Phenquestions
Lietu internets (IoT) strauji pieaug. IoT ir ierīču savienojamība internetā. Tas ir kā sociālais tīkls vai e-pasta pakalpojums, taču tā vietā, lai savienotu cilvēkus, IoT faktiski savieno viedierīces, kas ietver, bet neaprobežojas ar jūsu datoriem, viedtālruņiem, viedo sadzīves tehniku, automatizācijas rīkiem un daudz ko citu.
Tomēr, līdzīgi visu veidu tehnoloģijām, arī IoT ir divvirzienu zobens. Tam ir savas puses, taču šo tehnoloģiju pavada nopietni draudi. Tā kā ražotāji sacenšas viens pret otru, lai tirgū parādītu jaunāko ierīci, daudzi no viņiem nedomā par drošības jautājumiem, kas saistīti ar viņu IoT ierīcēm.
Visizplatītākie IoT drošības draudi
Kādi ir lielākie drošības apdraudējumi un izaicinājumi, ar kuriem IoT saskaras šobrīd? Šis jautājums ir viens no visbiežāk uzdotajiem dažādu lietotāju grupu vaicājumiem, jo tie ir galalietotāji. Būtībā ir daudz IoT drošības draudu, kas dominē mūsu ikdienā izmantotajās IoT ierīcēs, kas padara šo tehnoloģiju pasauli neaizsargātāku.
Lai saglabātu mūsu IoT sistēmu no drošības caurumiem, mums ir jāidentificē un jāatrisina draudi un problēmas. Šeit es esmu veicis nelielu darbu, lai identificētu visbiežāk sastopamo IoT drošības draudu sarakstu, kas mums palīdzēs veikt piemērotos drošības pasākumus.
1. Atjauninājumu trūkums
Šobrīd visā pasaulē ir aptuveni 23 miljardi IoT ierīču. Līdz 2020. gadam šis skaitlis pieaugs līdz gandrīz 30 miljardiem, teikts Statista ziņojumā. Šis milzīgais IoT pievienoto ierīču skaita pieaugums nerada sekas.
Lielākā problēma ar visiem uzņēmumiem, kas izraksta šīs ierīces, ir tā, ka tie ir neuzmanīgi, rīkojoties ar ierīcēm saistītos drošības jautājumos un riskos. Lielākā daļa šo pievienoto ierīču nesaņem pietiekami daudz drošības atjauninājumu; daži nekad netiek atjaunināti vispār.
Ierīces, kuras kādreiz tika uzskatītas par drošām, kļūst pilnīgi neaizsargātas un nedrošas ar tehnoloģiju attīstību, padarot tās pakļautas kibernoziedzniekiem un hakeriem.
Ražotāji konkurē savā starpā un katru dienu izlaiž ierīces, daudz nedomājot par drošības riskiem un jautājumiem.
Lielākā daļa ražotāju patiešām nodrošina bezvadu (OTA) programmaparatūras atjauninājumus, taču šie atjauninājumi tiek pārtraukti, tiklīdz viņi sāk strādāt ar jauno ierīci, atstājot viņu pašreizējo paaudzi uzbrukumiem.
Ja uzņēmumi regulāri nenodrošina savu ierīču drošības atjauninājumus, klienti tiek pakļauti iespējamiem kiberuzbrukumiem un datu pārkāpumiem.
2. Apdraudētas IoT ierīces, kas sūta surogātpasta e-pastus
Tehnoloģiju attīstība mums ir devusi daudz viedierīču, kas ietver, bet neaprobežojas ar viedierīcēm, viedās mājas sistēmu utt. Šīs ierīces izmanto līdzīgu skaitļošanas jaudu kā citas ar IoT savienotas ierīces, un tās var izmantot dažādām aktivitātēm.
Bojātu ierīci var pārveidot par e-pasta serveri. Saskaņā ar interneta drošības firmas Proofpoint ziņojumu, viedais ledusskapis tika izmantots, lai nosūtītu tūkstošiem surogātpasta e-pastu, tā īpašniekiem nemaz nenojaušot. Lielāko daļu šo viedierīču var pārvērst par e-pasta serveriem, lai nosūtītu e-pasta masveida surogātpastu.
3. Iotehnoloģiju ierīces, kas iesauktas botnetos
Līdzīgi ierīcēm, kas tiek nolaupītas un pārvērstas par e-pasta serveriem masveida surogātpasta saņemšanai; viedās IoT ierīces var izmantot arī kā robottīklus DDoS (Distributed Denial of Service) uzbrukumu veikšanai.
Agrāk hakeri liela mēroga DDoS uzbrukumu veikšanai ir izmantojuši bērnu monitorus, tīmekļa kameras, straumēšanas kastes, printerus un pat viedpulksteņus. Ražotājiem ir jāsaprot riski, kas saistīti ar IoT savienotām ierīcēm, un jāveic visas nepieciešamās darbības, lai aizsargātu savas ierīces.
4. Nedroša komunikācija
Daudzas IoT ierīces šifrē ziņojumus, tos sūtot tīklā. Šis ir viens no lielākajiem IoT drošības izaicinājumiem. Uzņēmumiem jānodrošina droša un šifrēta saziņa starp ierīcēm un mākoņpakalpojumiem.
Vislabākā drošas komunikācijas nodrošināšanas prakse ir transporta šifrēšanas izmantošana un tādu standartu kā TLS izmantošana. Ierīču izolēšana, izmantojot dažādus tīklus, arī palīdz izveidot drošu un privātu saziņu, kas pārsūtītos datus uztur drošus un konfidenciālus. Lielākā daļa lietotņu un pakalpojumu ir sākuši šifrēt savus ziņojumus, lai saglabātu lietotāju informācijas drošību.
5. Noklusēto paroļu izmantošana
Lielākā daļa uzņēmumu piegādā ierīces ar noklusējuma parolēm un pat neliecina klientiem tās mainīt. Šis ir viens no lielākajiem IoT drošības draudiem, jo noklusējuma paroles ir vispārzināmas, un noziedznieki var viegli piekļūt parolēm, kas nepieciešamas rupjai piespiešanai.
Vāji akreditācijas dati atstāj gandrīz visas ar IoT savienotās ierīces pakļautas nežēlīgai piespiešanai un paroļu uzlaušanai. Uzņēmumi, kas savās IoT ierīcēs izmanto nedrošus akreditācijas datus, riskē gan klientus, gan uzņēmējdarbību būt pakļautiem tiešiem uzbrukumiem un inficēties ar rupju spēku mēģinājumiem.
6. Attālā piekļuve
WikiLeaks publiskotajos dokumentos tika minēts, ka Amerikas Savienoto Valstu Centrālā izlūkošanas pārvalde (CIP) bez īpašnieku ziņas uzlauza IoT ierīces un ieslēdza kameru / mikrofonus. Nu, iespēja, ka uzbrucēji bez viņu ziņas var iekļūt jūsu ierīcēs un ierakstīt īpašniekus, ir šausminoša, un to izmantoja neviens cits kā pati valdība.
Viņu dokumenti norādīja uz jaunākās programmatūras, piemēram, Android un iOS, milzīgām ievainojamībām, kas nozīmē, ka noziedznieki var arī izmantot šīs ievainojamības priekšrocības un veikt nežēlīgus noziegumus.
7. Personiskās informācijas noplūde
Pieredzējuši kibernoziedznieki var nodarīt milzīgus zaudējumus, pat atrodot interneta protokola (IP) adreses, izmantojot nenodrošinātas IoT ierīces. Šīs adreses var izmantot, lai precīzi noteiktu lietotāja atrašanās vietu un viņa faktisko dzīvesvietas adresi.
Tāpēc daudzi interneta drošības eksperti iesaka nodrošināt IoT savienojumu, izmantojot virtuālo privāto tīklu (VPN). Instalējot VPN maršrutētājā, visa datplūsma caur ISP tiks šifrēta. VPN var saglabāt jūsu interneta protokola adresi privātu un aizsargāt visu jūsu mājas tīklu.
8. Mājas iebrukumi
Tam jābūt vienam no drausmīgākajiem “lietu interneta drošības” draudiem, jo tas pārvar plaisu starp digitālo un fizisko pasauli. Kā jau minēts, nenodrošināta IoT ierīce var nopludināt jūsu IP adresi, kuru var izmantot, lai precīzi noteiktu jūsu dzīvesvietas adresi.
Hakeri šo informāciju var pārdot pazemes vietnēm, kurās darbojas noziedzīgi tērpi. Turklāt, ja izmantojat IoT savienotas viedās mājas drošības sistēmas, tās var tikt apdraudētas. Tāpēc jums ir jāaizsargā savienotās ierīces, izmantojot IoT drošību un izmantojot VPN.
9. Attālināta piekļuve transportlīdzeklim
Nav tik biedējoša kā kāds, kurš ielaužas jūsu mājās, bet tomēr kaut kas diezgan šausminošs. Šodien, kad mēs visi ilgojamies pēc viedām braukšanas automašīnām, ar šīm IoT savienotajām automašīnām ir saistīts arī augsts riska līmenis.
Kvalificēti hakeri var piekļūt jūsu viedajai automašīnai un nolaupīt to, izmantojot attālo piekļuvi. Šī ir viena drausmīga doma, jo kāds cits, kurš pārņem kontroli pār jūsu automašīnu, jūs atstātu neaizsargātu pret pārpilnību noziegumu.
Par laimi, viedo automobiļu ražotāji pievērš īpašu uzmanību šiem “lietu interneta drošības” draudiem un cītīgi strādā, lai pasargātu savas ierīces no jebkāda veida pārkāpumiem.
10. Ransomware
Ransomware jau ilgu laiku tiek izmantota personālajos datoros un korporatīvajos tīklos. Noziedznieki šifrē visu jūsu sistēmu un draud noņemt visus jūsu datus, ja vien jūs nemaksājat “Ransom”, tādējādi vārds.
Tas ir tikai laika jautājums, kad uzbrucēji sāks bloķēt dažādas viedierīces un pieprasīs izpirkuma maksu par to atbloķēšanu. Pētnieki jau uzzināja veidu, kā instalēt izpirkumprogrammatūru viedajos termostatos, kas ir diezgan satraucoši, jo noziedznieki var paaugstināt vai pazemināt temperatūru, līdz izpirkuma maksa ir samaksāta. Vēl drausmīgāk uzbrucēji iegūst kontroli pār mājas drošības sistēmām vai viedajām ierīcēm. Cik jūs maksātu, lai atbloķētu savas IoT savienotās garāžas durvis?
11. Datu zādzība
Hakeri vienmēr meklē datus, kas ietver, bet neaprobežojas ar klientu vārdiem, klientu adresēm, kredītkaršu numuriem, finanšu informāciju un citu informāciju. Pat ja korporācijai ir stingra IoT drošība, kibernoziedznieki var izmantot dažādus uzbrukuma vektorus.
Piemēram, pietiek ar vienu neaizsargātu IoT ierīci, lai apgrūtinātu visu tīklu un iegūtu piekļuvi sensitīvai informācijai. Ja šāda ierīce ir savienota ar korporatīvo tīklu, hakeri var piekļūt tīklam un iegūt visus vērtīgos datus. Pēc tam hakeri ļaunprātīgi izmanto šos datus vai tiek pārdoti citiem noziedzniekiem par lielu summu.
12. Kompromitējošas medicīnas ierīces
Tas ir tieši ārpus Holivudas, taču tas to nepadara par IoT drošības apdraudējumu mazāk. Televīzijas sērijas Homeland epizode parādīja uzbrukumu, kurā noziedznieki mērķēja uz implantētu medicīnisko ierīci, lai nogalinātu cilvēku.
Tagad šāda veida uzbrukumi reālajā dzīvē nav veikti, taču tie joprojām ir draudi. Pietiekami draudi, ka bijušajam ASV viceprezidentam Dikam Čeinijam tika noņemtas implantētā defibrilatora bezvadu funkcijas, lai izvairītos no šādiem scenārijiem. Kad arvien vairāk medicīnas ierīču kļūst savienotas ar IoT, šāda veida uzbrukumi joprojām ir iespējama.
13. Vairāk ierīču, vairāk draudu
Tas ir mīnuss tam, ka IoT ierīcēs ir milzīgs stimuls. Pēdējā desmitgadē ierīču skaits aiz ugunsmūra ir ievērojami pieaudzis. Dienā mums bija jāuztraucas tikai par to, kā aizsargāt personālos datorus no ārējiem uzbrukumiem.
Tagad, šajā laikmetā, mums ir jāuztraucas par daudzām dažādām IoT ierīcēm. Sākot no mūsu ikdienas viedtālruņiem līdz viedajai sadzīves tehnikai un daudz ko citu. Tā kā ir tik daudz ierīču, kuras var uzlauzt, hakeri vienmēr meklēs vājāko posmu un to pārkāps.
14. Nelieli IoT uzbrukumi
Mēs vienmēr uzzinām par plaša mēroga IoT uzbrukumiem. Mēs dzirdējām par Mirai botnet pirms 2 gadiem / Pirms Mirai; tur bija Reaper, kas bija daudz bīstamāks nekā Mirai. Lai arī liela mēroga uzbrukumi rada lielāku kaitējumu, mums vajadzētu baidīties arī no neliela mēroga uzbrukumiem, kas bieži netiek atklāti.
Neliela mēroga uzbrukumi bieži izvairās no atklāšanas un izlīst cauri pārkāpumiem. Hakeri mēģinās izmantot šos mikrouzbrukumus, lai īstenotu savus plānus, nevis iet pēc lielajiem ieročiem.
15. Automatizācija un A.Es
A.Es. instrumenti jau tiek izmantoti pasaulē. Ir A.Es. instrumenti, kas palīdz automobiļu ražošanā, kamēr citi izsijā lielu datu apjomu. Tomēr automatizācijas izmantošanai ir negatīvie aspekti, jo visa A koda pazemināšanai ir nepieciešama tikai viena kļūda kodā vai kļūdains algoritms.Es. tīkls un kopā ar to visa infrastruktūra, kuru tā kontrolēja.
A.Es. un automatizācija ir tikai kods; ja kāds piekļūst šim kodam, viņš var pārņemt kontroli pār automatizāciju un veikt visu, ko vēlas. Tātad mums jānodrošina, lai mūsu rīki būtu drošībā pret šādiem uzbrukumiem un draudiem.
16. Cilvēka faktors
Nu, tas nav tiešs drauds, taču jāuztraucas par pieaugošo ierīču skaitu. Tā kā ar katru ierīci palielinās arī to cilvēku skaits, kas mijiedarbojas ar IoT. Ne visus uztrauc kiberdrošība; daži pat neko nezina par digitālajiem uzbrukumiem vai uzskata to par mītu.
Šādiem cilvēkiem bieži ir viszemākie drošības standarti, kad jāaizsargā viņu IoT ierīces. Šīs personas un viņu neaizsargātās ierīces var noteikt organizācijas vai korporatīvā tīkla likteni, ja tās ar to izveido savienojumu.
17. Zināšanu trūkums
Tas ir arī vēl viens apdraudējums, kuru var viegli atrisināt, pareizi daloties zināšanās. Cilvēki vai nu neko daudz nezina par IoT, vai arī viņiem ir vienalga. Zināšanu trūkums bieži var būt milzīga korporatīvā vai personiskā tīkla kaitējuma cēlonis.
Būtu jāpiešķir prioritāte, lai visiem cilvēkiem sniegtu visas pamatzināšanas par IoT, pievienotajām ierīcēm un draudiem. Pamatzināšanu iegūšana par IoT ietekmi un tā draudiem drošībai varētu būt atšķirība starp drošu tīklu un datu pārkāpumu.
18. Laika / naudas trūkums
Lielākā daļa cilvēku vai organizāciju neieguldīs drošā IoT infrastruktūrā, jo uzskata, ka tā ir pārāk laikietilpīga vai pārāk dārga. Tas ir jāmaina. Pretējā gadījumā korporācijas uzbrukuma rezultātā piedzīvos milzīgus finansiālus zaudējumus.
Dati ir visvērtīgākais aktīvs, kāds var būt jebkurai korporācijai. Datu pārkāpums nozīmē miljonu dolāru zaudējumus. Ieguldījumi drošā IoT iestatīšanā nebūtu tik dārgi kā masveida datu pārkāpumi.
19. Mašīnpikšķerēšana
Automātiskā pikšķerēšana nākamajos gados kļūs par nopietnām bažām. Hakeri iefiltrēsies IoT ierīcēs un tīklos, lai nosūtītu viltus signālus, kas īpašniekiem liks rīkoties, kas varētu sabojāt operatīvo tīklu.
Piemēram, uzbrucējiem varētu būt ražotnes ziņojums, ka tā strādā ar pusi jaudas (kamēr tā strādā ar 100%), un rūpnīcas operators mēģinās vēl vairāk palielināt slodzi, kas var būt postoša rūpnīcai.
20. Slikti autentifikācijas protokoli
Tā kā tirgū ir tik daudz IoT pievienotu ierīču, ražotāji ir aizmirsuši faktu, ka katrai ierīcei ir nepieciešams pareizs un spēcīgs autentifikācijas protokols. Šādi slikti autorizācijas mehānismi bieži noved pie tā, ka lietotājiem tiek nodrošināta augstāka piekļuve nekā paredzēts.
Lielākajai daļai ierīču trūkst paroles sarežģītības, sliktu noklusējuma akreditācijas datu, šifrēšanas trūkuma, nav divu faktoru autentifikācijas un nedroša paroles atkopšana. Šīs drošības ievainojamības var viegli izraisīt hakeriem ērtu piekļuvi ierīcēm un tīkliem.
21. Privātuma problēmas
Lielākā daļa ierīču apkopo visu veidu datus, tostarp sensitīvu informāciju. Konfidencialitātes problēmas rodas, kad ierīces sāk vākt personisko informāciju, ja tām nav atbilstošu šo datu aizsardzības metožu.
Mūsdienās gandrīz visām viedtālruņu lietotnēm ir vajadzīgas kāda veida atļaujas un datu vākšana gan iOS, gan Android. Jums ir jāpārskata šīs atļaujas un jāskatās, kāda veida datus šīs lietotnes vāc. Ja savāktajiem datiem ir personisks un sensitīvs raksturs, labāk ir atbrīvoties no lietotnes, nevis riskēt ar saviem personas datiem.
22. Slikta fiziskā drošība
Tagad mēs līdz šim esam runājuši par digitālo drošību, taču tas nav vienīgais IoT ierīces apdraudējums. Ja fiziskā drošība ir vāja, hakeri var viegli piekļūt ierīcēm, nedarot daudz darba.
Fiziskās vājās vietas ir tad, kad hakeris var viegli izjaukt ierīci un piekļūt tās krātuvei. Pat ja ir atklāti USB porti vai cita veida porti, hakeri var piekļūt ierīces datu nesējam un apdraudēt visus ierīcē esošos datus.
23. RFID tīrīšana
Šis ir pārmeklēšanas veids, kad hakeri pārtver bezvadu informāciju un datus no RFID mikroshēmām, kuras izmanto debetkartēs, kredītkartēs, ID kartēs / pasēs un citos dokumentos.
Šo datu vājināšanas mērķis ir nozagt personisko informāciju, kas tiek izmantota progresīvai identitātes zādzībai. Hakeri izmanto NFC atbalstītas ierīces, kas reģistrē visus nešifrētos datus no RFID mikroshēmām un pēc tam pārraida pa bezvadu signāliem.
24. Uzbrukumi cilvēkam vidū
Šis ir uzbrukuma veids, kad hakeri pārtver divu pušu saziņu, izmantojot nedrošu IoT ierīci vai tīkla ievainojamību, un pēc tam maina ziņojumus, kamēr abas puses domā, ka tās savstarpēji sazinās. Šie uzbrukumi var būt postoši iesaistītajām pusēm, jo visa viņu konfidenciālā informācija komunikācijas laikā ir apdraudēta.
25. Sinkhole shēmas
Hakeris var viegli piesaistīt visu trafiku no bezvadu sensoru tīkla (WSN) mezgla, lai izveidotu izlietni. Šāda veida uzbrukumi rada metaforisku izlietni, kas apdraud datu konfidencialitāti un liedz arī jebkādus tīkla pakalpojumus. Tas tiek darīts, nomest visas paketes, nevis nosūtīt tās uz galamērķi.
Noslēguma vārdi
IoT noteikti ir liels darījums, un tas kļūs lielāks tikai laika gaitā. Diemžēl, jo lielāks tas kļūst, jo vairāk mērķu tas ir uz muguras. Visi lielākie draudi un IoT tendences arī palielināsies. Ražotājiem un citiem, kas saistīti ar IoT nozari, būs nopietni jāpievēršas drošības jautājumiem un draudiem.
Zināšanas ir pirmā aizsardzības līnija pret šādiem draudiem. Tātad, jums ir jāpanāk ātrums, izmantojot IoT drošības draudus un to pretpasākumus.
