物聯(lián)網(wǎng)零散的安全記錄長期以來一直是安全界的討論話題，但2016年10月的Mirai惡意軟件攻擊事件引起了世界各國的關注。

這是對物聯(lián)網(wǎng)第一次成功的大規(guī)模安全攻擊，利用惡意軟件將易受攻擊的物聯(lián)網(wǎng)設備變成僵尸網(wǎng)絡大軍，通過多種大規(guī)模DDoS攻擊摧毀Netflix、Twitter和Reddit等知名網(wǎng)站。

Mirai并不是一個復雜的惡意軟件，它只是在物聯(lián)網(wǎng)設備上掃描網(wǎng)絡上的Telnet開放端口，然后嘗試總共61個默認密碼，試圖獲得盡可能多的設備控制權。

這是一個令人擔憂的成功策略，有近40萬臺設備在巔峰時刻連接在一起，足以造成大規(guī)模破壞。更重要的是，它提出了一個嚴重問題，即便是粗糙惡意軟件也可以輕松通過薄弱的物聯(lián)網(wǎng)安全實踐。

MiRAI惡意軟件攻擊聽起來像是糟糕的情況，但不幸的是，有相當多的物聯(lián)網(wǎng)設備( Gartner預測，2017年有84億臺連網(wǎng)設備，到2020年將增至204億臺 ) 極易受到這種攻擊。

近年來，許多制造商和供應商急于利用物聯(lián)網(wǎng)市場的快速增長機會，并沒有采取強有力的安全措施，以便盡快將產(chǎn)品推向市場。

因此，如今許多設備都有默認密碼和憑據(jù)，使用不安全的配置，并且眾所周知的難以升級。總之，他們很容易被攻擊。

新低級協(xié)議黑客(如KRACK )的出現(xiàn)，也讓潛在攻擊者更容易繞過和破壞物聯(lián)網(wǎng)基礎設施，并注入惡意代碼，或操縱易受攻擊設備中的數(shù)據(jù)。

這樣做可能會產(chǎn)生嚴重影響。例如，如果設備需要與云應用程序同步，惡意代碼或操縱的數(shù)據(jù)可能被用來感染云或發(fā)回不正確的設置或操作，從而帶來潛在的破壞性后果。

幸運的是，物聯(lián)網(wǎng)制造商和供應商正慢慢意識到設備和基礎設施保護不足所帶來的安全風險。

但是，由于已經(jīng)有那么多保護不良的設備(并且還在生產(chǎn)中)存在，在進行任何實施之前，從各種不同角度對安全進行全面評估仍然是絕對必要的。

至少應徹底檢查以下三個方面:

軟件：在安裝任何新設備之前，務必確保制造商從一開始就遵守嚴格的軟件安全措施，而不是事后才采取的措施。其核心是能夠遠程修補設備，為抵御網(wǎng)絡威脅和軟件進步提供急需的未來防護。

硬件：物理安全是評估新物聯(lián)網(wǎng)設備的另一個關鍵領域。包括物理開關這樣簡單的東西，允許用戶在需要時關閉某些功能(例如，具有麥克風功能的設備靜音按鈕)。在組件中集成防篡改措施也大大減少了未經(jīng)許可訪問它們的機會。

網(wǎng)絡：對于物聯(lián)網(wǎng)設備與后端管理或存儲解決方案之間的任何數(shù)據(jù)交換，應始終使用HTTPS等安全協(xié)議。強身份驗證方法也很重要，應提示用戶在首次使用時立即將任何默認憑據(jù)更改為強大的字母數(shù)字替代方法。

與許多新技術一樣，制造商和供應商在過去幾年物聯(lián)網(wǎng)熱潮中很容易忘記了安全的重要性。 然而，現(xiàn)在蜜月期已經(jīng)結束，而像Mirai這樣危險新型惡意軟件構成的威脅變得更加普遍，每個人都需要開始認真對待。

上述基本安全原則將有助于抵御外部威脅。幸運的是，業(yè)界已經(jīng)開始意識到這一點，但在更好的安全措施變得更加普遍之前，對新的物聯(lián)網(wǎng)實施采取謹慎態(tài)度仍然是必不可少的。