阿里娅系统(Aria Systems)公司的首席架构师和联合发起人布兰登·奥布赖恩（Brendan OBrien）如上发言。

  统计学家认为，在未来十年的前五年，互连设备的数量预计将超过300亿台。此外，物联网市场的总估值预计将超过1万亿美元大关。物联网技术的这种看似不可阻挡的增长轨迹，对物联网生态系统中的漏洞、威胁和问题提出了一个巨大挑战。

  IoT （物联网）设备受到严重威胁，这是大多数互连产品实施基本上没有任何来自常见威胁的安全措施的直接后果。

  惠普的一项研究表明，超过 70% 的物联网设备存在严重漏洞。这些漏洞包括缺乏基本的安全措施，如密码安全、加密和访问权限。包括最常用的小工具，如智能电视、传真机、家庭系统、安全摄像头、智能手机麦克风、打印机、扬声器，甚至咖啡机，都让人们成为数据泄露的目标，造成身体伤害，泄露敏感信息（如密码、地址，甚至在某些情况下，还有个人图像）。

  接下来，我们将就大家最关心的七个物联网安全问题提供一些建议，帮大家提高物联网小工具的安全性。

  一些物联网设备缺乏基本安全措施的实现，正滚雪球似的变成了一个更大的问题。许多正在制造的 物联网小工具没有经过安全评估来发现潜在的漏洞。在先发制人阶段，由于这种故障而引起的一些重大问题包括隐私问题、缺乏数据传输加密以及用户身份验证措施不足。

  通常远程操作或使用时经常隔离的设备也非常容易受到攻击。例如，闭路电视摄像机位于组织附近，如果受到黑客的入侵，可能会进一步被利用来危害同一网络中的其他摄像机。

  用户以及制造商同样负责加强设备的物理安全性。一些措施包括将篡改检测传感器和发射器安装到设备中，或将它们存储/安装在相对不可访问/安全的地方。这将有利于在篡改检测和网络入侵时披露和发送警报。

  应实现安全启动，并且必须避免将未加密的敏感数据存储在外部内存中。尽管攻击者可能仍能够绕过安全启动，但与未实现安全启动相比，它仍具有更加好的安全性能。一些更好的硬件措施可能是对设备做物理强化，以限制对硬件攻击面（如调试端口）的访问。

  僵尸网络攻击通过感染多个相互关联的设备来感染恶意软件，以获得对它们没有经过授权的控制。这些会导致难以处理的后果，例如分布式拒绝服务、机密数据盗窃和凭据泄露。

  IoT 安全问题的一个主体问题是未能解决这一个问题，尤其是在大规模实施互连设备的情况下。这对家庭系统、IP 摄像机、工厂、运输系统和电网构成了重大威胁，因为这种恶意软件能马上将其变成受感染的僵尸，用作武器。

  此类 IoT 设备需要频繁的安全和软件更新才能抵御此类威胁，但这本身也带来了通常无法预见的危险。

  产品研发人员在测试效率低下和缺乏定期更新机制方面苦苦挣扎。一经发现问题，这就会限制它们，堵塞孔道，并使正在使用的设备仍然容易受到损坏。

  随着产品开发慢慢的变快，安全测试阶段往往被忽视或给予较少的关注。前面提到的自动更新的危险是长时间的停机时间；如果正在使用的连接未加密，固件更新文件可能会被黑客截获，因此导致数据被盗的可能性。

  如果 IoT 设备固件支持通过空中 （OTA） 更新进行升级，除了正常加密之外，还必须实施进一步的签名身份验证。

  据估计，超过 65% 的设备具备了云兼容组件，由于缺乏传输加密，存在潜在的漏洞。这使他们容易受到一些最常见的威胁，如 MITM 攻击、持久性 XSS、数据泄漏和凭据黑客攻击。

  IoT 设备经常存储一次性数据和缓存。由于不存在关于隐私和合规的法律，这一些信息如果落入错误之手，反过来又可用于定位客户。迫切地需要将客户的敏感数据私有化、安全和匿名化，以防止其恶意使用。

  尽管区块链本身相对安全，但其相关漏洞的个主体问题在于围绕它开发的应用程序。

  例如，在 2018 年，一个名为 Monero 的著名密码货币是最初因加密采矿僵尸网络而进行大规模挖掘的加密货币之一。由于目前超过90%的加密货币被开采，僵尸网络将Windows服务器作为开采Monero的目标，黑客们获得了价值超过350万美元的加密货币。

  这导致了现在使用物联网设备做指定的更先进的僵尸网络攻击。由于缺乏安全保障和正兴起的社会工程攻击，勒索软件在物联网设备中的地位越来越突出，也慢慢变得容易成为被攻击的目标。

  IoT 问题位于可穿戴技术、智能车辆和智能家居中，这样一些问题没有正真获得解决，导致其用户成为此类勒索软件攻击的目标，使受害者损失了数百万美元。保护登录凭据和利用 VPN 服务能够尽可能的防止成为此类面向 IoT 的金融犯罪目标。

  此类设备有助于黑客瓦解网络外围，进而允许他们更改机密数据。组织需要充分了解其网络内发生的所有流量和通信，以对任何可疑的网络流量或活动采取行动。

  在物联网快速地发展的当下，网络安全问题已成为不可小觑的重中之重，如何有效抵御各种网络攻击和黑客行动，是网络安全守护者的职责与使命。

  为应对这一系列安全威胁和挑战，信睿网络专注于IOT渗透测试服务，通过像黑客一样思考，完成对物联网设备的安全评估，并提供修复方案，以帮助物联网设备更安全。