一个我们经常挂嘴边却不Care的存在

据Gartner发布的数据显示：2015年，在全球智能住宅和智能建筑中所使用的物联网设备总数为4.95亿，占全球物联网设备总数（11亿）的45%。如此庞大的设备数量给网络安全带来的巨大的考验。

IoT(物联网)是越来越频繁出现的名词。它可能听起来很时尚、前卫，但物联网其实是个概念，透过互联网将所有的硬设备连接的一种方式。物联网将在未来实际应用于建筑自动化和中央监控系统。

我们已经习惯的网络思维是连接计算机、智能手机和个人。物联网则是使用相同的技术来连接硬设备与硬设备之间，这个连接当中没有“人”这个因素的存在。

全球将会有越来越多具备物联网功能的设备、系统和服务，包括各项通讯协议以及适合各式各样应用领域的传输技术。这些设备的互联几乎可以应用在所有的领域，不再需要人为的操作与指令。

物联网于智能建筑中，涵盖了空调、机电控制、保安防盗、防火防灾等，透过网络连接所有的系统，而且不仅止于控制，针对每项设备传回来的数据进行分析和解读，使得设备与系统之间达到更完善的平衡与应用。透过物联网的技术，从世界上的任一个依地方，都可以实时监控该建筑物的运作情况。

近日，来自IBMX-Force安全研究团队的研究人员对一幢写字楼的自动化控制系统进行了测试，发现其中存在很多安全问题。他们进行测试的着手点，就是该写字楼的一台存在漏洞的路由器。

BMX-Force团队就找到了一种进入大楼网络的方法。IBMX-Force安全分析师ChrisPoulin指出，我们正是通过攻击一个存在漏洞的路由器，才进入了其网络。

接下来，该测试团队还尝试着获取该路由器的共享密码（该密码是以明文的形式保存），之后拿到访问BAS的权限，并控制其的运行。在拿到密码之后，他们结合该共享密码和路由上的安全漏洞，拿到了本地BAS控制器的管理权限。

整个过程就像玩多米诺骨牌一样，当其中一个关键步骤实现（指拿到路由器密码），剩下的就很轻松了。该团队最终拿到了BAS中央服务器的管理权限，并能控制美国几个地方多栋建筑中的自动化控制器。

上述这个例子并不是实验室才会发生，在2016年第四季度，以物联网(IoT)设备为目标和源头的攻击活动开始占据新闻头条。不安全的物联网设备成为威胁实施者眼中唾手可得并可轻松利用的成熟果实。众所周知，部分设备甚至被用作僵尸网络，针对选定的目标发起DDoS攻击。

从上面的图表中我们可以看到家庭路由器在2015年引发了大部分物联网IPS特征攻击，将近820,000次。排在其后的依次是由网络摄像头、电信系统、网络附属存储(NAS)系统引发的特征攻击。通过比较可以发现，数字录像机/网络录像机(DVR/NVR)、智能电视、以及打印机引发次数相对较少。

物联网安全正在越来越成为当下网络安全的新的杀手锏。如果物联网制造商不能确保其设备的绝对安全，对数字经济的潜在影响可能是毁灭性的。若不引起警惕，关键服务中断的事件是很有可能发生的。由于目前存在漏洞的物联网设备越来越普遍，针对物联网设备的攻击将继续投机取巧并变得更加复杂物联网通信和数据采集链中的漏洞会被更多的利用。物联网安全，已经我们不得不重视的网络安全新方向。