消費者物聯網漏洞:當互連意味著共同承擔風險時

圖片來源:
圖片來源
iStock

消費者物聯網漏洞:當互連意味著共同承擔風險時

消費者物聯網漏洞:當互連意味著共同承擔風險時

副標題文字
由於家用電器、健身小工具和汽車系統等智能設備的增加,黑客有更多的目標可供選擇。
    • 作者:
    • 作者姓名
      量子運行遠見
    • 2023 年 7 月 5 日

    洞察亮點

    雖然物聯網 (IoT) 行業不斷創新,但由於消費者忽視更新默認設備密碼以及製造商引入未經測試的功能,它正在努力解決顯著的網絡安全問題。 由於缺乏公開的漏洞披露以及公司沒有明確的處理計劃,這些挑戰變得更加複雜。 儘管有一些使用保密協議、漏洞賞金計劃和協調漏洞披露 (CVD) 作為風險管理策略,但全行業對漏洞披露政策的採用率仍然很低。 

    消費者物聯網漏洞上下文

    儘管家庭助理和智能安全攝像頭等設備具有優勢,但物聯網行業在網絡安全方面仍有很長的路要走。 儘管在設計和基礎設施方面取得了進步,但這些設備仍然容易受到網絡攻擊。 許多消費者不知道升級其設備操作系統的最佳實踐,這一事實使這個問題更加複雜。 據物聯網雜誌報導,所有物聯網設備所有者中有 15% 不更改默認密碼,這意味著黑客只需五個用戶名和密碼組合就可以訪問所有相關設備的 10%。

    其他安全挑戰源於這些設備的設置或維護方式。 如果一台機器或軟件處於不安全狀態——例如,它無法使用新的安全更新進行修補或最終用戶無法更改默認密碼——它很容易使消費者的家庭網絡暴露於網絡攻擊之下。 另一個挑戰是當開發人員關閉時,沒有人接管他們的軟件或平台。 

    物聯網攻擊因機器或基礎設施而異。 例如,軟件或固件漏洞可以讓黑客繞過電動汽車 (EV) 的安全系統。 同時,一些物聯網製造商經常在他們的設備或接口中添加新功能而沒有對其進行徹底測試。 例如,一些看似簡單的東西,如 EV 充電器,可能會被黑客攻擊導致充電不足或充電過多,從而導致物理損壞。

    破壞性影響

    根據 IoT 安全基金會進行的 2020 年調查,IoT 製造商做得不夠的領域之一是提供公開的漏洞披露。 提高連接到物聯網的設備安全性的一個關鍵方法是讓研究人員能夠輕鬆地直接向製造商報告他們發現的漏洞。 與此同時,公司需要傳達一旦確定這些問題後他們將如何應對,以及預計軟件補丁或其他修復的時間範圍。

    為了應對新出現的網絡安全威脅,一些企業依賴保密協議。 其他人則以漏洞賞金(即為發現的漏洞付費)來吸引研究人員。 公司還可以保留專門的服務來管理信息披露和漏洞賞金計劃。 另一種風險管理技術是協調漏洞披露 (CVD),生產者和研究人員共同解決問題,然後同時發布修復和漏洞報告,以減少對用戶可能造成的損害。 

    不幸的是,一些公司沒有處理披露的計劃。 雖然採用漏洞披露政策的公司數量從 13.3 年的 2019% 上升到 9.7 年的 2018%,但行業採用率普遍較低(2022 年)。 幸運的是,越來越多的法規要求披露政策。 2020 年,美國政府通過了《物聯網網絡安全改進法》,要求物聯網供應商在向聯邦機構出售產品之前必須制定易受攻擊的披露政策。 

    消費者物聯網漏洞的影響

    消費者物聯網漏洞的更廣泛影響可能包括: 

    • 政府監管物聯網製造商制定披露政策和嚴格透明的測試。
    • 越來越多的科技公司成立協會以同意共同標準並開發統一的網絡安全協議,使設備可互操作並越來越安全。
    • 智能手機和其他個人消費設備實施先進的多因素身份驗證和生物特徵識別以增強網絡安全。
    • 增加對電動和自動駕駛汽車網絡安全的投資,以防止數字劫持。
    • 更多的竊聽攻擊,犯罪分子接管未加密的通信渠道; 這種犯罪趨勢可能會導致更多消費者更喜歡加密消息傳遞應用程序 (EMA)。
    • 更多利用弱密碼保護的社會工程攻擊事件,尤其是在舊設備用戶中。

    要評論的問題

    • 您如何確保您的物聯網設備得到妥善保護?
    • 消費者還可以通過哪些其他方式增強其物聯網設備的安全性?

    洞察參考

    此見解引用了以下流行和機構鏈接: