到今年年底,挑战全球物联网安全市场预计将增长到50.9亿美元,防范非很明显,物联网漏现代企业已经认识到安全物联网基础设施的洞项但并重要性。
在开发技术解决方案时,艰巨漏洞可能是挑战不可避免的,但漏洞常见并不意味着它们无害。防范非让我们来看看近年来物联网漏洞带来的物联网漏一些影响。
某品牌IP摄像头系列中存在一个已知的关键远程代码执行漏洞,该漏洞造成了重大危害,艰巨使全球2300多家组织面临被入侵的挑战风险。该漏洞发生在这些摄像头的网络服务器中,可以允许黑客发出命令,授予他们对受影响设备的完整 root shell 访问权限——甚至摄像头的所有者都无权访问。一旦进入系统,他们就可以禁用物联网设备,破坏网络,并发起DDoS或其他攻击。
在其他地方,研究人员在 Throughtek 的 Kalay IoT 云平台中发现了一个严重缺陷,该平台覆盖了超过 8300 万台设备,包括安全摄像头和婴儿监视器。该缺陷的关键CVSS3.1评分为9.6/10,这说明受影响的设备可能会因访问UID而受到远程攻击,并且根据设备的功能可能会受到进一步的攻击。
这些漏洞并非孤立地出现在消费者物联网设备中。由于 CVSS v3 总得分为 9.8/10 的七个独立漏洞,医疗物联网设备目前成为攻击目标。这些被称为“Access:7”的物联网漏洞影响了医疗行业最流行的嵌入式设备平台之一(同一平台也可用于管理ATM、自动售货机和PoS系统等设备)。这些漏洞涉及范围广泛,从默认配置问题到未记录和未经验证的命令的处理。这使患者的个人信息处于危险之中,而且使用 DDoS来攻击医疗设备可能会导致生命损失。
鉴于漏洞可以来自众多介质,包括物理设备、软件或网络元素,可能无法完全防止物联网漏洞。
为了帮助管理和解决这些问题,一些开发人员和安全组织部署了自动化和网络安全工具,以帮助扫描、检测和缓解软件方面的漏洞。尽管有些人将这些工具视为通过“消除人为因素”来提高效率的一种手段,但研究表明,自动化工具只能发现大约 45% 的整体漏洞。更糟糕的是,这些检测可能会产生错误的结果,从而导致延迟(误报)或带有已知漏洞的产品流向市场(误诊)。
如果他们希望发布一个合格的产品,即使是最好的开发人员也必须与安全专家一起工作。Enterprise Strategy Group 的一份报告发现,开发人员和安全团队之间的沟通不畅导致大约 48% 的产品带有易受攻击的代码。如果在发货之前发现漏洞,可能会导致产品发布延误,或者没有发现,这将导致不安全的产品流向市场。
当然,设计团队、开发人员和系统架构师也经常会忽略一些常见的盲点。此外,用户也会给系统带来新的风险,例如,使用移动终端为不良行为者提供了一个可能引入或提取潜在敏感信息的新途径。
物联网漏洞可能是不可避免的,但这并不意味着公司无法保护其系统免受入侵。一些最简单的解决方案包括:
(责任编辑:综合)
人社部:2019年三项社会保险基金总收入5.82万亿元 运行平稳
我国交通运输固定资产投资 今年将超3.2万亿元 加快补齐短板
节能元件(08231.HK)发布公告:预计年度由亏转盈60万美元