物联网 (Internet of Things, IoTs)是新一代信息技术的重要组成部分。顾名思义,物联网就是物物相连的互联网。物联网的核心和基础仍然是互联网,在互联网基础上将用户端延伸和扩展到了任何物品之间,从汽车到无线可穿戴产品。思科的网络业务解决方案小组估计全球联网设备将从2010年的125亿年翻倍至2015年的250亿。
着眼于这个快速增长的市场,首席安全官们确定了物联网在未来一年将会面临的五大类风险,而意识到这些潜在威胁的首席安全官们则可据此未雨绸缪。
车载WiFi
据Visiongain公司统计,2013车载装置收入已达到217亿美元,2014年将进一步攀升。根据SANS研究所新兴趋势部门主任John Pescatore所言,2014年福特和通用汽车将提供更多的车载WiFi,将汽车变成移动热点,并将乘客的智能手机、平板电脑等设备都连接到互联网上。
然而,车载无线网络与传统WiFi热点具有相同的安全漏洞。没有无线网络的防火墙设施,车载设备和数据将处于危险之中。一旦进入网络,攻击者可以恶搞车载设备,并能够连接到外部数据源如OnStar服务器并收集用户的PII如信用卡数据等。只要黑客想象力所及,就可对车载无线网络,车主信息和设备进行各种类型的攻击。
健康设备/移动多媒体设备
ABI研究所的分析师表示,体育、健身和保健等可穿戴设备数量将从2013年的4200万增至2018年的1.71亿”。2014年,黑客们将越来越多地对运行Windows系统的移动医疗设备展开攻击,包括心脏起搏器等。传统制造商使用专有的嵌入式系统, 封闭源代码的限制会对黑客的破解造成阻力。但是,非传统设备制造商经常使用Windows的某种形式,这将大大增加安全风险。
由于Windows很便宜,无处不在,并且为程序员所熟知,所以深受可穿戴设备欢迎,Joffe解释道。但是,不同于桌面电脑上的Windows,可穿戴设备的Windows没有修复机制。通过WiFi连接到互联网的设备越多,传播的病毒也就越多。
潜在恶意攻击的存在会带来健康信息漏洞,所以首席安全官们应该多关注这些设备的远程入口。
可穿戴设备 Google眼镜
据Visiongain统计,全球可穿戴技术市场2013年达到46亿市值,2014年持续上升。包括Google智能眼镜在内的设备都是主要攻击载体,因为其会自动连接到互联网,而且此类设备很少有安全解决方案。
攻击Google眼镜能够为黑客提供公司机密信息和知识产权。而企业不会知道当Google眼镜的配戴者穿过办公区域时将吸收多少数据,或者复制怎样的音频和视频。“每个企业都应对可穿戴设备加以限制,包括何时何地以及如何使用这些东西,” Irvine说。
零售库存监控 M2M
据Visiongain统计,全球无线M2M(Machine to Machine)收入在2013年达到了501亿美元。2014年,库存管理技术将覆盖更多的价格低廉的3 G移动数据发射器。这些发射器将连接到互联网,使这些应用程序更容易受到网络攻击。
这些设备能够实现检测、收集统计信息、远程管理和一些其它功能。Irvine建议,企业必须配置这些库存控制系统和M2M技术的安全设施,并加以细分到安全、可访问、加密等级。
(非军事使用)无人机
2012年2月,美国国会出台了针对无人机的多个法律条款,总的原则是未来三年美国联邦航空局将加速无人机(UAV)的研发步伐。无人机依靠脆弱的遥测信号,攻击者可以利用其进行任何形式的攻击,包括存在于无人机固件上的缓冲区溢出,格式字符串,SQL注入和认证绕过,Cabetas解释道。
2012年,德克萨斯农工大学的学生用技术隐藏了无人机的GPS信号,将错误的位置数据暗示在导航计算机上,导致无人机的意外碰撞。Cabetas提到,迄今发生的最可怕的事件是2012年无人机编程比赛。获胜者现场创建了病毒,可使得所有无人机在接近被感染的无人机时染上病毒。使用无人机同质固件的单一漏洞,攻击者就可让天空中充满随时待命的无人机。
首席安全官们应针对难以控制的无人机袭击来采取适当的物理安全对策,任何无人机都应部署安全协议。