智能设备将是企业安全的重大威胁

攻击1：智能鱼缸攻击事件

发生在美国的一起借由智能鱼缸实施的黑客攻击事件，将智能设备的风险暴露出来。黑客仅通过鱼缸里的温度计就黑进了内网。

被攻击的是一家赌场，其智能鱼缸通过连接互联网，可以实现自动喂食并保持环境、温度、清洁度。这个看似不起眼的智能设备成了黑客攻击的目标。黑客先是入侵智能鱼缸，得以进入赌场内网中，通过扫描，漏洞侵入到网络中的其他地方，最终窃取赌场有关客户的信息。

这起借由智能鱼缸实施的黑客攻击并非偶然事件，联网的咖啡机、电冰箱、智能画板、电动窗帘、路由器都有可能成为被黑客攻击的目标. 很多智能设备都是裸跑，没有操作系统，没有完备的协议栈，很容易被黑客当作“跳板”和“肉鸡”。

攻击2：激光入侵智能家居设备

今年早些时候，来自日本和密歇根大学的研究人员发现，激光可以用于向许多智能家居设备（如Amazon Echo，Google Home和Apple Siri）上的麦克风发送音频命令。

研究团队尝试了许多智能家居设备（门锁，车库门开启器，恒温器），并使用调制的激光束对其进行测试。研究人员发现，某些麦克风可以将光转换成声音，从而将语音命令发送到语音控制设备。通过“光命令”，黑客可以远程入侵智能音箱。除了控制手机、电脑，还可控制门锁、窗帘、灯泡等智能设备，其后果可想而知。

攻击无处不在

今年的卡巴斯基第十届墨西哥年度峰会上研究人员揭露了加油站、商场机器人和家庭智能相机的漏洞。其他小组详细介绍了如何破解游艇，汽车，工业控制系统和医院技术。以典型的医院物联网作为案例，卡巴斯基实验室的研究人员为黑客找到了27,716个开放入口点。研究者将其归因于医院中与互联网连接的设备的增加，其中有些甚至可能不是医疗设备。

黑客们越来越多地瞄准无保护的智能设备，如空调系统和闭路电视，进入企业网络。路由器高危漏洞致德国百万用户断网、黑客入侵15万台打印机、智能泰迪熊玩具泄露200多万条亲子聊天记录……与智能设备漏洞相关的黑客攻击一再发生。

从智能泰迪熊到特斯拉，从温控器、制冷系统、暖通空调系统，到人们带进办公室的智能音箱。黑客们的攻击面扩大了，但是大部分智能设备都没有在传统防御覆盖之下。

根据帕洛阿尔托网络公司（Palo Alto Networks）对全球商业领袖进行调查的一份报告发现，去年连接到商用网络的智能设备种类和数量都有所增加，包括垃圾桶、灯泡和洗手液。将近一半（41％）的受访者表示，他们需要对实现物联网安全性的方式进行大量改进，还有17％的受访者表示，需要进行全面的检查。

正如一位安全专家无奈地指出：“在大量价格低廉的智能设备上，几乎不可能使用复杂又耗电的安全系统。”

智能设备生产商为了节省成本，使用通用、开源的操作系统，或未经安全检测的第三方组件，这很可能会引入漏洞。而且，大多数智能设备不会保护调试接口，这也给了攻击者乘虚而入的机会。

2019年3月，湖北省一家科技公司的多台智能设备出现故障，包括自助洗衣机、自助充电桩、吹风机、按摩椅等，据统计，共有100余台设备被恶意升级造成无法使用，10万台设备离线。这个案例说明了目前市场上的智能设备非常脆弱，在接收到恶意的网络指令时无法辨别和保护自身。

在过去的一年中，曾经让半个美国掉线的僵尸网络Mirai又扩展了其技术，以瞄准更多的处理器和更多的企业级硬件。这些恶意软件的让人联想起早期的病毒和蠕虫。现在的情况也是如此，只不过入侵的对象不是台式电脑，而换成了智能设备，包括照明系统，空调装置和打印机。

Mirai难被遏制的一个原因是它潜伏在设备上，一般不会明显影响到其性能。所以一般用户或者小企业都不会相信他们的摄像头是活跃的僵尸网络的一部分。即便他们知道摄像头已被僵尸网络侵蚀，由于没有直接的方式来与受感染的产品接口，他们也不知道该做什么。

国际权威咨询公司高德纳预测，2020年全球智能设备（不含个人电脑、智能手机和平板电脑）数量高达260亿件，其中物联网设备的数量将达到204亿。这有很多潜在的安全隐患。物联网产品和服务供应商创造将超过3000 亿美元的增量收入。随着物联网蓬勃发展而来的是安全问题的如影随形。解决智能设备的安全防护问题已是刻不容缓。

高德纳咨询公司（Gartner）的最新报告指出，近20%的机构在过去三年内至少观察到一次基于物联网的攻击。为了应对这些威胁，Gartner预计2021年全球企业安全支出将达到30亿美元以上。

我们生活在一个商业世界中，物联网打开了新的商业机会。

企业和设施越来越多地连接到智能设备，目的是使一切变得轻松。但是更多的连接设备意味着更多的潜在漏洞。

企业需要能够识别新的物联网设备，当然还必须进行监控以检查其预期的功能，以识别任何威胁或风险。

TSCM安全检查：