window.onload=function(){ var navList = document.getElementsByClassName('nav-list')[0]; var navFilter = document.getElementsByClassName('filter')[0]; var overLay = document.getElementsByClassName('md-overlay')[0]; navList.onclick=function(){ overLay.style.display='block' navFilter.style.display='block' navFilter.style.right='0' } overLay.onclick=function(){ overLay.style.display='none' // navFilter.style.display='none' navFilter.style.right='-230px' } navFilter.onclick=function(){ overLay.style.display='none' // navFilter.style.display='none' navFilter.style.right='-230px' } } wwwyabo2018,亚博娱乐官方网,yabo888体育

物联网上云要注意安全组态的配置是否得宜,趋势科技呼吁开发人员应做好相关控管

发布于2019-08-23 01:50:16

导读: 图片来源:?周峻佑摄近年来大家谈到物联网的安全,往往会从装置本身安全机制不足出发,不过,除了装置本身潜在的威胁之外,物联网使用云端服务搭建?/div>
图片来源:?

周峻佑摄

近年来大家谈到物联网的安全,往往会从装置本身安全机制不足出发,不过,除了装置本身潜在的威胁之外,物联网使用云端服务搭建,而衍生的资安问题,也是相当值得留意的现象。在今年的CloudSec大会上,趋势科技物联网威胁研究员Shin Li认为,虽然各家云端服务业者已经试图从多种层面予以防范,但物联网装置厂商还是不能掉以轻心,应该从开发的环节,重视自家系统的资讯安全。

在这些物联网的系统上到云端之后,大幅加速厂商推出相关系统的时程,只是就像企业许多服务迁移到云端,突显出开发物联网应用系统之际,厂商很可能沿用过往的流程,未能一并考虑到云端环境的特殊需求,Shin Li表示,在他们的研究发现,主要潜在的威胁可区分3种类型,首先是API闸道的错误设置;再者,则是装置的验证管理(IAM)、凭证,以及政策等,可能出现配置上不当的现象;此外,若是企业其他的云端服务发生异常,假如规划上没有任何的网络隔离措施,便很容易危及物联网系统的安全。

API、装置权限、网络隔离,仍是物联网业者必须特别留意的3大面向

Shin Li说,在他们的研究里,物联网装置的安全性已经逐渐得到重视,业者会频繁更新软件与修补漏洞,因此,骇客便会转向建置在云端上的系统,寻求能够用来攻击之处。

在常见的物联网进行攻击手法中,Shin Li大致点出图中的6个项目,包含了装置的漏洞滥用、控制大量设备发动阻断服务攻击(DDoS)、变造装置、恶意软件攻击、中间人攻击(Man-in-the-middle,MITM),以及窃取可用资讯等,这些都是偏向从终端装置下手的做法。而随着厂商开始加强固件的修补,骇客也改朝向企业建置在云端服务的系统下手。

基本上,物联网装置和云端服务器之间,资料普遍以讯息(Messege)的方式,透过API闸道进行传输。Shin Li指出,若是厂商设计的API本身就有问题,纵使云端服务业者提供再多的防护措施,也会因此形同虚设,他举例,假设厂商无意间开放了一个具有Format All指令的API,外加不需要特别权限就能使用的话,一旦攻击者发现并下达指令,这个物联网系统的资料很可能自此被完全清除,而造成无法挽救的情形。

另一个Shin Li认为容易受到滥用的部分,是装置所取得的权限。由于上云的物联网系统架构中,所有的连网装置都会被当作是角色(Role),随着厂商销售的设备日渐增加,即使云端服务业者可能提供了集中控管的措施,对于营运物联网服务的厂商来说,数千甚至是数万台以上的物联网装置,还是会产生管理上的负担,进而衍生人为的弱点。Shin Li举例,像是提供过高的权限,或是没有确实查核使用者认证的合法与否,使得攻击者得以取得控制权,而使得企业蒙受服务中断,或是造成资料外泄的危机。

由于企业往往不只提供单一物联网系统,Shin Li说,这些系统很可能共用相同的API闸道,若是企业并未采取网段隔离措施,或是部署所需的应用程序防火墙,假如骇客攻陷其中一项物联网服务,其余的也可能同时受到波及。

针对企业建置在云端的物联网系统里,普遍可能存在的问题,Shin Li提出了图中的例子来说明可能会带来的危害。4A是骇客发现企业的API设置不当,借此横向移动,攻击受害者;4B则是发现企业网站使用phpmyadmin,对此攻击得手后进而渗透到物联网环境;4C指的是虽然骇客成功入侵物联网装置,但因为企业相关规则配置得宜,而让受害范围不致扩大。

基于上述防范层面所出现的现象,Shin Li表示,企业利用云端建置物联网系统,仍要自己重视开发和维运的安全,防范人为疏忽可能带来的弱点,而非完全只倚赖云端服务业者所提供的保护机制。因为,一旦轻忽的下场,往往就是让骇客能长驱直入,小能让物联网系统的维运中断,重则可能危害到整个公司的网络环境。

相关文章