作者：Mary K. Pratt | Jessica Lulka，發(fā)布于2023年6月27日

什么是物聯(lián)網(wǎng)攻擊面？

主要物聯(lián)網(wǎng)安全風(fēng)險

如何防范物聯(lián)網(wǎng)安全風(fēng)險

物聯(lián)網(wǎng)終端已經(jīng)成為黑客攻擊的主要目標(biāo)。

事實上，F(xiàn)orrester Research在其《2023年物聯(lián)網(wǎng)安全狀況》報告中得出結(jié)論，物聯(lián)網(wǎng)設(shè)備是報告最多的外部攻擊目標(biāo)；他們比移動設(shè)備或計算機(jī)受到的攻擊更多。

考慮到保護(hù)物聯(lián)網(wǎng)生態(tài)系統(tǒng)的挑戰(zhàn)，這并不奇怪。

首先，物聯(lián)網(wǎng)行業(yè)沒有一套明確的安全標(biāo)準(zhǔn)供開發(fā)人員和制造商構(gòu)建一致的安全性。IT管理員經(jīng)常發(fā)現(xiàn)很難跟蹤和更新設(shè)備，這些設(shè)備可能會在現(xiàn)場保留多年。

與此同時，黑客掃描網(wǎng)絡(luò)中的設(shè)備和已知漏洞，并越來越多地使用非標(biāo)準(zhǔn)端口來獲取網(wǎng)絡(luò)訪問權(quán)限。 一旦他們擁有設(shè)備訪問權(quán)限，就可以更輕松地通過設(shè)備上的無文件惡意軟件或軟件內(nèi)存避免被檢測到。

因此，IT管理員必須在其物聯(lián)網(wǎng)部署中解決許多物聯(lián)網(wǎng)安全威脅，然后實施預(yù)防策略。

什么是物聯(lián)網(wǎng)攻擊面？

在基本層面上，攻擊面是未經(jīng)授權(quán)的系統(tǒng)訪問的入口點(diǎn)總數(shù)。物聯(lián)網(wǎng)攻擊面不僅限于入口點(diǎn)，還包括物聯(lián)網(wǎng)設(shè)備、互聯(lián)軟件和網(wǎng)絡(luò)連接的所有可能的安全漏洞。

人們對物聯(lián)網(wǎng)設(shè)備安全的關(guān)注包括攻擊者不僅可以破壞物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)和軟件，還可以破壞設(shè)備本身。此外，物聯(lián)網(wǎng)設(shè)備的更新速度，往往快于安全、可靠連接的流程和協(xié)議的更新。

企業(yè)組織可以采取一些措施來保護(hù)物聯(lián)網(wǎng)攻擊面，但這需要專業(yè)人員和專業(yè)知識來制定適當(dāng)?shù)牟呗?，以主動檢測威脅并被動地應(yīng)用措施來縮小攻擊面的規(guī)模。

主要物聯(lián)網(wǎng)安全風(fēng)險

以下是六個常見的物聯(lián)網(wǎng)漏洞和六個構(gòu)成最重大風(fēng)險的外部威脅。

不斷擴(kuò)大的攻擊面

對企業(yè)組織保護(hù)其物聯(lián)網(wǎng)環(huán)境的最大威脅之一是其龐大的規(guī)模。 每個研究人員對世界上實際聯(lián)網(wǎng)設(shè)備數(shù)量的估計各不相同，但這些設(shè)備的數(shù)量一直在數(shù)十億，并且還在不斷增長。 例如，IoT Analytics網(wǎng)站在其"State of IoT -- Spring 2023" report報告中預(yù)計，2022 年活躍物聯(lián)網(wǎng)端點(diǎn)數(shù)量為143億個，比上一年增長18%。IoT Analytics預(yù)計，到2023年，全球聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量將增長16%，達(dá)到167億個活躍端點(diǎn)。

當(dāng)然，單個組織需要保護(hù)的設(shè)備要少得多。盡管如此，這個數(shù)字仍然在快速增加。最近由Ponemon Institute進(jìn)行并由Adaptiva贊助的一份報告"Managing Risks and Costs at the Edge"發(fā)現(xiàn)，每個組織平均管理著大約135,000臺端點(diǎn)設(shè)備。 此外，物聯(lián)網(wǎng)設(shè)備通常全天候（24/7）運(yùn)行，其中許多（盡管不是全部）持續(xù)連接。

不安全硬件

單個終端設(shè)備可能會給整個IoT生態(tài)系統(tǒng)，甚至是企業(yè)的IT環(huán)境的安全帶來風(fēng)險。由于在算力和低功耗設(shè)計上的局限性，嵌入式設(shè)備往往缺乏內(nèi)生安全機(jī)制。因此，許多設(shè)備無法支持身份驗證、加密和訪問控制等安全功能。而且，即使終端設(shè)備確實具有一些安全控制（例如密碼），一些企業(yè)組織仍然在不使用或啟用這些可用安全選項的情況下部署它們。

維護(hù)和更新挑戰(zhàn)

維護(hù)設(shè)備、更新軟件所面臨的挑戰(zhàn)會產(chǎn)生更多的安全漏洞。這里有一些促成因素。首先，設(shè)備供應(yīng)商可能不會愿意提供更新，例如用于解決黑客可能利用的漏洞的安全補(bǔ)丁，特別是如果設(shè)備是舊型號的話。 其次，由于連接限制以及設(shè)備有限的計算和供電能力可能導(dǎo)致無法更新現(xiàn)場部署的設(shè)備。

缺少資產(chǎn)管理

即使可以進(jìn)行更新，企業(yè)組織也可能不知道他們是否有需要更新的設(shè)備。Ponemon Institute的報告發(fā)現(xiàn)，大多數(shù)企業(yè)組織無法了解其所有物聯(lián)網(wǎng)設(shè)備部署；事實上，其調(diào)查顯示，平均48%的設(shè)備（即每個組織近65,000臺）面臨風(fēng)險，因為它們“不再被組織的IT部門檢測到，或者終端設(shè)備的操作系統(tǒng)已經(jīng)過時”。該報告進(jìn)一步發(fā)現(xiàn)，63%的受訪者認(rèn)為，“缺乏對終端設(shè)備的可見性是實現(xiàn)強(qiáng)大安全態(tài)勢的最大障礙”。

影子IoT

還有一個潛在的風(fēng)險是影子IoT，即在沒有IT或安全部門官方支持或許可的情況下部署的物聯(lián)網(wǎng)設(shè)備。 這些未經(jīng)批準(zhǔn)的物聯(lián)網(wǎng)設(shè)備可能是具有IP地址的個人物品，例如健身追蹤器或數(shù)字助理，也可能是企業(yè)組織的設(shè)備，例如無線打印機(jī)。無論哪種方式，它們都會給企業(yè)帶來風(fēng)險，因為它們可能不符合組織的安全標(biāo)準(zhǔn)，即使?jié)M足，它們的配置和部署也可能不遵循安全最佳實踐。此外，IT管理員和安全團(tuán)隊通常缺乏對這些部署的了解，因此可能不會監(jiān)控它們或其流量，從而使黑客更有可能在不被發(fā)現(xiàn)的情況下成功破壞它們。

未加密的數(shù)據(jù)傳輸

物聯(lián)網(wǎng)設(shè)備在測量和記錄大量數(shù)據(jù)。它們將大部分?jǐn)?shù)據(jù)發(fā)送到集中位置（通常在云端）進(jìn)行處理、分析和存儲；有時候，設(shè)備還會收到控制命令，以便實現(xiàn)某種操作。Palo Alto Networks 2020年的一份報告發(fā)現(xiàn)，98%的物聯(lián)網(wǎng)設(shè)備流量未加密，“在網(wǎng)絡(luò)上暴露個人和機(jī)密數(shù)據(jù)，使攻擊者能夠監(jiān)聽未加密的網(wǎng)絡(luò)流量、收集個人或機(jī)密信息，然后利用該數(shù)據(jù)在暗網(wǎng)上牟利?！?/p>

IoT僵尸網(wǎng)絡(luò)

除了漏洞之外，還存在來自IoT外部的威脅。僵尸網(wǎng)絡(luò)就是此類威脅之一。企業(yè)IT和安全領(lǐng)導(dǎo)者始終將其列為繼近十年前出現(xiàn)的Mirai等主要僵尸網(wǎng)絡(luò)攻擊之后的首要威脅。

在此類攻擊中，攻擊者通過未受保護(hù)的端口或網(wǎng)絡(luò)釣魚軟件感染IoT設(shè)備，并將其納入IoT僵尸網(wǎng)絡(luò)，用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。黑客可以輕松地在互聯(lián)網(wǎng)上找到惡意代碼，這些代碼可以檢測易受攻擊的機(jī)器，或者在另一個代碼模塊向設(shè)備發(fā)出信號以發(fā)起攻擊或竊取信息之前隱藏代碼以防止檢測。

IoT僵尸網(wǎng)絡(luò)經(jīng)常用于DDoS攻擊，以淹沒目標(biāo)的網(wǎng)絡(luò)流量。僵尸網(wǎng)絡(luò)編排者發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備是一個有吸引力的目標(biāo)，因為安全配置較弱，并且可以委托給用于目標(biāo)組織的僵尸網(wǎng)絡(luò)的設(shè)備數(shù)量很多。2023年《諾基亞威脅情報報告》發(fā)現(xiàn)，參與僵尸網(wǎng)絡(luò)驅(qū)動的DDoS攻擊的物聯(lián)網(wǎng)機(jī)器人數(shù)量比上一年從約20萬臺設(shè)備增加到100萬臺設(shè)備。

DNS威脅

許多企業(yè)組織使用IoT從沒有最新安全標(biāo)準(zhǔn)的舊機(jī)器收集數(shù)據(jù)。當(dāng)組織將舊設(shè)備與IoT相結(jié)合時，可能會使網(wǎng)絡(luò)面臨舊設(shè)備漏洞的威脅。IoT設(shè)備連接通常依賴于DNS，這是20世紀(jì)80年代的一種去中心化命名系統(tǒng)，它可能無法處理可能增長到數(shù)千臺設(shè)備的IoT部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數(shù)據(jù)或引入惡意軟件。

惡意節(jié)點(diǎn)注入

黑客還可以通過將虛假節(jié)點(diǎn)插入或注入合法連接節(jié)點(diǎn)的網(wǎng)絡(luò)來攻擊物聯(lián)網(wǎng)生態(tài)系統(tǒng)，從而使黑客能夠改變和/或控制虛假節(jié)點(diǎn)和合法節(jié)點(diǎn)之間的數(shù)據(jù)流，并最終控制網(wǎng)絡(luò)中的所有節(jié)點(diǎn)。

IoT勒索軟件

隨著連接到企業(yè)網(wǎng)絡(luò)的不安全設(shè)備數(shù)量增加，物聯(lián)網(wǎng)勒索軟件攻擊也隨之增加。黑客用惡意軟件感染設(shè)備，將其變成僵尸網(wǎng)絡(luò)，探測接入點(diǎn)或在設(shè)備固件中搜索可用于進(jìn)入網(wǎng)絡(luò)的有效憑據(jù)。

通過物聯(lián)網(wǎng)設(shè)備進(jìn)行網(wǎng)絡(luò)訪問，攻擊者可以將數(shù)據(jù)泄露到云端，并威脅要保留、刪除或公開數(shù)據(jù)，除非支付贖金。 有時，付款不足以讓組織取回所有數(shù)據(jù)，勒索軟件無論如何都會自動刪除文件。勒索軟件可能會影響企業(yè)或重要組織，例如政府服務(wù)或食品供應(yīng)商。

篡改物理設(shè)備

另一個風(fēng)險是黑客篡改物理設(shè)備。這可能意味著攻擊者可以物理訪問物聯(lián)網(wǎng)設(shè)備以竊取數(shù)據(jù)，篡改設(shè)備以在其上安裝惡意軟件，或者訪問其端口和內(nèi)部電路以侵入組織網(wǎng)絡(luò)。

固件漏洞

黑客可以針對IoT設(shè)備中的已知固件漏洞，就像他們針對組織IT環(huán)境中部署的軟件漏洞一樣。

如何防范物聯(lián)網(wǎng)安全風(fēng)險

IT團(tuán)隊必須采取多重方法來緩解物聯(lián)網(wǎng)安全風(fēng)險。企業(yè)組織可以實施更廣泛的最佳實踐和策略，但管理員還應(yīng)該針對不同類型的IoT攻擊制定具體的防御措施。

IoT安全是策略執(zhí)行和軟件的結(jié)合，用于檢測和解決任何威脅。

監(jiān)督IoT設(shè)備的IT團(tuán)隊?wèi)?yīng)該針對網(wǎng)絡(luò)上的任何設(shè)備制定強(qiáng)大的密碼策略，并使用威脅檢測軟件來預(yù)測任何潛在的攻擊。

他們還應(yīng)該有一個全面的資產(chǎn)檢測和管理計劃。IT團(tuán)隊對企業(yè)中部署的終端設(shè)備以及設(shè)備上的數(shù)據(jù)了解越多，主動檢測安全風(fēng)險和威脅就越容易。

IT管理員可以用來防止安全攻擊和實現(xiàn)彈性的基本策略包括設(shè)備漏洞評估、禁用不需要的服務(wù)、定期數(shù)據(jù)備份、災(zāi)難恢復(fù)程序、網(wǎng)絡(luò)分段和網(wǎng)絡(luò)監(jiān)控工具。

IT管理員可以通過DNS安全擴(kuò)展(DNSSEC) 確保DNS漏洞不會對IoT安全構(gòu)成威脅。這些規(guī)范通過數(shù)字簽名保護(hù)DNS，確保數(shù)據(jù)準(zhǔn)確且未經(jīng)修改。當(dāng)IoT設(shè)備連接到網(wǎng)絡(luò)進(jìn)行軟件更新時，DNSSEC會檢查更新是否到達(dá)預(yù)期位置，而沒有被惡意重定向。組織必須升級協(xié)議標(biāo)準(zhǔn)，包括MQTT，并檢查協(xié)議升級與整個網(wǎng)絡(luò)的兼容性。IT管理員可以使用多個DNS服務(wù)來實現(xiàn)連續(xù)性和額外的安全層。

此外，組織應(yīng)遵循基本的網(wǎng)絡(luò)安全措施，例如身份驗證、定期更新和補(bǔ)丁，并在將IoT設(shè)備添加到網(wǎng)絡(luò)之前確認(rèn)其符合安全標(biāo)準(zhǔn)和協(xié)議。

數(shù)據(jù)保護(hù)策略是提高IoT安全性的另一種方法。IT團(tuán)隊可以通過使用可視化工具、數(shù)據(jù)分類系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私措施和日志管理系統(tǒng)來幫助確保數(shù)據(jù)安全。

對于物理安全措施，組織應(yīng)將設(shè)備放置在防篡改的盒子中，并刪除制造商可能在部件上包含的任何設(shè)備信息，例如型號或密碼。物聯(lián)網(wǎng)設(shè)計人員應(yīng)將導(dǎo)體埋入多層電路板中，以防止黑客輕易訪問。如果黑客確實篡改了設(shè)備，那么設(shè)備應(yīng)該具有禁用功能，例如打開時短路。

審核編輯：黃飛

?