几维资讯> 行业资讯

黑客入侵告诉我们有关物联网的未来

几维安全 2020-05-27 15:11:03  631
分享到:

去年年底,新闻中充斥着有关被黑客入侵的智能相机的故事。报道的范围从 “黑客在他们8岁的女儿的房间里使用一台Ring摄像机” 到 “ Ring安全摄像机的骇客看到房主遭受种族虐待,赎金的要求”。 

尽管这些故事令人惊讶且令人不安,但对于安全行业的我们而言,并不是真正的突发新闻,即智能相机容易受到攻击。更令人惊讶的是, 2020年我们仍然看到这些对智能或联网设备的违规行为。 

随着互联网连接的设备不仅将房屋变成“智能家居”,而且使消费者在日常生活中遭受网络攻击,因此行业需要将注意力重新吸引到这些问题上,并找出潜在的解决方案。 

2013年的问题,2020年的技术

2013年的研究-物联网(IoT)的早期-发现智能电视可能相对容易地遭到破坏。自那以来的7年中,由资金雄厚的网络犯罪集团和国家级代理人利用自动化和AI发起的威胁呈指数级增长。但是,入侵Ring相机的人并不是技术含量高的人,也不是使用AI的人。他们是脚本小子,使用在Dark Web上找到并交易的凭据来访问未使用2FA或其他其他安全机制的设备。想象一下真正的高级攻击者可以做什么。 

不足为奇的是,在过去7年中,几乎每种类型的IoT设备都受到了威胁。威胁分析师,曾帮助公司识别数百种IoT设备,从不安全的智能冰箱和CCTV摄像机,到受损的视频会议系统和生物识别扫描仪。 

网络攻击者多年来一直利用物联网的弱点渗透到公司的网络中。新颖的是攻击者现在将注意力集中在消费设备上的方式。保护公司网络中的IoT设备的许多技术和创新都针对公司,使消费者处于弱势地位。 

同时,消费级设备被无意或有意地引入了公司环境。在这些设备上强制执行企业级安全控制是不可能的,因为它们从来都不是为企业设计的。获得对这些设备的可见性并对其进行密切监视实际上是企业前进的唯一途径。让它们进入前门,但是当它们偏离时要仔细观察。  

勒索软件在过去12个月中的成功仅产生了更多的网络犯罪组织和更多勒索软件变体。但是,随着企业实施可以检测并阻止勒索软件和其他机器速度威胁的技术,我们应该期望看到勒索软件的发展。 

在一次Ring摄像头黑客事件中,攻击者要求家人向他们支付50比特币,如果他们不遵守,将威胁身体暴力。在这种情况下,无需支付任何赎金,也没有暴力行为,但是对攻击的细微变化将使这成为一种更加危险的策略-认为这是“ 扑打 ” 的新时代。   

并非对手可以使用智能相机来勒索每天美国人的赎金。攻击者可以将您的恒温器设置为85度或45度,只有在您支付了赎金后才将其更改。对手可以操纵您的智能锁,将您锁在屋外。在本月初的CES上,宣布了许多新的智能家居设备-从电源插头,墙壁面板到淋浴喷头。智能家居设备的列表层出不穷,攻击者的创新层出不穷。 

在Ring黑客入侵之后,许多报道试图确定谁负责。难道是摄像头的生产者没有警告用户异常登录?那些没有启用两因素身份验证的家庭吗?Ring是否不合理地期望其用户实施2FA? 

责任分担。这些设备的开发人员应假定,消费者不会实行完美的甚至是良好的网络卫生。仅仅强迫他们这样做是朝正确方向迈出的一步。话虽如此,如果这是开发人员的责任,则企业将使设备变得太复杂而难以使用,从而冒着失去市场份额的风险。 

这将是一个长期的问题,如果我们不知道从哪里开始,我们将无法开始解决它。需要重点关注行业可以采取的切实行动。到2020年,房屋只会变得更加连通,消费者更加脆弱。 

公司一直在大步前进–在其IoT系统中内置更多安全功能,向消费者提供有关潜在风险的更多信息–但是网络参与者的行动速度要比大型公司快。有没有人看过今年所有的CES设备并评估了比其他设备更安全的设备?是否应该给消费者使用某些设备的风险评分?  

网络罪犯是一群有创造力的人,他们花费无数的时间寻找漏洞和利用或破坏已修复问题的方法。业界需要提出一种长期解决方案:该解决方案可以跟上网络威胁发展的步伐,并随着新的物联网设备的发布而跟上。

分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》