备——从Android、iOS、Windows以及Linux系统设备、到使用短距离无线通信技术的物联网设备,无一幸免。
蓝牙耳机、键盘、智能家居设备,Bluetooth技术产品为大家生活提供了便利,让办公家居环境摆脱多种电缆缠绕的困扰。突如其来的安全隐患让蓝牙使用者不得不捏起一把汗。
Armis的安全研究人员通过发现的Android信息泄露漏洞、Android蓝牙网络封装协议服务中的远程执行代码漏洞等8个安全漏洞,设计了一个名为“BlueBorne”的攻击场景,攻击者完全可以控制用户的蓝牙设备。在“BlueBorne”攻击形式下,黑客甚至可以建立一个“中间人”(MITM)连接,在无需与受害者进行任何交互的情况下,轻松获取设备关键数据和网络的访问权。
(图:外媒报道,蓝牙协议被曝存严重的安全漏洞)
更令人担忧的情况是,BlueBorne攻击可能会像今年5月爆发的WannaCry蠕虫勒索病毒一样迅速蔓延,对全球大型公司和组织造成难以估量的损害。
Armis实验室研究团队防护方法
他们成功构建了一个僵尸网络,并使用BlueBorne攻击顺利安装了勒索软件。从理论上讲,BlueBorne可以服务于任何恶意目的,例如网络间谍、数据窃取、勒索攻击,甚至利用物联网设备创建大型僵尸网络。
那么,蓝牙安全漏洞会给用户带来什么样的“灾难”呢?
以Android平台为例,在用户开启蓝牙功能并且没有打补丁的情况下,黑客就可以远程发起攻击,并不断尝试直至攻击成功,因为Android的蓝牙服务崩溃后,系统会自动重启该服务,用户感知不到。
黑客攻击成功后,能够获取非常高的权限,譬如:可控制摄像头、拍照、截屏、启动应用、唤醒手机;读取通信录、照片、文档;可控制手机键盘;可模拟用户点击;对用户网络相关服务有完整控制权限,可监控用户网络流量、可发起MITM攻击。
黑客可以利用该漏洞,在被攻击手机上下载恶意应用,然后模拟用户确认,进行安装。
腾讯手机管家安全专家杨启波建议
用户在不使用手机等设备时先暂时“关闭”蓝牙设置,可以有效抵御攻击风险;同时,Android、iOS等系统设备的用户,及时更新安全补丁,可以极大地防范漏洞风险。
如今,手机已成为现代人的第二器官,其安全性也越来越重要。各位小伙伴们在使用手机及其配件时一定要注意安全,谨防个人信息泄露!
物联网的引入已经推动了多个行业的发展,例如农业、公用事业、制造业和零售业。物联网解决方案有助于提高工厂和工作场所的生产率和效率。同样,由物联网驱动的医疗设备也导致了互联和主动的医疗保健方法的发展。
智慧城市还利用物联网来构建联网的交通信号灯和停车场,以减少交通流量不断增加的影响。
但是,物联网安全威胁的影响可能被证明是物联网实施中的主要问题。诸如DDoS、勒索软件和社会工程学之类的IoT安全威胁可用于窃取人员和组织的关键数据。攻击者可以利用IoT基础设施中的安全漏洞来执行复杂的网络攻击。当前,企业面临的五大IT威胁包括了恶意软件感染、安全漏洞、违规 *** 作,以及针对邮箱帐户的网络钓鱼。而物联网技术的普及也会破坏现有的IT风险管理机制。
在技术公司MetricStream对20个行业的120多家企业展开的全球调查中发现,近一半(44%)的大型企业认为未来三年物联网(IoT)技术在干扰IT风险管理项目方面具有相当大的隐患。
由于可连网设备大量普及,各个网络连接设备的管理程序并不统一,许多管理员在做物联网设备的管理架构时很容易忽视物联网的互通、完整以及安全协作层面的考量。
此外,除了简单的可见性之外,连接设备的软件开发混乱状态可能是最大的具体安全问题,不仅一些设备开始不安全,即使制造商发布补丁的缺陷,也可能难以分发和应用于有组织的方式 许多人根本不修补,因为正在进行的软件开发根本不在特定类型的设备的预算中。
虽然一般来说,IT GRC访问控制解决方案可以通过自动化工作流程,及时提供风险情报来指导决策,来增加网络防护能力。但政策、培训计划和信息治理框架都同样重要。
因此,要防范此前美国信用评级机构Equifax遭受到的网络攻击,显然要企业拥有全面、灵活的IT风险管理策略才能应对。具体可以展开以下策略:
1、对于这些新兴的联网设备,哪些位置需要安全控制,以及如何部署有效地控制。鉴于这些设备的多样性,企业将需要进行自定义风险评估,以发现有哪些风险以及如何控制这些风险。
2、企业必须能够识别IoT设备上的合法和恶意流量模式,并快速了解如何快速修复IoT设备漏洞以及如何优先排序漏洞修复工作。
3、企业还应该隔离IoT设备到vLAN或独立的网段进行有效监管。
以上由物联传媒整理提供,如有侵权联系删除
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)