怎樣從物聯(lián)網(wǎng)的角度保護云計算呢？

　　如今，全球各地應用的物聯(lián)網(wǎng)設備已經(jīng)達到數十億臺，并且數量每年都在大量增加。不幸的是，正在開(kāi)發(fā)和部署的許多物聯(lián)網(wǎng)設備卻缺乏關(guān)鍵的安全功能，這使得它們很容易成為黑客和僵尸網(wǎng)絡(luò )的目標。如果沒(méi)有適當的安全措施，這些物聯(lián)網(wǎng)設備可能會(huì )導致災難性事件。
 

 

　　數據盜竊

　　一旦找到漏洞，網(wǎng)絡(luò )攻擊者可以竊取物聯(lián)網(wǎng)設備上存儲的數據，其中可能包括個(gè)人信息、密碼，甚至信用卡信息。更糟糕的是，在某些情況下，黑客使用物聯(lián)網(wǎng)設備來(lái)收集數據。帶有麥克風(fēng)和攝像頭的智能電視可能變成一個(gè)收集音頻和視頻信息的監聽(tīng)設備。該設備可以嗅探網(wǎng)絡(luò )流量將其泄漏以進(jìn)行脫機分析，并繪制網(wǎng)絡(luò )布局圖，從而找到其他攻擊目標。

　　數據損壞

　　許多物聯(lián)網(wǎng)設備從各種傳感器收集數據。然后將數據傳輸到云計算系統進(jìn)行分析，并將其輸入到各種業(yè)務(wù)系統中。如果物聯(lián)網(wǎng)設備受到黑客的攻擊，則該設備產(chǎn)生的數據將無(wú)法信任。此外，許多物聯(lián)網(wǎng)設備缺乏強大的身份驗證措施。從這些設備收集數據的云計算系統無(wú)法信任這些數據。黑客可以輕松克隆或欺騙設備，以將不良數據反饋到云計算系統，從而破壞相關(guān)的業(yè)務(wù)流程。

　　竊取網(wǎng)絡(luò )憑證

　　黑客已經(jīng)能夠從幾乎所有智能設備中提取Wi-Fi密碼，例如燈泡、門(mén)鎖、門(mén)鈴、嬰兒監視器，甚至是玩具。一旦黑客入侵物聯(lián)網(wǎng)設備，它通?？梢杂米骶W(wǎng)絡(luò )攻擊和提取網(wǎng)絡(luò )中發(fā)現數據的入口。例如，在2017年，黑客通過(guò)具有Wi-Fi功能的魚(yú)缸從一個(gè)賭場(chǎng)竊取了10 GB的重要數據。

　　拒絕服務(wù)攻擊

　　具有靜態(tài)或默認憑據的物聯(lián)網(wǎng)設備使大型物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )數量激增。 Mirai僵尸網(wǎng)絡(luò )是物聯(lián)網(wǎng)設備僵尸網(wǎng)絡(luò )的發(fā)源地，它感染了數百萬(wàn)個(gè)物聯(lián)網(wǎng)設備，并被用來(lái)針對(其中包括域名系統提供商DYN公司)多個(gè)目標發(fā)起大規模的、協(xié)調的、拒絕服務(wù)的攻擊，從而導致歐洲和北美地區的大型互聯(lián)網(wǎng)癱瘓。Mirai僵尸網(wǎng)絡(luò )掃描互聯(lián)網(wǎng)的大量?jì)热?，尋找開(kāi)放的Telnet端口，然后嘗試使用已知的默認用戶(hù)名/密碼組合列表進(jìn)行登錄。這使其能夠聚集60多萬(wàn)臺物聯(lián)網(wǎng)設備，用于攻擊包括DYN公司在內的目標，并發(fā)出大量請求使大量服務(wù)器脫機。

　　物理攻擊

　　在許多情況下，物聯(lián)網(wǎng)設備控制著(zhù)制造、醫療、運輸等行業(yè)領(lǐng)域的關(guān)鍵基礎設施。物理攻擊的例子包括對德國一家鋼鐵廠(chǎng)的控制系統的攻擊，導致高爐受損;對美國和烏克蘭電網(wǎng)的攻擊;對飛機控制系統的網(wǎng)絡(luò )攻擊，以及可以遠程控制切諾基吉普車(chē)駛離路面。

　　數據中心的各個(gè)控制系統(其中包括電源、暖通空調系統和建筑安全系統)都容易受到網(wǎng)絡(luò )攻擊。對這些系統的攻擊可以直接影響數據中心和基于云計算的計算操作。

　　物聯(lián)網(wǎng)設備中的漏洞

　　將新的物聯(lián)網(wǎng)設備推向市場(chǎng)將會(huì )導致設計漏洞，例如使用硬件編輯密碼、不需要用戶(hù)身份驗證的控制界面，以及明文發(fā)送敏感信息的通信協(xié)議。這種不足會(huì )導致設備缺少安全啟動(dòng)功能或經(jīng)過(guò)身份驗證的遠程固件更新。

　　現代家庭擁有數十種或更多與云計算連接的設備，每一種設備都有可能被感染，并被當作針對網(wǎng)絡(luò )、企業(yè)和組織的攻擊機器人。

　　制造商必須開(kāi)始解決這些安全漏洞，首先評估其設備的漏洞，確定要采取的防護措施，然后確定所需的安全功能。

　　安全能力

　　在物聯(lián)網(wǎng)設備上添加一些基本的安全功能，可以顯著(zhù)降低網(wǎng)絡(luò )攻擊的風(fēng)險。這些功能可以在設計階段內置，確保設備在多個(gè)用例中的安全身份和完整性，其中包括工業(yè)物聯(lián)網(wǎng)(IIoT)、汽車(chē)、航空、智能城市、能源、醫療等。

　　安全啟動(dòng)

　　安全啟動(dòng)利用密碼代碼簽名技術(shù)，確保設備僅執行原始設備制造商(OEM)或其他受信方產(chǎn)生的代碼。安全啟動(dòng)技術(shù)的使用可防止黑客用惡意版本替換固件，從而阻止各種攻擊。

　　安全的遠程固件更新

　　安全更新可確保設備可以更新，但只能使用原始設備制造商(OEM)設備或其他受信任方的固件進(jìn)行更新。與安全啟動(dòng)一樣，安全的固件更新可確保設備始終運行受信任的代碼，并阻止任何利用設備的固件更新過(guò)程的嘗試。

　　安全通信

　　安全協(xié)議(如TLS、DTLS和IPSec)的使用為物聯(lián)網(wǎng)設備添加了身份驗證和動(dòng)態(tài)數據保護。由于沒(méi)有在明文中發(fā)送關(guān)鍵數據，黑客很難竊聽(tīng)通信并獲得密碼、設備配置或其他敏感信息。

　　嵌入式防火墻

　　嵌入式防火墻提供基于規則的過(guò)濾和入侵檢測。狀態(tài)數據包檢查(SPI)通過(guò)將防火墻技術(shù)直接內置到設備中來(lái)保護設備免受攻擊。嵌入式防火墻可以查看來(lái)自網(wǎng)絡(luò )或家庭網(wǎng)絡(luò )的傳入消息，并通過(guò)內置且定期更新的黑名單來(lái)拒絕以前未批準的任何消息。狀態(tài)數據包檢查(SPI)過(guò)濾會(huì )拒絕嘗試利用TCP協(xié)議中的弱點(diǎn)作為拒絕服務(wù)攻擊一部分的數據包。

　　安全元素或TPM集成

　　原始設備制造商(OEM)和醫療設備制造商應使用安全元素，如可信平臺模塊(TPM)兼容的安全元素，或用于安全密鑰存儲的嵌入式安全元素。安全密鑰存儲允許使用在安全元素中生成的密鑰對進(jìn)行安全啟動(dòng)和公鑰基礎設施(PKI)注冊，從而提供非常高級別的防攻擊保護。

　　數據保護

　　安全協(xié)議在數據通過(guò)網(wǎng)絡(luò )傳輸時(shí)提供保護，但在數據存儲在設備上時(shí)不保護數據。大型數據泄露通常是由于從被盜或廢棄設備中恢復的數據造成的。對存儲在設備上的所有敏感數據進(jìn)行加密，可在設備被丟棄、被盜或未經(jīng)授權的一方訪(fǎng)問(wèn)時(shí)提供保護。例如，大多數辦公室、企業(yè)和個(gè)人打印機內部都有一個(gè)可以存儲數千個(gè)文檔的硬盤(pán)。

　　基于證書(shū)的身份驗證

　　可以在制造期間將設備身份證書(shū)注入設備中，以便在安裝到網(wǎng)絡(luò )上以及與系統中的其他設備進(jìn)行通信之前對它們進(jìn)行身份驗證。

　　物聯(lián)網(wǎng)用戶(hù)因素

　　作為物聯(lián)網(wǎng)設備的用戶(hù)，需要確保安全性。消費者不太可能知道所連接的設備是否安全，因此他們幾乎沒(méi)有能力改變他們的選擇。但是，當其產(chǎn)品提供內置安全性時(shí)，用戶(hù)必須啟用適當級別的安全性，刪除默認密碼，并設置更強的密碼。

　　歸根結底，物聯(lián)網(wǎng)安全的責任在很大程度上落在企業(yè)身上，這些企業(yè)只需購買(mǎi)安全級別很高的設備，就可以將其人力和資源投入到業(yè)務(wù)運營(yíng)中。

　　如果可以單獨或以任何組合方式使用安全啟動(dòng)、防火墻或入侵檢測，則可以將受到感染并用作Mirai僵尸網(wǎng)絡(luò )感染中僵尸程序的攝像頭免受這種攻擊。

　　通過(guò)添加一些基本功能，可以顯著(zhù)提高任何物聯(lián)網(wǎng)設備的安全性。通過(guò)保護物聯(lián)網(wǎng)邊緣設備(需要連接到云平臺以提供有價(jià)值的服務(wù)和功能的端點(diǎn))，也可以保護它們所支持的數據中心和云平臺。