企業(yè)可以采取一些措施來保護物聯(lián)網(wǎng)攻擊面，但這些措施需要員工和技術(shù)專家來制定適當(dāng)?shù)牟呗?，以便主動檢測威脅，并采取措施來減小網(wǎng)絡(luò)攻擊面。

物聯(lián)網(wǎng)安全的某些問題令人印象深刻，例如物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，也有一些問題可能不會那么令人關(guān)注，其中包括DNS威脅和物理設(shè)備攻擊。

物聯(lián)網(wǎng)行業(yè)如今并沒有一套明確的安全標(biāo)準(zhǔn)供開發(fā)人員和制造商構(gòu)建一致的安全性，但也有一些安全最佳實踐。IT管理員可能會發(fā)現(xiàn)很難跟蹤和更新設(shè)備，這些設(shè)備可能會在內(nèi)部部署設(shè)施運行多年。

黑客掃描網(wǎng)絡(luò)以查找設(shè)備和已知漏洞，并越來越多地使用非標(biāo)準(zhǔn)端口來獲取網(wǎng)絡(luò)訪問權(quán)限。

IT管理員必須在其物聯(lián)網(wǎng)部署中解決以下五種常見的物聯(lián)網(wǎng)安全威脅，然后實施預(yù)防策略。

什么是物聯(lián)網(wǎng)攻擊面?

在基本層面上，攻擊面是未經(jīng)授權(quán)的系統(tǒng)訪問的入口點總數(shù)。物聯(lián)網(wǎng)的攻擊面超越了入口點，其中包括物聯(lián)網(wǎng)設(shè)備、連接軟件和網(wǎng)絡(luò)連接的所有可能的安全漏洞。

對物聯(lián)網(wǎng)設(shè)備安全的日益關(guān)注包括這樣一個事實，即網(wǎng)絡(luò)威脅者不僅可以破壞支持物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)和軟件，還可以破壞設(shè)備本身。此外，物聯(lián)網(wǎng)設(shè)備的采用速度比能夠提供安全、可靠連接的流程和協(xié)議更快。

企業(yè)可以采取一些措施來保護物聯(lián)網(wǎng)攻擊面，但這些措施需要員工和技術(shù)專家來制定適當(dāng)?shù)牟呗?，以便主動檢測威脅，并采取措施來減小網(wǎng)絡(luò)攻擊面。

企業(yè)必須解決的五大物聯(lián)網(wǎng)安全威脅

(1)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

在2016年發(fā)生Mirai等重大僵尸網(wǎng)絡(luò)攻擊事件之后，物聯(lián)網(wǎng)開發(fā)人員、管理員和安全人員盡快采取措施防止此類攻擊。僵尸網(wǎng)絡(luò)編排器發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備是一個具有吸引力的目標(biāo)，因為安全配置薄弱，并且可以委托給用于攻擊企業(yè)的僵尸網(wǎng)絡(luò)的設(shè)備數(shù)量眾多。

網(wǎng)絡(luò)攻擊者可以通過未受保護的端口或網(wǎng)絡(luò)釣魚詐騙惡意軟件來感染物聯(lián)網(wǎng)設(shè)備，并將其加入用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。黑客可以在互聯(lián)網(wǎng)上輕松找到檢測易受攻擊機器的惡意代碼，或者在另一個代碼模塊向設(shè)備發(fā)出信號以發(fā)起網(wǎng)絡(luò)攻擊或竊取信息之前隱藏代碼以防止安全檢測。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)經(jīng)常用于分布式拒絕服務(wù)(DDoS)攻擊，以迅速加大針對目標(biāo)的網(wǎng)絡(luò)流量。

僵尸網(wǎng)絡(luò)攻擊檢測并不容易，但IT管理員可以采取幾個步驟來保護設(shè)備，例如保留每臺設(shè)備的清單。企業(yè)應(yīng)該遵循基本的網(wǎng)絡(luò)安全措施，例如身份驗證、定期更新補丁，并在管理員將物聯(lián)網(wǎng)設(shè)備添加到網(wǎng)絡(luò)之前確認(rèn)它們符合安全標(biāo)準(zhǔn)和協(xié)議。網(wǎng)絡(luò)分段可以隔離物聯(lián)網(wǎng)設(shè)備，以保護網(wǎng)絡(luò)免受受損設(shè)備的影響。IT管理員可以監(jiān)控網(wǎng)絡(luò)活動以檢測僵尸網(wǎng)絡(luò)，并且一定不要忘記規(guī)劃物聯(lián)網(wǎng)設(shè)備生命周期。

(2)DNS威脅

許多企業(yè)使用物聯(lián)網(wǎng)從原有設(shè)備收集數(shù)據(jù)，這些設(shè)備并不總是按照更新的安全標(biāo)準(zhǔn)設(shè)計。當(dāng)企業(yè)將原有設(shè)備與物聯(lián)網(wǎng)相結(jié)合時，它可能會使網(wǎng)絡(luò)暴露于舊設(shè)備的漏洞。物聯(lián)網(wǎng)設(shè)備連接通常依賴于域名系統(tǒng) (DNS)，這是一個產(chǎn)生于上世紀(jì)80年代的域名系統(tǒng)，它可能無法處理可以增長到數(shù)千臺設(shè)備的物聯(lián)網(wǎng)部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數(shù)據(jù)或引入惡意軟件。

IT管理員可以通過域名系統(tǒng)安全擴展(DNSSEC)確保DNS漏洞不會對物聯(lián)網(wǎng)安全構(gòu)成威脅。這些規(guī)范通過確保數(shù)據(jù)準(zhǔn)確且未經(jīng)修改的數(shù)字簽名來保護DNS。

當(dāng)物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)進行軟件更新時，域名系統(tǒng)安全擴展(DNSSEC)會檢查更新是否到達了預(yù)期的位置，而沒有惡意重定向。企業(yè)必須升級協(xié)議標(biāo)準(zhǔn)，包括MQ Telemetry Transport，并檢查協(xié)議升級與整個網(wǎng)絡(luò)的兼容性。IT管理員可以使用多個DNS服務(wù)來實現(xiàn)連續(xù)性和額外的安全層。

(3)物聯(lián)網(wǎng)勒索軟件

隨著連接到企業(yè)網(wǎng)絡(luò)的不安全設(shè)備數(shù)量的增加，物聯(lián)網(wǎng)勒索軟件攻擊也在增加。黑客用惡意軟件感染設(shè)備，將其變成僵尸網(wǎng)絡(luò)，探測接入點或在設(shè)備固件中搜索可用于進入網(wǎng)絡(luò)的有效憑據(jù)。

通過物聯(lián)網(wǎng)設(shè)備進行網(wǎng)絡(luò)訪問，網(wǎng)絡(luò)攻擊者可以將數(shù)據(jù)泄露到云端，并威脅要保留、刪除或公開數(shù)據(jù)，除非支付贖金。支付贖金有時并不會讓企業(yè)取回所有數(shù)據(jù)，勒索軟件會自動刪除文件。勒索軟件會影響企業(yè)組織，例如政府服務(wù)或食品供應(yīng)商。

(4)物聯(lián)網(wǎng)物理安全

雖然網(wǎng)絡(luò)攻擊者似乎不太可能物理訪問物聯(lián)網(wǎng)設(shè)備，但IT管理員在規(guī)劃物聯(lián)網(wǎng)安全策略時絕不能忘記這種可能性。黑客可以竊取設(shè)備、打開它們并訪問內(nèi)部電路和端口以闖入網(wǎng)絡(luò)。IT管理員必須只部署經(jīng)過身份驗證的設(shè)備，并且只允許授權(quán)和經(jīng)過身份驗證的設(shè)備訪問。

(5)影子物聯(lián)網(wǎng)

IT管理員無法始終控制連接到其網(wǎng)絡(luò)的設(shè)備，這會產(chǎn)生一種稱為“影子物聯(lián)網(wǎng)”的物聯(lián)網(wǎng)安全威脅。具有IP地址的設(shè)備(例如健身追蹤器、數(shù)字助理或無線打印機)可以增加個人便利或協(xié)助員工工作，但它們不一定符合企業(yè)的安全標(biāo)準(zhǔn)。

如果不了解影子物聯(lián)網(wǎng)設(shè)備，IT管理員就無法確保硬件和軟件具有基本的安全功能或監(jiān)控設(shè)備中的惡意流量。當(dāng)黑客訪問這些設(shè)備時，他們可以使用權(quán)限提升來訪問企業(yè)網(wǎng)絡(luò)上的敏感信息，或者選擇這些設(shè)備進行僵尸網(wǎng)絡(luò)或DDoS攻擊。

當(dāng)員工將設(shè)備添加到網(wǎng)絡(luò)時，IT管理員可以制定策略來限制影子物聯(lián)網(wǎng)的威脅。對于管理員來說，擁有所有連接設(shè)備的清單也很重要。然后，他們可以使用IP地址管理工具或設(shè)備發(fā)現(xiàn)工具來跟蹤任何新連接、執(zhí)行策略并隔離或阻止不熟悉的設(shè)備。

如何防御物聯(lián)網(wǎng)安全風(fēng)險

IT團隊必須采取多層次的方法來緩解物聯(lián)網(wǎng)安全風(fēng)險。企業(yè)可以實施更廣泛的最佳實踐和策略，管理員還應(yīng)該針對不同類型的物聯(lián)網(wǎng)攻擊采取特定的防御措施。

物聯(lián)網(wǎng)安全是策略執(zhí)行和軟件的結(jié)合，用于檢測和解決任何威脅。監(jiān)督物聯(lián)網(wǎng)設(shè)備的IT團隊?wèi)?yīng)該為網(wǎng)絡(luò)上的任何設(shè)備制定強密碼策略，并使用威脅檢測軟件來預(yù)測任何潛在的攻擊。IT團隊對物聯(lián)網(wǎng)設(shè)備上的數(shù)據(jù)了解得越多，就越容易主動檢測安全風(fēng)險和威脅。

IT管理員可以用來防止安全攻擊的基本策略包括設(shè)備漏洞評估、禁用不需要的服務(wù)、定期數(shù)據(jù)備份、災(zāi)難恢復(fù)程序、網(wǎng)絡(luò)分段和網(wǎng)絡(luò)監(jiān)控工具。

數(shù)據(jù)保護策略是提高物聯(lián)網(wǎng)安全性的另一種方式。盡管物聯(lián)網(wǎng)部署由于其分散的性質(zhì)而難以部署，但它有助于增加一層安全性。IT團隊可以使用可見性工具、數(shù)據(jù)分類系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私測量和日志管理系統(tǒng)來確保數(shù)據(jù)安全。

對于物理安全措施，企業(yè)應(yīng)將設(shè)備放在防篡改的箱子中，并刪除制造商可能包含在部件上的任何設(shè)備信息，例如型號或密碼。物聯(lián)網(wǎng)設(shè)計人員應(yīng)將導(dǎo)體埋入多層電路板中，以防止黑客輕易進入。如果黑客確實篡改了設(shè)備，它應(yīng)該具有禁用功能，例如打開時會發(fā)生短路。

審核編輯 ：李倩