如何从物联网的角度保护云计算

标签: 资讯 云计算 物联网 | 发表时间:2020-05-08 15:00 | 作者:晶颜123
出处:https://www.freebuf.com

针对一台设备的攻击可能会造成灾难性安全事件。

如今,全球各地使用的连接设备已经高达数十亿台,并且这个数字每年都在不断增加。不幸的是,现存的这些物联网设备,以及目前正在开发和部署的许多物联网设备都缺乏关键的安全功能,这使得它们很容易成为黑客和僵尸网络的目标。如果没有适当的安全措施,这些物联网设备可能会导致灾难性事件。

数据盗窃

一旦设备遭到破坏,网络攻击者就可以窃取存储在物联网设备上的数据,其中可能包含个人信息、密码,甚至***信息。更糟糕的是,在某些情况下,黑客还会使用物联网设备来收集数据。带有麦克风和摄像头的智能电视可以变成监听设备,以收集其中的音频和视频信息。该设备可以嗅探网络流量并将其泄漏以进行脱机分析,并绘制网络布局图,从而找到其他攻击目标。

数据损坏

许多物联网设备从各种传感器中收集数据。然后,它们会将收集到的数据传输到云计算系统进行分析,并将其输入到各种业务系统中。如果物联网设备被黑客攻陷,那么该设备产生的数据将无法被信任。此外,许多物联网设备缺乏强大的身份验证机制。从这些设备收集数据的云计算系统无法信任它们正在从真实设备中接收数据。黑客可以轻松创建克隆或欺骗设备,以将不良数据反馈到云计算系统,从而破坏相关的业务流程。

窃取网络凭证

黑客已经能够从几乎所有智能设备中提取Wi-Fi密码,包括灯泡、门锁、门铃、**监视器,甚至是玩具。一旦黑客入侵了这些物联网设备,就可以将其用作网络攻击和提取网络数据的入口。例如,在2017年,黑客通过具有Wi-Fi功能的鱼缸从一个赌场窃取了10 GB的****。

拒绝服务攻击(DoS)

具有静态或默认凭据的物联网设备使大型物联网僵尸网络数量得以激增。Mirai僵尸网络(物联网设备僵尸网络的“杰出代表”)感染了数百万个物联网设备,并被用来针对包括域名系统提供商DYN公司在内的多个目标发起大规模的、组织有序的拒绝服务攻击,从而导致欧洲和北美地区的大规模互联网瘫痪。Mirai僵尸网络扫描了互联网的大量内容,以寻找开放的Telnet端口,然后尝试使用已知的默认用户名/密码组合列表进行登录。这使其能够聚集60多万台物联网设备,用于淹没包括DYN公司在内的目标企业,并发出大量请求致使众多服务器宕机。

物理攻击

在许多情况下,物联网设备控制着制造业、医疗保健、运输和其他关键基础设施中的关键系统。过去,针对物联网设备进行物理攻击的例子包括,对德国一家钢铁厂的控制系统的攻击导致高炉受损;对美国和乌克兰电网的攻击;对飞机控制系统的网络攻击,以及可以远程控制切诺基吉普车驶离路面的安全研究等等。

数据中心的各个控制系统,包括电源、暖通空调系统(HVAC)和建筑安全系统都容易受到网络攻击。而针对这些系统的攻击可以直接影响数据中心和基于云计算的计算操作。

物联网设备中的漏洞

急于将新的物联网设备推向市场导致了众多设计漏洞,例如使用硬编码密码、不需要用户身份验证的控制界面,以及明文发送敏感信息的通信协议。这种设计漏洞会导致设备缺乏安全启动功能或经过身份验证的远程固件更新。

现代家庭一般都拥有数十种或更多与云连接的设备,每一种设备都有可能被感染并被用作针对网络、企业和组织的攻击机器人。

制造商必须着手解决这些安全漏洞,首先评估其设备的漏洞,确定要采取的防护措施,然后确定所需的安全功能。

安全能力

在物联网设备中添加一些基本的安全功能,可以大大降低遭受网络攻击的风险。这些功能可以在设计阶段内置,以确保跨多个用例的设备的身份安全和完整性,这些用例可能包括工业物联网(IIoT)、汽车、航空、智能城市、能源、医疗等。

安全启动(Secure boot)

安全启动利用密码代码签名技术,确保设备仅执行原始设备制造商(OEM)或其他受信方产生的代码。其设计之初作用是防止恶意软件侵入,当电脑引导器被病毒修改之后,它会给出提醒并拒绝启动,避免可能带来的进一步损失。安全启动技术的使用可防止黑客用恶意版本替换固件,从而阻止各种攻击。

安全的远程固件更新

安全更新可确保设备可以更新,但只能使用原始设备制造商(OEM)设备或其他受信任方的固件进行更新。与安全启动一样,安全的固件更新可确保设备始终运行受信任的代码,并阻止任何利用设备的固件更新过程的尝试。

安全通信

TLS、DTLS和IPSec等安全协议的使用为物联网设备增加了身份验证和动态数据保护功能。由于不以明文形式发送关键数据,黑客很难窃听通信并获得密码、设备配置或其他敏感信息。

嵌入式防火墙

嵌入式防火墙提供基于规则的过滤和入侵检测功能。状态数据包检查(SPI)通过将防火墙技术直接内置到设备中来保护设备免受攻击。嵌入式防火墙可以查看来自Web或家庭网络的传入消息,并通过内置且定期更新的黑名单来拒绝以前未批准的任何消息。状态数据包检查(SPI)过滤会拒绝尝试利用TCP协议中的弱点作为拒绝服务攻击一部分的数据包。

安全元素或TPM集成

原始设备制造商(OEM)和医疗设备制造商应该使用安全元素,例如受信任的平台模块(TPM)兼容的安全元素,或用于安全密钥存储的嵌入式安全元素。安全密钥存储使用在安全元素中生成的密钥对来实现安全启动和公共密钥基础架构(PKI)的注册,从而提供很高级别的防护功能,免受攻击影响。

数据保护

当数据跨网络传输时,安全协议可以为数据提供保护,但是当数据存储在设备上时,安全协议则不保护数据。大型数据泄露通常是由于从被盗或废弃设备中恢复的数据造成的。对存储在设备上的所有敏感数据进行加密,可在设备被丢弃、被盗或未经授权的一方访问时提供保护。例如,大多数办公室、企业和个人打印机内部都有一个可以存储数千个文档的硬盘。

基于证书的身份验证

可以在制造期间将设备***书注入设备中,以便在安装到网络上以及与系统中的其他设备进行通信之前对它们进行身份验证。

物联网用户因素

作为物联网设备的用户,确保安全性的工作量很少。消费者不太可能知道所连接的设备是否安全,因此他们几乎没有能力改变他们的购买选择。但是,当其产品提供内置安全性时,用户必须启用适当级别的安全性,删除默认密码,并设置更强的密码。

归根结底,物联网安全的责任在很大程度上落在企业身上,这些企业只需购买安全级别很高的设备,就可以获取理想的投资回报率。

如果可以单独或以任何组合方式使用安全启动、防火墙或入侵检测,则可以将受到感染并用作Mirai僵尸网络感染中僵尸程序的摄像头免受这种攻击。

通过添加一些基本功能,可以显著提高任何物联网设备的安全性。通过保护物联网边缘设备(需要连接到云平台以提供有价值的服务和功能的端点),也可以保护它们所支持的数据中心和云平台。

*参考来源: missioncriticalmagazine,晶颜编译整理,转载请注明来自 FreeBuf.COM。

相关 [从物 角度 云计算] 推荐:

如何从物联网的角度保护云计算

- - FreeBuf互联网安全新媒体平台
针对一台设备的攻击可能会造成灾难性安全事件. 如今,全球各地使用的连接设备已经高达数十亿台,并且这个数字每年都在不断增加. 不幸的是,现存的这些物联网设备,以及目前正在开发和部署的许多物联网设备都缺乏关键的安全功能,这使得它们很容易成为黑客和僵尸网络的目标. 如果没有适当的安全措施,这些物联网设备可能会导致灾难性事件.

理解云计算

- 车东 - oneoo's 私家花园
  现在互联网最热门的关键字“云计算”,大大小小的公司纷纷加入到这块领域. 简单来说,目前的“云计算”主要分为:SaaS、PaaS和IaaS三大类.   其中SaaS云计算,为软件即服务的概念. 把传统客户端软件部署在互联网上,用户只需要一个浏览器就可以使用到软件的模式. 其实早在2000年就已经有B/S结构的软件服务,与现在所说的SaaS云计算相近,但此前的B/S结构软件服务,数据库等服务端是需要用户自行部署的,而非由软件提供商进行统一部署.

10问云计算

- - 《商业价值》杂志
与数百位关注和实践云计算的CIO们共同解读云计算热点问题. 被视作IT界第三次革命的云计算,已经从炙手可热的概念逐渐走向了实际应用. 2011年8-11月, ITValue社区联合英特尔公司,与数百位关注和实践云计算的CIO们一起展开深入探讨,话题涉及云计算的商业价值、安全性、开放性、高效性、简单性等方面.

云计算的困局

- Star Ocean - It Talks--上海魏武挥的博客
有个媒体朋友打电话咨询我一个事. 说在江浙一带,有一位搞国际货运代理的民营企业家,想利用云计算来整合各种资源,比如运输车队、仓库、集装箱乃至货船. 这些资源的调配信息对任何一家从事外贸的企业都很重要,如果将这些信息放在所谓的“云”上,并加以运算,这些企业再以各种设备联入这个“云”,这位企业家觉得是一个很有前途的买卖.

开源云计算ERP ErpCore

- Le - 开源中国社区最新软件
  ErpCore是一套强大的云计算ERP开发框架,集数据库设计、软件建模、模型自动生成、界面可视化设计、业务流可自定义、全自动生成用户所需系统于一体. 在此框架上扩展出所有行业的业务系统,它让软件工程师从“建模——写代码——测试”所有繁琐重复的工作变为全自动化生成,大大简化了企业软件的开发时间和成本;同时,使用该框架扩展的所有业务子系统能够无缝连接进行数据共享,这也是云计算ERP的实现基础,杜绝了传统ERP的子.

“云计算”是什么?

- Aaron Xu - 译言-每日精品译文推荐
  作者:Eleanor Miller . 发布日期:2011年10月28日,上午10点28分.        人们都在聊“云计算”,预测人士称,到2010年,云计算创造的市场总值将达到2亿4100万美元.        但是云计算究竟是什么呢.        云计算意味着可以把计算用作服务,而不是用作商品.

谁来拯救云计算?

- - 雷锋网
当前的“云计算”一词已经被神话,似乎快成了放之四海皆准的时髦真理,就好比当初言必称“希腊”一般,表面光芒四射,但实际上却无比教条、且越来越令人生厌. 作为“云计算”的一个普通开发者和是推广者,很有必要通过亲身实践,以正视听,希望能让后来者(云计算系统的开发者)少走弯路——有所为、有所不为. 我们所要谈论的不是商业领袖们所热衷的云计算概念、云计算市场,而是讨论技术人员眼中云计算具体形态和切实的实现办法.

中小银行的云计算后台

- Draven - 每日鲜果精选
城市商业银行规模虽小,但对IT的需求却与大银行没有太大差别. 云计算给了他们解决这一矛盾的思路. 中国的中小银行一直以来都有一个尴尬的现实——虽然规模小,业务却大而全. 因此,中小银行对IT系统的要求,与大型银行几乎差别不大. 但是从资源和实力上来讲,中小银行却与大银行相差甚远. 根据易观国际的统计,2010年我国城市商业银行等区域性银行的IT投入是41.8亿元,2011年将达到47.7亿元.

2011云计算展望(图解)

- Zhaojing - 南都周刊

云计算读书笔记(二)

- Gabriel - 博客园-首页原创精华区
google云计算服务包括:google文件系统GFS,分布式计算编程模形MapReduce,分布式锁服务Chubby,分布式结构化数据表Bigtable,分布式存储系统Megastore以及分布式监控系统Dapper等. GFS提供了海量数据的存储和访问能力. 分为三类角色,client(客户端),Master(主服务器)和Chunk Server(数据块服务器).