物联网技术在各行各业的应用已成为大趋势。初创企业,中小企和其他企业开始应用物联网技术,来创造业务价值并带来新的客户体验。当大家着重物联网技术带来的功能与特点时,很少有人真正了解伴随而来的潜在保安风险。推广物联网安全**实践对于至关重要。
当越来越多的设备应用智慧技术,例如通过移动设备提供远程控制,和使用无线技术或互联网收集数据时,它们也提供了新的攻击面。攻击者可能会试图控制设备,从设备中窃取敏感资讯,甚至造成其他实质损害。例如,一款直发电器产品被发现有保安漏洞,可以让攻击者远程调校温度至高逹摄氏235度,如该电器恰巧放置在易燃物品附近,其热量可能会导致火灾。
与此同时,攻击者已经开始利用物联网设备的保安漏洞,将其变成僵尸网络 (botnet)中的一员,并使用它们发动大规模分布式阻断服务(DDoS)攻击。例如2016年10月,黑客入侵逾十万部物联网设备,组成名为“Mirai”的僵尸网络,发动大规模DDoS攻击,瘫痪了域名注册服务提供商Dyn,导致Airbnb、Netflix、Twitter 等主要互联网服务中断。
香港电脑保安事故协调中心(HKCERT)曾发表过《Mirai 恶意软件的清理及侦测》 和 《物联网设备(网络摄影机)保安研究》的保安建议,以回应与 IoT 设备相关的事故。同时,我们留意到很多保安问题源于物联网设备在设计和开发中缺乏保安考虑。为解决此问题,本中心编制了《物联网保安**实践指引》,让开发人员于产品设计和开发的早期阶段开始应用。该指引涵盖了物联网解决方案中四个层面的常见保安问题:
该指引包括保安**实践和简单的保安风险自我验证清单。它旨在帮助开发人员从设计阶段开始以及整个开发周期中,纳入物联网保安**实践。此外,初创企业,中小企或企业在采购物联网解决方案时可以指引作为保安规格要求的参考;一般用户亦可透过该指引了解更多有关物联网保安**实践,在应用物联网设备时,提高对物联网设备的安全意识。
请按此下载 《物联网保安**实践指引》。用户或开发者如对指南有任何意见或查询,欢迎通过电邮 [email protected] 或热线电话 81056060 与 HKCERT 联络。