导读根据安全公司Zscaler的最新报告,公司网络上来自物联网(IoT)设备的大量网络流量以纯文本形式传输,而没有基本的安全措施。在观察到的物联网
根据安全公司Zscaler的最新报告,公司网络上来自物联网(IoT)设备的大量网络流量以纯文本形式传输,而没有基本的安全措施。
在观察到的物联网流量中,有83%的传输是以明文形式进行的,而只有17%的传输使用SSL来保护信息。似乎没有设备仅通过SSL或仅以纯文本形式进行传输。他们都混合使用了两者。
该报告来自Zscaler的ThreatLabZ, 使用了Zscaler云中的数据。因此,它并不代表所有互联网流量的全部,仅代表使用Zscaler云的流量,也不代表每天约3,300万笔IoT交易。
Zscaler表示:“分析表明,某些设备未遵循正确的安全性做法,这使其容易受到特制攻击。”概述了所观察到的四个最常见的安全性问题:
与服务器进行纯文本HTTP通信以进行固件或软件包更新
纯文本HTTP身份验证
使用过时的图书馆
凭据薄弱或默认
“使用纯文本是有风险的,它会打开流量以进行嗅探(用于密码和其他数据),窃听和中间人攻击以及其他利用,这就是为什么它将不再用于绝大多数Web的原因。和应用流量。”
细心的读者会从许多其他攻击中认识到这些问题。的未来僵尸网络,例如,通过用预先设定的凭证靶向特定的IoT设备非常成功的。