什麼是 IoT 安全性?| IoT 裝置安全性

IoT 安全性是保護物聯網 (IoT) 裝置免遭攻擊的做法。

學習目標

閱讀本文後,您將能夠:

  • 說明 IoT 裝置的主要安全性問題
  • 探索這些 IoT 安全性問題的解決方案
  • 瞭解加密、驗證、韌體更新和 mutual TLS 等概念

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 IoT 安全性?

物聯網 (IoT) 裝置是電腦化的網際網路連接對象,例如聯網安全攝影機、智慧型冰箱和支援 WiFi 的汽車。IoT 安全性是保護這些裝置並確保它們不會將威脅引入網路的過程。

任何連接到網際網路的東西都可能在某個時候面臨攻擊。攻擊者可能嘗試使用各種方法遠端入侵 IoT 裝置,其方法涵蓋認證盜竊到漏洞利用等等。一旦他們控制了 IoT 裝置,就可以利用它來竊取資料、進行分散式阻斷服務 (DDoS) 攻擊,或嘗試入侵連接網路的其餘部分。

IoT 安全性可能特別具有挑戰性,因為許多 IoT 裝置在建造時沒有考慮到強大的安全性——通常情況下,相比安全性,製造商更注重功能和可用性,以便裝置能夠迅速進入市場。

IoT 裝置已日漸成為日常生活的一部分,消費者和企業都可能面臨 IoT 安全性挑戰。

IoT 裝置最容易受到哪些攻擊?

韌體漏洞利用

所有電腦化裝置都有韌體,這是操作硬體的軟體。在電腦和智慧型手機中,作業系統在韌體之上執行;對於大多數 IoT 裝置來說,韌體本質上就是作業系統。

大多數 IoT 韌體都不像電腦上執行的複雜作業系統那樣有許多安全保護措施。而且這種韌體往往充斥著已知的漏洞,在某些情況下無法修補。這使得 IoT 裝置容易受到針對這些漏洞的攻擊。

基於認證的攻擊

許多 IoT 裝置都帶有預設的管理員使用者名稱和密碼。這些使用者名稱和密碼通常不是很安全,例如,使用「password」作為密碼。更糟糕的是,有時給定型號的所有 IoT 裝置都共用這些相同的認證。在某些情況下,這些認證無法重設。

攻擊者很清楚這些預設的使用者名稱和密碼,許多成功的 IoT 裝置攻擊僅僅是因為攻擊者猜到了正確的認證。

路徑攻擊

中間人攻擊者將自己置於相互信任的兩方(例如,IoT 安全攝影機和攝影機的雲端伺服器)之間,並截獲兩者之間的通訊。IoT 裝置特別容易受到這種攻擊,因為許多裝置預設不加密通訊(加密會擾亂資料,使其不能被未經授權的各方理解)。

基於實體硬體的攻擊

許多 IoT 裝置(如 IoT 安全攝影機、交通訊號燈和火災警報器)都或多或少地放置在公共區域的永久位置。如果攻擊者可以實際存取 IoT 裝置的硬體,他們就可以竊取其資料或盜用裝置。這種方法一次只會影響一個裝置,但如果攻擊者獲得的資訊使他們能夠入侵網路上的其他裝置,那麼實體攻擊可能會產生更大的影響。

IoT 裝置如何被用於 DDoS 攻擊?

惡意方經常使用不安全的 IoT 裝置在 DDoS 攻擊中產生網路流量。當攻擊方可以從各種不同的裝置向其目標傳送流量時,DDoS 攻擊會更加強大。此類攻擊更難以封鎖,因為涉及的 IP 位址太多(每個裝置都有自己的 IP 位址)。Mirai 僵屍網路是有記錄以來最大的 DDoS 僵屍網路之一,主要由 IoT 裝置組成。

IoT 裝置安全性有哪些主要方面?

軟體和韌體更新

每當製造商發佈漏洞修補程式或軟體更新時,都需要更新 IoT 裝置。這些更新消除了攻擊者可以利用的漏洞。沒有最新的軟體會使裝置更容易受到攻擊,即使它只是過時了幾天。在許多情況下,IoT 韌體更新由製造商控制,而不是裝置擁有者,製造商有責任確保漏洞得到修補。

認證安全性

如果可能,應更新 IoT 裝置管理認證。最好是避免在多個裝置和應用程式中重複使用認證——每個裝置都應該有一個獨特的密碼。這有助於防止基於認證的攻擊。

裝置驗證

IoT 裝置相互連接、與伺服器連接,並與其他各種聯網裝置連接。每一個連接的裝置都需要進行驗證,以確保它們不會收到來自未經授權方的輸入或請求。

例如,攻擊者可以假裝是一個 IoT 裝置,並向伺服器請求機密資料,但如果伺服器首先要求他們出示一個真實的 TLS 憑證(下文中會詳細介紹此概念),那麼此攻擊將不會成功。

在大多數情況下,這種類型的驗證需要由裝置製造商進行設定。

加密

IoT 裝置資料交換在通過網路時容易受到外部方和中間人攻擊者的攻擊——除非使用加密來保護資料。可以將加密想像成一個信封,在信件通過郵政服務時保護其內容。

加密必須與驗證相結合,以完全防止中間人攻擊。否則,攻擊者可以在兩個 IoT 裝置之間建立單獨的加密連線,並且兩者都不會意識到它們的通訊被攔截了。

關閉不需要的功能

大多數 IoT 裝置都具有多種功能,其中一些可能未被擁有者使用。但即使功能未被使用,它們也可能會在裝置上保持其他連接埠開啟以備不時之需。網際網路連接裝置開啟的連接埠越多,攻擊面就越大——攻擊者通常只是簡單地 ping 裝置上的不同連接埠,尋找開口。關閉不必要的裝置功能將關閉這些額外的連接埠。

DNS 篩選

DNS 篩選是使用 Domain Name System 封鎖惡意網站的過程。將 DNS 篩選作為一種安全措施新增到具有 IoT 裝置的網路中,可以防止這些裝置存取網際網路上它們不應存取的位置(例如攻擊者的網域)。

什麼是相互 TLS (mTLS) ?

Mutual Transport Layer Security (mTLS) 是一種相互驗證,即網路連線的雙方相互驗證身分。TLS 是一種用於在用戶端-伺服器連線中驗證伺服器的通訊協定;mTLS 驗證兩個連接的裝置,而不僅僅是一個。

mTLS 對於 IoT 安全性很重要,因為它確保只有合法的裝置和伺服器才能傳送命令或請求資料。它還加密網路上的所有通訊,使攻擊者無法攔截它們。

mTLS 要求向所有經過驗證的裝置和伺服器頒發 TLS 憑證。TLS 憑證包含裝置的公開金鑰和憑證頒發者的資訊。可以將展示 TLS 憑證以啟動網路連線想像成人們展示其身分證以證明其身分。

Cloudflare 如何協助保護 IoT 裝置的安全?

Cloudflare API Shield 使用強用戶端憑證身分和基於嚴格模式的驗證來保護 IoT API,從而保護 IoT 裝置。瞭解有關 Cloudflare API Shield 的更多資訊

Cloudflare Zero Trust 針對 IoT 裝置和組織的其他運算資源(例如員工筆記型電腦和內部伺服器)都支援 mTLS。要瞭解有關使用 Cloudflare Zero Trust 安裝 mTLS 的更多資訊,請參閱我們的文件還可以閱讀有關 mTLS 的更多資訊