企業(yè)可以采取一些措施來保護物聯(lián)網(wǎng)攻擊面，但這些措施需要員工和技術(shù)專家來制定適當?shù)牟呗?，以便主動檢測威脅，并采取措施來減小網(wǎng)絡攻擊面。

物聯(lián)網(wǎng)安全的某些問題令人印象深刻，例如物聯(lián)網(wǎng)僵尸網(wǎng)絡，也有一些問題可能不會那么令人關注，其中包括DNS威脅和物理設備攻擊。

物聯(lián)網(wǎng)行業(yè)如今并沒有一套明確的安全標準供開發(fā)人員和制造商構(gòu)建一致的安全性，但也有一些安全最佳實踐。IT管理員可能會發(fā)現(xiàn)很難跟蹤和更新設備，這些設備可能會在內(nèi)部部署設施運行多年。

黑客掃描網(wǎng)絡以查找設備和已知漏洞，并越來越多地使用非標準端口來獲取網(wǎng)絡訪問權(quán)限。

IT管理員必須在其物聯(lián)網(wǎng)部署中解決以下五種常見的物聯(lián)網(wǎng)安全威脅，然后實施預防策略。

什么是物聯(lián)網(wǎng)攻擊面?

在基本層面上，攻擊面是未經(jīng)授權(quán)的系統(tǒng)訪問的入口點總數(shù)。物聯(lián)網(wǎng)的攻擊面超越了入口點，其中包括物聯(lián)網(wǎng)設備、連接軟件和網(wǎng)絡連接的所有可能的安全漏洞。

對物聯(lián)網(wǎng)設備安全的日益關注包括這樣一個事實，即網(wǎng)絡威脅者不僅可以破壞支持物聯(lián)網(wǎng)設備的網(wǎng)絡和軟件，還可以破壞設備本身。此外，物聯(lián)網(wǎng)設備的采用速度比能夠提供安全、可靠連接的流程和協(xié)議更快。

企業(yè)可以采取一些措施來保護物聯(lián)網(wǎng)攻擊面，但這些措施需要員工和技術(shù)專家來制定適當?shù)牟呗裕员阒鲃訖z測威脅，并采取措施來減小網(wǎng)絡攻擊面。

企業(yè)必須解決的五大物聯(lián)網(wǎng)安全威脅

(1)物聯(lián)網(wǎng)僵尸網(wǎng)絡

在2016年發(fā)生Mirai等重大僵尸網(wǎng)絡攻擊事件之后，物聯(lián)網(wǎng)開發(fā)人員、管理員和安全人員盡快采取措施防止此類攻擊。僵尸網(wǎng)絡編排器發(fā)現(xiàn)物聯(lián)網(wǎng)設備是一個具有吸引力的目標，因為安全配置薄弱，并且可以委托給用于攻擊企業(yè)的僵尸網(wǎng)絡的設備數(shù)量眾多。

網(wǎng)絡攻擊者可以通過未受保護的端口或網(wǎng)絡釣魚詐騙惡意軟件來感染物聯(lián)網(wǎng)設備，并將其加入用于發(fā)起大規(guī)模網(wǎng)絡攻擊的物聯(lián)網(wǎng)僵尸網(wǎng)絡。黑客可以在互聯(lián)網(wǎng)上輕松找到檢測易受攻擊機器的惡意代碼，或者在另一個代碼模塊向設備發(fā)出信號以發(fā)起網(wǎng)絡攻擊或竊取信息之前隱藏代碼以防止安全檢測。物聯(lián)網(wǎng)僵尸網(wǎng)絡經(jīng)常用于分布式拒絕服務(DDoS)攻擊，以迅速加大針對目標的網(wǎng)絡流量。

僵尸網(wǎng)絡攻擊檢測并不容易，但IT管理員可以采取幾個步驟來保護設備，例如保留每臺設備的清單。企業(yè)應該遵循基本的網(wǎng)絡安全措施，例如身份驗證、定期更新補丁，并在管理員將物聯(lián)網(wǎng)設備添加到網(wǎng)絡之前確認它們符合安全標準和協(xié)議。網(wǎng)絡分段可以隔離物聯(lián)網(wǎng)設備，以保護網(wǎng)絡免受受損設備的影響。IT管理員可以監(jiān)控網(wǎng)絡活動以檢測僵尸網(wǎng)絡，并且一定不要忘記規(guī)劃物聯(lián)網(wǎng)設備生命周期。

(2)DNS威脅

許多企業(yè)使用物聯(lián)網(wǎng)從原有設備收集數(shù)據(jù)，這些設備并不總是按照更新的安全標準設計。當企業(yè)將原有設備與物聯(lián)網(wǎng)相結(jié)合時，它可能會使網(wǎng)絡暴露于舊設備的漏洞。物聯(lián)網(wǎng)設備連接通常依賴于域名系統(tǒng) (DNS)，這是一個產(chǎn)生于上世紀80年代的域名系統(tǒng)，它可能無法處理可以增長到數(shù)千臺設備的物聯(lián)網(wǎng)部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數(shù)據(jù)或引入惡意軟件。

IT管理員可以通過域名系統(tǒng)安全擴展(DNSSEC)確保DNS漏洞不會對物聯(lián)網(wǎng)安全構(gòu)成威脅。這些規(guī)范通過確保數(shù)據(jù)準確且未經(jīng)修改的數(shù)字簽名來保護DNS。

當物聯(lián)網(wǎng)設備連接到網(wǎng)絡進行軟件更新時，域名系統(tǒng)安全擴展(DNSSEC)會檢查更新是否到達了預期的位置，而沒有惡意重定向。企業(yè)必須升級協(xié)議標準，包括MQ Telemetry Transport，并檢查協(xié)議升級與整個網(wǎng)絡的兼容性。IT管理員可以使用多個DNS服務來實現(xiàn)連續(xù)性和額外的安全層。

(3)物聯(lián)網(wǎng)勒索軟件

隨著連接到企業(yè)網(wǎng)絡的不安全設備數(shù)量的增加，物聯(lián)網(wǎng)勒索軟件攻擊也在增加。黑客用惡意軟件感染設備，將其變成僵尸網(wǎng)絡，探測接入點或在設備固件中搜索可用于進入網(wǎng)絡的有效憑據(jù)。

通過物聯(lián)網(wǎng)設備進行網(wǎng)絡訪問，網(wǎng)絡攻擊者可以將數(shù)據(jù)泄露到云端，并威脅要保留、刪除或公開數(shù)據(jù)，除非支付贖金。支付贖金有時并不會讓企業(yè)取回所有數(shù)據(jù)，勒索軟件會自動刪除文件。勒索軟件會影響企業(yè)組織，例如政府服務或食品供應商。

(4)物聯(lián)網(wǎng)物理安全

雖然網(wǎng)絡攻擊者似乎不太可能物理訪問物聯(lián)網(wǎng)設備，但IT管理員在規(guī)劃物聯(lián)網(wǎng)安全策略時絕不能忘記這種可能性。黑客可以竊取設備、打開它們并訪問內(nèi)部電路和端口以闖入網(wǎng)絡。IT管理員必須只部署經(jīng)過身份驗證的設備，并且只允許授權(quán)和經(jīng)過身份驗證的設備訪問。

(5)影子物聯(lián)網(wǎng)

IT管理員無法始終控制連接到其網(wǎng)絡的設備，這會產(chǎn)生一種稱為“影子物聯(lián)網(wǎng)”的物聯(lián)網(wǎng)安全威脅。具有IP地址的設備(例如健身追蹤器、數(shù)字助理或無線打印機)可以增加個人便利或協(xié)助員工工作，但它們不一定符合企業(yè)的安全標準。

如果不了解影子物聯(lián)網(wǎng)設備，IT管理員就無法確保硬件和軟件具有基本的安全功能或監(jiān)控設備中的惡意流量。當黑客訪問這些設備時，他們可以使用權(quán)限提升來訪問企業(yè)網(wǎng)絡上的敏感信息，或者選擇這些設備進行僵尸網(wǎng)絡或DDoS攻擊。

當員工將設備添加到網(wǎng)絡時，IT管理員可以制定策略來限制影子物聯(lián)網(wǎng)的威脅。對于管理員來說，擁有所有連接設備的清單也很重要。然后，他們可以使用IP地址管理工具或設備發(fā)現(xiàn)工具來跟蹤任何新連接、執(zhí)行策略并隔離或阻止不熟悉的設備。

如何防御物聯(lián)網(wǎng)安全風險

IT團隊必須采取多層次的方法來緩解物聯(lián)網(wǎng)安全風險。企業(yè)可以實施更廣泛的最佳實踐和策略，管理員還應該針對不同類型的物聯(lián)網(wǎng)攻擊采取特定的防御措施。

物聯(lián)網(wǎng)安全是策略執(zhí)行和軟件的結(jié)合，用于檢測和解決任何威脅。監(jiān)督物聯(lián)網(wǎng)設備的IT團隊應該為網(wǎng)絡上的任何設備制定強密碼策略，并使用威脅檢測軟件來預測任何潛在的攻擊。IT團隊對物聯(lián)網(wǎng)設備上的數(shù)據(jù)了解得越多，就越容易主動檢測安全風險和威脅。

IT管理員可以用來防止安全攻擊的基本策略包括設備漏洞評估、禁用不需要的服務、定期數(shù)據(jù)備份、災難恢復程序、網(wǎng)絡分段和網(wǎng)絡監(jiān)控工具。

數(shù)據(jù)保護策略是提高物聯(lián)網(wǎng)安全性的另一種方式。盡管物聯(lián)網(wǎng)部署由于其分散的性質(zhì)而難以部署，但它有助于增加一層安全性。IT團隊可以使用可見性工具、數(shù)據(jù)分類系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私測量和日志管理系統(tǒng)來確保數(shù)據(jù)安全。

對于物理安全措施，企業(yè)應將設備放在防篡改的箱子中，并刪除制造商可能包含在部件上的任何設備信息，例如型號或密碼。物聯(lián)網(wǎng)設計人員應將導體埋入多層電路板中，以防止黑客輕易進入。如果黑客確實篡改了設備，它應該具有禁用功能，例如打開時會發(fā)生短路。

審核編輯 ：李倩