由于物聯(lián)網(wǎng)的攻擊面很大，并且缺乏安全性，因此黑客有更多機會進入組織的物聯(lián)網(wǎng)網(wǎng)絡(luò)。物聯(lián)網(wǎng)行業(yè)并沒有一套明確的安全標(biāo)準(zhǔn)，供開發(fā)人員和制造商構(gòu)建一致的安全性，但是有許多安全最佳實踐。IT管理員必須在其物聯(lián)網(wǎng)部署中解決五種常見的物聯(lián)網(wǎng)安全威脅，然后實施相應(yīng)的策略來防止這些威脅。

對于一些組織來說，遭遇物聯(lián)網(wǎng)安全攻擊的沉重教訓(xùn)令人難忘，例如物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，但其他安全問題可能不容易想到，例如DNS威脅和物理設(shè)備攻擊。

由于物聯(lián)網(wǎng)的攻擊面很大，并且缺乏安全性，因此黑客有更多機會進入組織的物聯(lián)網(wǎng)網(wǎng)絡(luò)。物聯(lián)網(wǎng)行業(yè)并沒有一套明確的安全標(biāo)準(zhǔn)，供開發(fā)人員和制造商構(gòu)建一致的安全性，但是有許多安全最佳實踐。組織IT管理員可能會發(fā)現(xiàn)很難跟蹤和更新設(shè)備，而這些設(shè)備可能已經(jīng)運行多年。

黑客每天都在掃描網(wǎng)絡(luò)中的設(shè)備和已知漏洞，并越來越多地使用非標(biāo)準(zhǔn)端口來獲取網(wǎng)絡(luò)訪問權(quán)限。一旦他們擁有設(shè)備訪問權(quán)限，就更容易避開安全設(shè)備對惡意軟件或內(nèi)存進行的檢測。

IT管理員必須在其物聯(lián)網(wǎng)部署中解決五種常見的物聯(lián)網(wǎng)安全威脅，然后實施相應(yīng)的策略來防止這些威脅：

1.物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

在2016年發(fā)生Mirai等重大的僵尸網(wǎng)絡(luò)攻擊之后，物聯(lián)網(wǎng)開發(fā)人員、管理員和安全人員積極采取措施來防止此類攻擊。僵尸網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備是極具吸引力的目標(biāo)，因為物聯(lián)網(wǎng)設(shè)備大多安全配置較弱，并且可以用于構(gòu)建僵尸網(wǎng)絡(luò)。

網(wǎng)絡(luò)攻擊者可以通過不受保護的端口或網(wǎng)絡(luò)釣魚詐騙，用惡意軟件感染物聯(lián)網(wǎng)設(shè)備，并將其加入用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中。黑客可以很容易地在互聯(lián)網(wǎng)上找到惡意代碼，檢測易受攻擊的機器，或者向設(shè)備發(fā)出攻擊或竊取信息之前隱藏代碼。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)也經(jīng)常用于分布式拒絕服務(wù)(DDoS)攻擊。

對于僵尸網(wǎng)絡(luò)攻擊的檢測并不容易，但是IT管理員可以采取幾個步驟來保護設(shè)備，例如保存每個設(shè)備的清單；遵循基本的網(wǎng)絡(luò)安全措施(例如身份驗證、定期更新和修補程序)；并在管理員將其添加到網(wǎng)絡(luò)之前確認(rèn)物聯(lián)網(wǎng)設(shè)備符合安全標(biāo)準(zhǔn)和協(xié)議。網(wǎng)絡(luò)分段可以隔離物聯(lián)網(wǎng)設(shè)備，以保護其網(wǎng)絡(luò)不受僵尸設(shè)備的侵害。IT管理員可以監(jiān)視網(wǎng)絡(luò)活動以檢測僵尸網(wǎng)絡(luò)，并且一定不要忘記為整個設(shè)備生命周期(包括壽命終止)進行規(guī)劃。

2.DNS威脅

許多組織使用物聯(lián)網(wǎng)從原有機器上收集數(shù)據(jù)，這些機器并不總是按照更新的安全標(biāo)準(zhǔn)設(shè)計的。當(dāng)組織將原有設(shè)備與物聯(lián)網(wǎng)相結(jié)合時，可能會使物聯(lián)網(wǎng)暴露在這些設(shè)備的一些漏洞中。物聯(lián)網(wǎng)設(shè)備連接通常依賴于域名系統(tǒng)(DNS)，它可能無法處理可能增長到數(shù)千個設(shè)備的物聯(lián)網(wǎng)部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數(shù)據(jù)或引入惡意軟件。

IT管理員可以使用域名系統(tǒng)安全擴展(DNSSEC)確保DNS漏洞不會對物聯(lián)網(wǎng)安全構(gòu)成威脅。這些規(guī)范通過數(shù)字簽名保護DNS，以確保數(shù)據(jù)準(zhǔn)確無誤。當(dāng)物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)以進行軟件更新時，域名系統(tǒng)安全擴展(DNSSEC)會檢查更新是否到達(dá)了預(yù)期的位置而沒有惡意重定向。組織必須升級協(xié)議標(biāo)準(zhǔn)，包括MQ遙測傳輸，并檢查協(xié)議升級與整個網(wǎng)絡(luò)的兼容性。組織還可以使用多個DNS服務(wù)和附加的安全服務(wù)層。

3.物聯(lián)網(wǎng)勒索軟件

隨著連接到組織網(wǎng)絡(luò)的不安全設(shè)備的數(shù)量增加，物聯(lián)網(wǎng)勒索軟件攻擊也在增加。黑客采用惡意軟件感染設(shè)備，將它們變成僵尸網(wǎng)絡(luò)，探測接入點或在設(shè)備固件中搜索有效憑證，以便他們侵入網(wǎng)絡(luò)。

通過物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)訪問，網(wǎng)絡(luò)攻擊者可以將數(shù)據(jù)泄露到云中，并威脅要保持、刪除或公開數(shù)據(jù)(除非支付贖金)。但有時支付贖金還不足以使組織收回所有數(shù)據(jù)，勒索軟件會自動刪除文件。勒索軟件會影響政府機構(gòu)或重要部門，例如政府服務(wù)或食品供應(yīng)商。

IT管理員可采取的防止勒索軟件攻擊的基本策略，其中包括部署前評估設(shè)備漏洞、停用不需要的服務(wù)、定期數(shù)據(jù)備份、安裝災(zāi)難恢復(fù)程序、進行網(wǎng)絡(luò)分段和部署網(wǎng)絡(luò)監(jiān)控工具。

4.物聯(lián)網(wǎng)物理安全

雖然網(wǎng)絡(luò)攻擊者似乎不太可能實際接觸到物聯(lián)網(wǎng)設(shè)備，但是IT管理員在制定物聯(lián)網(wǎng)安全策略時一定不要忘記這種可能性。黑客可以竊取設(shè)備，打開設(shè)備并連接電路和端口以侵入網(wǎng)絡(luò)。IT管理員只能部署經(jīng)過身份驗證的設(shè)備來應(yīng)對，并且只允許授權(quán)和經(jīng)過身份驗證的設(shè)備訪問。

為了采取物理安全措施，組織應(yīng)將設(shè)備放在防篡改盒中，并刪除制造商可能在零件上包括的所有設(shè)備信息，例如型號或默認(rèn)密碼。物聯(lián)網(wǎng)設(shè)計人員應(yīng)將導(dǎo)體埋在多層電路板中，以防止黑客輕易接入。如果黑客確實篡改了設(shè)備，則它應(yīng)具有禁用功能，例如在打開時實行短路。

5.影子物聯(lián)網(wǎng)

IT管理員不能總是控制哪些設(shè)備連接到他們的網(wǎng)絡(luò)，這就造成了一種名為“影子物聯(lián)網(wǎng)”的物聯(lián)網(wǎng)安全威脅。例如健身跟蹤器、數(shù)字助理或無線打印機等具有IP地址的設(shè)備，可以增加個人便利或協(xié)助員工工作，但它們不一定符合組織的安全標(biāo)準(zhǔn)。

如果不了解影子物聯(lián)網(wǎng)設(shè)備，IT管理員就無法確保硬件和軟件具有基本的安全功能，也無法監(jiān)控設(shè)備是否存在惡意流量。當(dāng)黑客訪問這些設(shè)備時，他們可以使用權(quán)限提升來訪問組織網(wǎng)絡(luò)上的敏感信息，或?qū)⑦@些設(shè)備用于僵尸網(wǎng)絡(luò)或DDoS攻擊。

當(dāng)員工向網(wǎng)絡(luò)添加設(shè)備時，IT管理員可以制定適當(dāng)?shù)牟呗詠硐拗朴白游锫?lián)網(wǎng)的威脅。對管理員來說，擁有所有連接設(shè)備的清單也很重要。他們可以使用IP地址管理工具或設(shè)備發(fā)現(xiàn)工具來跟蹤任何新的連接，并隔離或阻止不熟悉的設(shè)備。

責(zé)任編輯：lq