物聯(lián)網(wǎng)安全的某些問(wèn)題令人印象深刻，例如物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，也有一些問(wèn)題可能不會(huì)那么令人關(guān)注，其中包括DNS威脅和物理設(shè)備攻擊。

物聯(lián)網(wǎng)行業(yè)如今并沒(méi)有一套明確的安全標(biāo)準(zhǔn)供開發(fā)人員和制造商構(gòu)建一致的安全性，但也有一些安全最佳實(shí)踐。IT管理員可能會(huì)發(fā)現(xiàn)很難跟蹤和更新設(shè)備，這些設(shè)備可能會(huì)在內(nèi)部部署設(shè)施運(yùn)行多年。

黑客掃描網(wǎng)絡(luò)以查找設(shè)備和已知漏洞，并越來(lái)越多地使用非標(biāo)準(zhǔn)端口來(lái)獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限。

IT管理員必須在其物聯(lián)網(wǎng)部署中解決以下五種常見(jiàn)的物聯(lián)網(wǎng)安全威脅，然后實(shí)施預(yù)防策略。

什么是物聯(lián)網(wǎng)攻擊面？

在基本層面上，攻擊面是未經(jīng)授權(quán)的系統(tǒng)訪問(wèn)的入口點(diǎn)總數(shù)。物聯(lián)網(wǎng)的攻擊面超越了入口點(diǎn)，其中包括物聯(lián)網(wǎng)設(shè)備、連接軟件和網(wǎng)絡(luò)連接的所有可能的安全漏洞。

對(duì)物聯(lián)網(wǎng)設(shè)備安全的日益關(guān)注包括這樣一個(gè)事實(shí)，即網(wǎng)絡(luò)威脅者不僅可以破壞支持物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)和軟件，還可以破壞設(shè)備本身。此外，物聯(lián)網(wǎng)設(shè)備的采用速度比能夠提供安全、可靠連接的流程和協(xié)議更快。

企業(yè)可以采取一些措施來(lái)保護(hù)物聯(lián)網(wǎng)攻擊面，但這些措施需要員工和技術(shù)專家來(lái)制定適當(dāng)?shù)牟呗?，以便主?dòng)檢測(cè)威脅，并采取措施來(lái)減小網(wǎng)絡(luò)攻擊面。

企業(yè)必須解決的五大物聯(lián)網(wǎng)安全威脅

1. 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

在2016年發(fā)生Mirai等重大僵尸網(wǎng)絡(luò)攻擊事件之后，物聯(lián)網(wǎng)開發(fā)人員、管理員和安全人員盡快采取措施防止此類攻擊。僵尸網(wǎng)絡(luò)編排器發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備是一個(gè)具有吸引力的目標(biāo)，因?yàn)榘踩渲帽∪?，并且可以委托給用于攻擊企業(yè)的僵尸網(wǎng)絡(luò)的設(shè)備數(shù)量眾多。

網(wǎng)絡(luò)攻擊者可以通過(guò)未受保護(hù)的端口或網(wǎng)絡(luò)釣魚詐騙惡意軟件來(lái)感染物聯(lián)網(wǎng)設(shè)備，并將其加入用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。黑客可以在互聯(lián)網(wǎng)上輕松找到檢測(cè)易受攻擊機(jī)器的惡意代碼，或者在另一個(gè)代碼模塊向設(shè)備發(fā)出信號(hào)以發(fā)起網(wǎng)絡(luò)攻擊或竊取信息之前隱藏代碼以防止安全檢測(cè)。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)經(jīng)常用于分布式拒絕服務(wù)(DDoS)攻擊，以迅速加大針對(duì)目標(biāo)的網(wǎng)絡(luò)流量。

僵尸網(wǎng)絡(luò)攻擊檢測(cè)并不容易，但I(xiàn)T管理員可以采取幾個(gè)步驟來(lái)保護(hù)設(shè)備，例如保留每臺(tái)設(shè)備的清單。企業(yè)應(yīng)該遵循基本的網(wǎng)絡(luò)安全措施，例如身份驗(yàn)證、定期更新補(bǔ)丁，并在管理員將物聯(lián)網(wǎng)設(shè)備添加到網(wǎng)絡(luò)之前確認(rèn)它們符合安全標(biāo)準(zhǔn)和協(xié)議。網(wǎng)絡(luò)分段可以隔離物聯(lián)網(wǎng)設(shè)備，以保護(hù)網(wǎng)絡(luò)免受受損設(shè)備的影響。IT管理員可以監(jiān)控網(wǎng)絡(luò)活動(dòng)以檢測(cè)僵尸網(wǎng)絡(luò)，并且一定不要忘記規(guī)劃物聯(lián)網(wǎng)設(shè)備生命周期。

2. DNS威脅

許多企業(yè)使用物聯(lián)網(wǎng)從原有設(shè)備收集數(shù)據(jù)，這些設(shè)備并不總是按照更新的安全標(biāo)準(zhǔn)設(shè)計(jì)。當(dāng)企業(yè)將原有設(shè)備與物聯(lián)網(wǎng)相結(jié)合時(shí)，它可能會(huì)使網(wǎng)絡(luò)暴露于舊設(shè)備的漏洞。物聯(lián)網(wǎng)設(shè)備連接通常依賴于域名系統(tǒng) (DNS)，這是一個(gè)產(chǎn)生于上世紀(jì)80年代的域名系統(tǒng)，它可能無(wú)法處理可以增長(zhǎng)到數(shù)千臺(tái)設(shè)備的物聯(lián)網(wǎng)部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來(lái)獲取數(shù)據(jù)或引入惡意軟件。

IT管理員可以通過(guò)域名系統(tǒng)安全擴(kuò)展(DNSSEC)確保DNS漏洞不會(huì)對(duì)物聯(lián)網(wǎng)安全構(gòu)成威脅。這些規(guī)范通過(guò)確保數(shù)據(jù)準(zhǔn)確且未經(jīng)修改的數(shù)字簽名來(lái)保護(hù)DNS。

當(dāng)物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)進(jìn)行軟件更新時(shí)，域名系統(tǒng)安全擴(kuò)展(DNSSEC)會(huì)檢查更新是否到達(dá)了預(yù)期的位置，而沒(méi)有惡意重定向。企業(yè)必須升級(jí)協(xié)議標(biāo)準(zhǔn)，包括MQ Telemetry Transport，并檢查協(xié)議升級(jí)與整個(gè)網(wǎng)絡(luò)的兼容性。IT管理員可以使用多個(gè)DNS服務(wù)來(lái)實(shí)現(xiàn)連續(xù)性和額外的安全層。

3. 物聯(lián)網(wǎng)勒索軟件

隨著連接到企業(yè)網(wǎng)絡(luò)的不安全設(shè)備數(shù)量的增加，物聯(lián)網(wǎng)勒索軟件攻擊也在增加。黑客用惡意軟件感染設(shè)備，將其變成僵尸網(wǎng)絡(luò)，探測(cè)接入點(diǎn)或在設(shè)備固件中搜索可用于進(jìn)入網(wǎng)絡(luò)的有效憑據(jù)。

通過(guò)物聯(lián)網(wǎng)設(shè)備進(jìn)行網(wǎng)絡(luò)訪問(wèn)，網(wǎng)絡(luò)攻擊者可以將數(shù)據(jù)泄露到云端，并威脅要保留、刪除或公開數(shù)據(jù)，除非支付贖金。支付贖金有時(shí)并不會(huì)讓企業(yè)取回所有數(shù)據(jù)，勒索軟件會(huì)自動(dòng)刪除文件。勒索軟件會(huì)影響企業(yè)組織，例如政府服務(wù)或食品供應(yīng)商。

4. 物聯(lián)網(wǎng)物理安全

雖然網(wǎng)絡(luò)攻擊者似乎不太可能物理訪問(wèn)物聯(lián)網(wǎng)設(shè)備，但I(xiàn)T管理員在規(guī)劃物聯(lián)網(wǎng)安全策略時(shí)絕不能忘記這種可能性。黑客可以竊取設(shè)備、打開它們并訪問(wèn)內(nèi)部電路和端口以闖入網(wǎng)絡(luò)。IT管理員必須只部署經(jīng)過(guò)身份驗(yàn)證的設(shè)備，并且只允許授權(quán)和經(jīng)過(guò)身份驗(yàn)證的設(shè)備訪問(wèn)。

5. 影子物聯(lián)網(wǎng)

IT管理員無(wú)法始終控制連接到其網(wǎng)絡(luò)的設(shè)備，這會(huì)產(chǎn)生一種稱為“影子物聯(lián)網(wǎng)”的物聯(lián)網(wǎng)安全威脅。具有IP地址的設(shè)備(例如健身追蹤器、數(shù)字助理或無(wú)線打印機(jī))可以增加個(gè)人便利或協(xié)助員工工作，但它們不一定符合企業(yè)的安全標(biāo)準(zhǔn)。

如果不了解影子物聯(lián)網(wǎng)設(shè)備，IT管理員就無(wú)法確保硬件和軟件具有基本的安全功能或監(jiān)控設(shè)備中的惡意流量。當(dāng)黑客訪問(wèn)這些設(shè)備時(shí)，他們可以使用權(quán)限提升來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)上的敏感信息，或者選擇這些設(shè)備進(jìn)行僵尸網(wǎng)絡(luò)或DDoS攻擊。

當(dāng)員工將設(shè)備添加到網(wǎng)絡(luò)時(shí)，IT管理員可以制定策略來(lái)限制影子物聯(lián)網(wǎng)的威脅。對(duì)于管理員來(lái)說(shuō)，擁有所有連接設(shè)備的清單也很重要。然后，他們可以使用IP地址管理工具或設(shè)備發(fā)現(xiàn)工具來(lái)跟蹤任何新連接、執(zhí)行策略并隔離或阻止不熟悉的設(shè)備。

如何防御物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

IT團(tuán)隊(duì)必須采取多層次的方法來(lái)緩解物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。企業(yè)可以實(shí)施更廣泛的最佳實(shí)踐和策略，管理員還應(yīng)該針對(duì)不同類型的物聯(lián)網(wǎng)攻擊采取特定的防御措施。

物聯(lián)網(wǎng)安全是策略執(zhí)行和軟件的結(jié)合，用于檢測(cè)和解決任何威脅。監(jiān)督物聯(lián)網(wǎng)設(shè)備的IT團(tuán)隊(duì)?wèi)?yīng)該為網(wǎng)絡(luò)上的任何設(shè)備制定強(qiáng)密碼策略，并使用威脅檢測(cè)軟件來(lái)預(yù)測(cè)任何潛在的攻擊。IT團(tuán)隊(duì)對(duì)物聯(lián)網(wǎng)設(shè)備上的數(shù)據(jù)了解得越多，就越容易主動(dòng)檢測(cè)安全風(fēng)險(xiǎn)和威脅。

IT管理員可以用來(lái)防止安全攻擊的基本策略包括設(shè)備漏洞評(píng)估、禁用不需要的服務(wù)、定期數(shù)據(jù)備份、災(zāi)難恢復(fù)程序、網(wǎng)絡(luò)分段和網(wǎng)絡(luò)監(jiān)控工具。

數(shù)據(jù)保護(hù)策略是提高物聯(lián)網(wǎng)安全性的另一種方式。盡管物聯(lián)網(wǎng)部署由于其分散的性質(zhì)而難以部署，但它有助于增加一層安全性。IT團(tuán)隊(duì)可以使用可見(jiàn)性工具、數(shù)據(jù)分類系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私測(cè)量和日志管理系統(tǒng)來(lái)確保數(shù)據(jù)安全。

對(duì)于物理安全措施，企業(yè)應(yīng)將設(shè)備放在防篡改的箱子中，并刪除制造商可能包含在部件上的任何設(shè)備信息，例如型號(hào)或密碼。物聯(lián)網(wǎng)設(shè)計(jì)人員應(yīng)將導(dǎo)體埋入多層電路板中，以防止黑客輕易進(jìn)入。如果黑客確實(shí)篡改了設(shè)備，它應(yīng)該具有禁用功能，例如打開時(shí)會(huì)發(fā)生短路。