“如果我们不小心，”网络安全公司多佛微系统公司的首席执行官乔希罗森伯格警告说，“物联网可能会杀死我们所有人。”至少，大量连接的设备可以控制交通运输中的一切，因此发生灾难的可能性非常高。发电厂系统。

罗森伯格并不是唯一一个参与评估的人。著名安全专家Bruce schneier出版了他的新书《点击这里杀死所有人：超级互联世界中的安全与生存》。

为了降低严重损坏的风险，罗森伯格倡导基于硬件的物联网设备安全方法。他的公司最近与恩智浦半导体合作，该公司将利用多佛的CoreGuard技术，该技术可以保护嵌入式设备中使用的处理器。CoreGuard监视主机处理器执行的指令，并丢弃与预定义安全策略冲突的指令。

罗森伯格说，最终，这项技术可以提供一种“群体免疫”，他指的是流行病学概念，它表明，如果相当比例的生物对疾病有免疫力，它们将为那些没有免疫力的生物提供保护。

“在Dyn攻击的背景下考虑这一点，”Rosenberg引用了IoT在2016年末推广的Mirai未来组合僵尸网络对互联网的大多数攻击。"假设你有一系列受到威胁的设备，比如IP摄像头."这些设备中的每一个都连接到1000个其他物联网设备，每个设备又连接到1000个设备。“很快，你就会有数百万台损坏的设备，”他解释道。现在想象一下，如果最初的一系列设备没有被拿走。你刚刚阻止了数百万台设备被接管。"

基于硬件的物联网设备安全可以通过防止利用软件漏洞来防止各种攻击，这意味着攻击者试图远程命令设备被阻止。

当被问及这项技术如何帮助防止对连接的工业目标的攻击时，罗森伯格说，“想象一下，CoreGuard位于工业设备上，而您的恶意软件位于连接到该设备的计算机上。攻击者想要做的是接管工业设备上的处理器。”

攻击者可以使用的一种方法是发起基于数据的攻击，通过网络将数据发送到设备，并诱骗它们接受黑客的投标。SQL注入攻击就是这种方法的一个例子，攻击者使用合法SQL指令的ASCII命令，但是触发了错误的操作。“去年的Equifax袭击就是一个例子，”罗森伯格说。“它有一个数据库，可以从不该有的渠道转储大量数据。”

攻击者还可以执行基于计算的攻击，例如缓冲区溢出，触发超出缓冲区边界的程序，缓冲区是设计用于保存数据的指定区域。结果，程序将数据写入缓冲区之外的存储位置。

“我们可以通过CoreGuard阻止缓冲区溢出攻击，因为它正在查看每一条指令。它知道程序执行期间运行时创建的每个缓冲区，”罗森伯格说。“我们还知道每个缓冲区的大小。我们可以非常强烈地说，我们可以防止每一次缓冲区溢出攻击。通过点击网络钓鱼链接攻击用户，然后试图攻击缓冲区溢出的计算机将被停止。”

对于面向数据的攻击，CoreGuard可以实施旨在防止具有IT网络访问权限的入侵者将其范围扩展到敏感设备(如联网的工业设备)的策略。Rosenberg说：“CoreGuard可以设置一个策略，基本上说：‘所有通过网络传入的数据都将被自动标记为不可信’，而不是数据而不是代码。

罗森伯格说：“例如，如果是来自外部的SQL数据，就会被标记为不可信。“唯一能让它可信的是通过清理器处理它，但是CoreGuard知道这个例程什么时候会被调用。因此，CoreGuard所做的基本上是，当可疑数据到达并被发送到数据库时，它会被阻止。它不能作为将整个数据库转储出端口的代码来执行。

罗森伯格说，想要利用这种攻击来攻击CoreGuard保护的公用事业并导致断电的攻击者不会成功。“如果数据输入变压器，电压降低到30伏，或者交流电从60 Hz变为10 Hz，我们可以防止这种情况发生。”

同样的原则也适用于物联网和其他安全相关应用的用例，例如交通或医疗应用。

“我们看到这些行业的人说，‘我们需要更多的安全性。“我们正在做的事情不起作用，”罗森伯格说所以我认为仅仅应用更多基于软件的安全性是行不通的。"

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：