计世网

为什么98%的IoT流量未加密
来源:721OT
2020-06-11
未加密的IoT流量最明显地意味着,攻击者可以执行中间人(MiTM)攻击。通过利用未加密的数据流,攻击者可以进入设备(或设备和更大的网络)之间,并窃取或更改数据。

 

98%的IoT流量未加密 。物联网业务的91%是未加密的。虽然这些数字可能无法真正代表实际问题,但可以肯定的是,当绝对全部都应加密时,太多的物联网流量无法加密。

未加密的IoT流量最明显地意味着,攻击者可以执行中间人(MiTM)攻击。通过利用未加密的数据流,攻击者可以进入设备(或设备和更大的网络)之间,并窃取或更改数据。

物联网安全性的失败已得到充分记录。制造商通常会迅速将互联设备推向市场,这些制造商在设计过程中会很明显但几乎很容易避免安全性错误。然后,它们急切地被那些通常不考虑这些故障的企业所收购,并部署到了其他安全的网络中。从那里,攻击者可以通过简单的shodan搜索发现它们,并找到企业的容易突破点。

然而,无论其安全性如何,物联网都在蓬勃发展。麦肯锡(McKinsey)估计,到2023年,将有430亿台IoT设备连接到互联网。如果继续保持目前的趋势-以及98%的IoT流量未加密,这将成为网络犯罪分子的疯狂饮食。

通常,当人们想到IoT黑客攻击时-他们想到的是脆弱的玩偶或门铃-利用设备功能进行的攻击-有趣但最终却很花哨。真正的威胁要少得多。企业物联网部署通常由数百个(如果不是成千上万个)单个设备组成,如果仅其中一个设备暴露在外,则可以为其他安全的网络提供轻松的突破点。

人们可以在拉斯维加斯现在臭名昭著的物联网漏洞中看到这样的例子  。2017年,黑客利用鱼缸进行了赌场抢劫。该鱼缸通过传感器连接到互联网,该传感器允许其操作员远程操作和控制鱼缸。但是,在安装后不久,安全人员注意到鱼缸将数据发送到芬兰的远程服务器。进一步的调查表明存在严重漏洞-黑客利用该鱼缸从赌场的高额买入数据库中窃取了10 GB的数据。

黑客发现了三个紧要点。首先,被盗信息在赌场的系统上未加密,攻击者仅能取回。其次,赌场没有足够的访问权限和身份验证检查,无法阻止攻击者从该IoT设备获取他们持有的一些最敏感的信息。最终,鱼缸与赌场的更广泛的网络相连  -并通过利用该产品的弱点-他们可以连接并窃取大量敏感数据。

此类攻击的后果可能会有所不同,从财务或客户数据泄漏到对关键基础架构的攻击。考虑一下大规模电网中断,互联网中断,全国卫生系统关闭以及获得重症监护所造成的损害。清单继续。

获得100%加密

物联网还是没有物联网–所有机密数据都必须加密。所有这些–高于0%的任何值都是不可接受的。您可能可以在这里和那里为错误留一些余地-但是任何未加密的数据都容易受到破坏。

这并不是说它没有自身的挑战。现代数据的本质是,它一直在不断变化-从集线器到网关,从网关到云,再往后发展。这使得事情变得更加复杂,因为在静止和飞行中都必须对数据进行加密。

对于企业物联网网络尤其如此,企业物联网网络通常由一系列不同的端点,传感器和设备构成,不断在其不同部分之间来回发送数据。该网络中的一个漏洞可以让攻击者进入,不仅使其成为一个特别敏感的区域,而且对于修复它也至关重要。 

具有数字证书的公钥基础结构(PKI)开始解决该问题。由于PKI可以在大型网络的各个节点之间提供相互身份验证并加密遍历整个网络的数据,因此适用于IoT的规模很大,企业开始将其用作保护其大型IoT部署的一种方法。

尽管该行业正在取得进步,领先的公司,从业人员和监管机构正在采取措施共同努力,并改善这些设备的安全状况-我们还有很长的路要走。我们需要更多的制造商来优先考虑安全性并实施最佳实践-加密,身份验证和完整性(仅举几例)-并且实施不能是增量的。

大规模加密是企业保护IoT流量所需要的。领先的制造商正在注意并实施PKI。

责任编辑:周星如