物聯網的引入使農業、公用事業、制造業和零售業等多個行業取得了長足的發展。物聯網解決方案有助于提高工廠和工作場所的生産力和效率;此外,物聯網驅動的醫療裝置已經開發出一種連網且主動的醫療保健方法;智慧城市還利用物聯網來建立互聯交通信号燈和停車場,以減少交通流量的影響。然而,物聯網安全威脅的影響可能是物聯網實施中的一個主要問題。物聯網安全威脅,如DDoS、勒索軟體和社交工程,可以用來竊取個人群組織的關鍵資料。攻擊者可以利用物聯網基礎設施中的安全漏洞來執行複雜的網絡攻擊。這樣的物聯網安全威脅可能對消費者更為熱衷,因為消費者不知道它們的存在,并且也不擁有應對這些威脅的資源。是以,企業上司人必須識别并解決這些安全威脅,以便向消費者提供高品質的産品和服務。物聯網安全威脅!組織需要了解以下物聯網安全威脅:
1.僵屍網絡:僵屍網絡是一種将各種系統結合在一起的網絡,可以遠端控制受害者的系統并分發惡意軟體。網絡犯罪分子利用指令和控制伺服器控制僵屍網絡,以竊取機密資料,擷取網上銀行資料,并執行像DDOS和網絡釣魚這樣的網絡攻擊。網絡犯罪分子可以利用僵屍網絡來攻擊與筆記本電腦、桌上型電腦和智能手機等其他裝置相連的物聯網裝置。Mirai僵屍網絡已經展示了物聯網安全威脅的危險性。如今,Mirai僵屍網絡已經感染了大約250萬台裝置,包括路由器、列印機和智能攝像頭。攻擊者利用僵屍網絡對多個物聯網裝置發起分布式拒絕服務攻擊。在目睹了Mirai的影響後,一些網絡犯罪分子開發了多個先進的物聯網僵屍網絡,這些僵屍網絡可以對易受攻擊的物聯網裝置發起複雜的網絡攻擊。
2.拒絕服務:拒絕服務(DDoS)攻擊通過發送多個請求故意試圖在目标系統中造成容量過載。與網絡釣魚和暴力攻擊不同,實施拒絕服務的攻擊者并不打算竊取關鍵資料。但是,DDOS可以用來減慢或禁用服務,以損害企業聲譽,例如,遭到拒絕服務攻擊的航空公司将無法處理機票預訂、檢查航班狀态和取消機票的請求。在這種情況下,客戶可能會轉而選擇其他航空公司的服務。是以,拒絕服務攻擊可能會破壞企業聲譽并影響其收入。
3.中間人(MITM):在中間人(MITM)攻擊中,黑客破壞了兩個單獨系統之間的通信通道,并試圖攔截其中的資訊。攻擊者控制其通信并向參與系統發送非法資訊。這種攻擊可以用來黑進物聯網裝置,如智能冰箱和自動駕駛汽車。中間人攻擊可用于攻擊多個物聯網裝置,因為它們實時共享資料。利用MITM,攻擊者可以攔截多個物聯網裝置之間的通信,并導緻嚴重故障,例如,像燈泡這樣的智能家居配件可以被攻擊者利用MiTM來改變其顔色或打開或關閉。這種攻擊會給工業裝置和醫療裝置等物聯網裝置帶來災難性後果。
4.身份和資料盜竊:多起資料洩露事件在2018年成為頭條新聞,緻使數百萬人的資料被盜。機密資訊,如個人資訊、信用卡和借記卡憑證以及電子郵件位址在這些資料洩露中被盜。(來源:物聯之家網)黑客現在可以攻擊物聯網裝置,如智能手表、智能電表和智能家居裝置,以擷取有關多個使用者群組織的額外資料。通過收集這些資料,攻擊者可以執行更複雜和更詳細的身份盜竊。攻擊者還可以利用連接配接到其他裝置或企業系統的物聯網裝置中的漏洞,例如,黑客可以攻擊組織中易受攻擊的物聯網傳感器,并通路其業務網絡。通過這種方式,攻擊者可以滲透多個企業系統并擷取敏感的業務資料。
5.社交工程:黑客利用社交工程操縱人們交出他們的敏感資訊,如密碼和銀行資訊。或者,網絡犯罪分子可以使用社交工程來通路系統,以便秘密安裝惡意軟體。通常,社交工程攻擊是使用網絡釣魚電子郵件執行的,攻擊者必須開發令人信服的電子郵件來操縱他人。然而,在物聯網裝置的情況下,社交工程攻擊可能更容易進行。物聯網裝置,尤其是可穿戴裝置,收集大量個人身份資訊(PII),然後為使用者開發個性化體驗。這種裝置還利用使用者的個人資訊來提供使用者友好的服務,例如,通過語音控制線上訂購産品。然而,攻擊者可以通過通路PII來擷取機密資訊,如銀行詳細資訊、購買曆史記錄和家庭位址。這些資訊可以讓網絡犯罪分子利用易受攻擊的物聯網網絡,針對使用者及其家人和朋友實施進階社交工程攻擊。通過這種方式,物聯網安全威脅(如社交工程)可以被用來非法通路使用者資料。
6.進階持續性威脅:進階持續性威脅(APT)是各種組織的主要安全問題。進階持續性威脅是一種有針對性的網絡攻擊,入侵者可以非法通路網絡并長時間未被發現。攻擊者旨在監控網絡活動,并使用進階持續性威脅竊取關鍵資料。這種網絡攻擊很難預防、檢測或緩解。随着物聯網的出現,大量關鍵資料可以輕松地在多個裝置之間傳輸,而網絡犯罪分子可以将這些物聯網裝置作為目标,以獲得對個人或企業網絡的通路。通過這種方法,網絡罪犯可以竊取機密資訊。
7.勒索軟體:勒索軟體攻擊已經成為最臭名昭著的網絡威脅之一。在這種攻擊中,黑客使用惡意軟體加密企業營運所需要的資料,而且攻擊者隻有在收到贖金後才會解鎖關鍵資料。勒索軟體可能是最複雜的物聯網安全威脅之一。研究人員已經證明了勒索軟體對智能恒溫器的影響。通過這種方法,研究人員已經表明黑客可以調高溫度,并拒絕回到正常溫度,直到他們收到贖金。同樣,勒索軟體也可以用來攻擊工業物聯網和智能家居裝置,例如,黑客可以攻擊一個智能家居,并向其所有者發送支付贖金的通知。
8.遠端錄制:網絡罪犯也可以利用這些零日攻擊記錄物聯網使用者的對話,例如,黑客可以攻擊組織中的智能攝像頭,并記錄日常商業活動的視訊片段。通過這種方法,網絡犯罪分子可以秘密擷取商業機密資訊。此類物聯網安全威脅也将導緻嚴重的隐私侵犯。
為了減輕其影響,企業上司人需要了解物聯網安全威脅的最新情況,并在其組織使用物聯網基礎設施之前建立一個全面的網絡安全戰略。為此,他們可以雇傭專業的網絡安全專家團隊來處理所有的安全問題,或者,如果企業上司人希望獨立部署網絡安全技術,他們可以從確定所有機密資料都經過加密開始,并定期對系統進行安全審計。此外,企業還可以部署大資料、區塊鍊和人工智能等現代技術來加強網絡安全工作。