会发生什么,如果一个坏演员关闭你的热量在隆冬时节,则需要$ 1,000重新打开它?甚至拥有一个小城市的赎金权力?这些类型的个人,企业和基础设施技术攻击是来自SANS研究所,谁在旧金山RSA大会上发言时周三安全专家最关注的问题之一。
+的RSA更多:热门产品在2017年RSA+
一些威胁的直接目标消费者,但即使是那些目标公司最终可能会“过滤器下”给消费者,但效果可能不会觉得有一段时间了。
七个致命攻击
下面是7个最危险的攻击向量,根据SANS了,什么,如果有的话,你可以做他们:
1.勒索:勒索浮出水面超过20年前,但它已演变成恶意软件的一个严重可怕的形式:加密勒索,其加密你的文件,并要求支付解锁。这是一个理想的方式为坏人攻击:勒索利差像病毒一样,锁定了独立的数据,并迫使你联系的犯罪分子付款和恢复,根据埃德Skoudis,在SANS学院的讲师。
你可以做什么:实践“网生:”你打补丁的系统,使用反恶意软件,并设置权限和网络访问控制,以限制暴露,一旦电脑被感染,你别希望传播给网络上的其他电脑。请记住,勒索软件是由实际的人监控,您可以与之谈判:“最好的办法是出现小国和穷国,” Skoudis说,要尽量减少你要支付的费用。
2.物联网。在消费类产品发展的下一阶段是连通性:一切从宝宝相机牙刷使用无线协议连接到对方和互联网。这反过来,给他们留下了容易受到黑客攻击。更糟糕的是,物联网设备现在攻击平台,为未来蠕虫证明。
你可以做什么:更改默认密码。如果您的智能家居小工具不允许这样做,要么返回,或等待(或上访的制造商)的固件,允许自定义密码。您还可以采取进一步措施,禁止远程访问,使用单独的专用家庭局域网物联网设备,以及控制它们专用的云帐户绝缘连接的设备,Skoudis说。
3.勒索和的IoT的交点。去年,奥地利酒店遭到黑客攻击,破坏其钥匙卡系统。这种攻击可能最终迁移到你的家,抱着你的智能恒温人质(和设定在40度,说),直到你交上去。
你可以做什么:眼下,这种攻击是比什么都重要理论。但它的一些思考,你开始建立你的家庭:有多少自动化是太多?“你要问自己,什么是人与机器之间的平衡?”工业主管和基础设施SANS迈克尔Assante说。
马克Hachman
在随后乌克兰发电站2015年攻击的总结,由SANS研究所提供。
4.攻击对物联网的产业网络。2015年,又在2016年,未知的黑客拿下发电站在乌克兰,利用自动化,对电力公司的分布式系统的发展趋势。幸运的是,第一反应很快就能手动翻转断路器和恢复供电。但谁也不能保证,将始终是这种情况,以及如果太平洋天然气和电力公司或爱迪生的基础设施遭到黑客攻击发生什么呢?
你可以做什么:作为消费者,并不多。基础设施机构将不得不决定是否要与智能系统操作,或将其关闭。以提高自动化程度扩大可以帮助您降低电力成本,但处罚可能的漏洞增加至外部的攻击,Assante警告。
马克Hachman
乌克兰发电站2015年攻击的总结,由SANS协会所提供。
5.弱随机数生成器。真正的随机数是好的加密的基础上,确保无线网络和广泛的安全算法,根据约翰内斯·乌尔里克,在SANS互联网风暴中心的主任。但是,“随机”数生成器是不是真正随机的,这使得他们基于易于加密破解。这给出了一个边缘的罪犯,谁可以利用这一点,并解锁“安全的”加密连接。
你可以做什么:这对于设备制造商来解决问题。请记住,你的“安全”网络实际上可能比你想象的更弱。
Web服务6.过度依赖。越来越多的应用程序和软件的交谈,并纳入第三方服务,如码头工人或天青。但目前还没有真正的肯定,这些应用程序被连接到预期的实体,还是攻击者正在加紧在,窃取数据,并返回虚假信息。
你可以做什么:再次,这是开发人员的问题。不过乌尔里希警告说,移动应用正变得越来越脆弱,因此,即使一个应用程序是不是要窃取你的数据,“服务”,它认为它连接的可能。
7. SOQL攻击对NoSQL数据库。这又是一个开发商的问题,但它可能会影响收集的关于您的数据。多年来,SQL注入,其中的可执行代码被迫SQL数据库输入栏里面,是互联网的祸害之一。现在,开发人员从SQL搬开NoSQL数据库MongoDB的一样,他们发现,这些数据库是不是安全的,因为他们应该。
这个故事,最初是由出版的“吓着专家最技术的7个安全威胁”这次调查是PCWorld 。
