边缘计算的通信层容易遭受的主要攻击有哪些
边缘计算的通信层容易遭受的主要攻击有:
窃听攻击:窃听攻击是指有意地监听通信链接上的私密通话。若通信数据分组未加密,攻击者可以直接获得有价值的信息;在加密的情况下,攻击者也有可能获取用户名和密码。当数据分组包含访问控制信息时,如边缘设备配置、共享网络密码和边缘设备标识符,通过窃听可以捕获关键信息。攻击者可以使用这些捕获的信息设计其他定制的攻击,例如如果攻击者能够成功提取信息,将某个伪造的新边缘设备添加到授权边缘设备集中,那么它就能够轻松地把一个恶意边缘设备添加到系统中。
侧信道攻击:尽管侧信道攻击不易实现,但它们是针对加密系统的强大攻击,能对加密系统的安全性和可靠性构成严重威胁。侧信道攻击也可以在边缘设备层启动。与边缘设备层的攻击不同,通信层的侧信道攻击通常是非侵入性的,它们只提取无意泄漏的信息。该攻击的一个重要特征是它们是难以检测的,因此,除了最小化泄漏或为泄漏的信息添加噪声之外,目前对侧信道攻击没有简单可行的防御方法。
DoS攻击:通信层的DoS攻击的作用是阻塞无线电信号的传输。参考文献定义了两种类型的有源干扰攻击:持续干扰,即对所有传输进行完全干扰;间歇性干扰,边缘设备可以周期性地发送/接收数据分组。持续干扰的目标是阻断所有的通信传输,而间歇性干扰的目标是降低通信的性能。例如一个火灾探测系统原本可以探测到环境中气体水平的异常变化,并在紧急情况下呼叫消防队。攻击者通过间歇性地干扰边缘设备到边缘设备、边缘设备到基站的传输,使系统变得不可靠,在这种情况下,如果攻击者使用持续干扰,系统将停止服务。有些文献研究针对各种传输协议(包括蓝牙)发起DoS攻击的可能性和有效性。除了主动干扰攻击外,攻击者还可能使用恶意边缘设备或路由器启动DoS攻击,攻击者插入故意违反通信协议的边缘设备或路由器,以产生冲突或干扰通信。恶意路由器或边缘设备也可能拒绝路由消息或试图误导它们,这种DoS攻击可以间歇地或持续地进行。持续的DoS攻击通常较容易被检测到,而间歇性攻击的检测则需要精确和高效的监视设备。
注入欺骗分组攻击:攻击者可以使用插入、操纵和重播3种不同的攻击方式,将欺诈性数据分组注入通信链路。在插入攻击中,攻击者能够生成并发送看似合法的恶意数据分组;操纵攻击是指捕获数据分组,然后对其进行修改(如更新报头信息、校验和、数据),并发送操纵的数据分组;在重播攻击中,攻击者捕获之前两个对象之间交换的数据分组,并在通信过程中重播相同的数据分组。
路由攻击:影响消息路由方式的攻击被称为路由攻击。攻击者可以使用此类攻击在通信层欺骗、重定向、误导或删除数据分组。最简单的路由攻击类型是更改攻击,攻击者通过生成路由循环或错误消息更改路由信息。
未授权对话攻击:每个边缘设备都需要与其他边缘设备通信,以便共享数据或访问它们的数据。但是,每个边缘设备应该只与需要其数据的边缘设备子集进行通信,这是物联网系统的基本要求,特别是对于由不安全边缘设备和安全边缘设备组成的物联网系统。未授权对话攻击是获取未授权的边缘设备与边缘设备之间的对话信息的一种攻击。例如在智能家居场景中,为了在紧急情况下关闭供暖系统,恒温器需要烟雾探测器的数据。然而,如果不安全的烟雾探测器可以共享每一个其他边缘设备的信息,攻击者可能通过入侵烟雾探测器的方式控制整个家庭自动化系统。
加强边缘计算技术安全性的措施有以下这些:
数据存储、备份和保护:实际上,网络攻击者仅通过从边缘计算资源中删除磁盘或插入U盘,就有可能窃取数据库。由于边缘计算设备的本地资源有限,因此备份关键文件也可能很困难或不可能实现,这意味着如果发生攻击事件,组织可能没有备份副本来恢复数据库。所以要加强数据的备份和保护。
加强密码安全:建议不要使用弱密码,可以增强密码的安全性,并且对密码的存储要保证存储的安全。
增加身份验证:由于边缘计算技术缺乏对用户的身份验证,建议可以采取多因素认证或者双因素认证等方式来加强用户的身份认证,同时完善用户的管理和管理员的操作。
及时更新补丁:边缘计算设施出现安全漏洞可能会使数据中心资产的访问凭据暴露,从而显著增加安全漏洞的范围。及时将这些漏洞进行修补以防止数据中心资产的暴露。
监视活动操作:监视并记录所有边缘计算活动,尤其是与操作和配置有关的活动。组织必须确保对边缘计算设施的访问权限,因为总体而言并不能保证其设施的安全。将设备放在安全笼中并在人员进入和退出时进行视频监视是一个很好的策略,其前提是必须控制对安全笼的访问,并且采用视频技术可以识别访问尝试。打开安全笼应在组织的IT运营或安全中心触发警报。用于这一目的的工具与用于数据中心设施安全的工具相同,都采用传感器和警报。