信息化觀察網(wǎng)

物聯(lián)網(wǎng)設(shè)備現(xiàn)在無(wú)處不在，有人估計(jì)，到2025年，該領(lǐng)域的物聯(lián)網(wǎng)設(shè)備將達(dá)到416億臺(tái)，到2023年，在這些設(shè)備上的花費(fèi)將超過(guò)1萬(wàn)億美元。

這將對(duì)安全產(chǎn)生重大影響，因?yàn)槲锫?lián)網(wǎng)設(shè)備因其安全性差而廣為人知，網(wǎng)絡(luò)犯罪分子在尋找系統(tǒng)內(nèi)部通道時(shí)面臨的攻擊面也非常成熟。未解決網(wǎng)絡(luò)安全問(wèn)題，物聯(lián)網(wǎng)安全專家關(guān)于如何保護(hù)企業(yè)提出了五條建議！

一、全系統(tǒng)保護(hù)、可見(jiàn)性和資產(chǎn)圖

在過(guò)去幾年里，物聯(lián)網(wǎng)設(shè)備在工廠和生產(chǎn)設(shè)施中越來(lái)越普遍，這給試圖保護(hù)各種設(shè)備的安全團(tuán)隊(duì)帶來(lái)了麻煩。大量使用物聯(lián)網(wǎng)設(shè)備的公司應(yīng)該有專門為保護(hù)使用智能工具的環(huán)境而設(shè)計(jì)的安全系統(tǒng)。這類系統(tǒng)將了解物聯(lián)網(wǎng)設(shè)備的行為，知道要查找和阻止的模式，并防止不良行為繼續(xù)發(fā)生。

作為一個(gè)企業(yè)，要做的第一件基本的事情就是獲得知名度，需要了解哪些物聯(lián)網(wǎng)設(shè)備連接到我的網(wǎng)絡(luò)。人們認(rèn)為物聯(lián)網(wǎng)設(shè)備是由IT部門負(fù)責(zé)的，但員工可以帶上相連的冰箱或安全攝像頭，將其接入網(wǎng)絡(luò)，這類設(shè)備“將風(fēng)險(xiǎn)引入網(wǎng)絡(luò)”。

各公司應(yīng)創(chuàng)建資產(chǎn)地圖，列出所有連接設(shè)備以及所有第三方供應(yīng)商、硬件、軟件和關(guān)鍵領(lǐng)域，以便緩解和監(jiān)控薄弱環(huán)節(jié)。

對(duì)于工廠來(lái)說(shuō)，在日常使用這些設(shè)備的人和管理它們的安全團(tuán)隊(duì)或IT部門之間，有時(shí)會(huì)產(chǎn)生摩擦。物聯(lián)網(wǎng)安全需要公司范圍內(nèi)的協(xié)作和同步，以確保所有端點(diǎn)都得到適當(dāng)?shù)谋Ｗo(hù)。

二、小心惡意軟件和勒索軟件

物聯(lián)網(wǎng)設(shè)備，特別是企業(yè)使用的設(shè)備，很難保護(hù)，因?yàn)樗鼈兺ǔＲ惶?4小時(shí)都在使用。物聯(lián)網(wǎng)設(shè)備對(duì)于攻擊者來(lái)說(shuō)是純金的，因?yàn)檫@些設(shè)備通常不會(huì)關(guān)閉。它不像你的筆記本電腦，你關(guān)閉，所以這些設(shè)備幾乎總是打開(kāi)，所以DDOS攻擊或加密劫持攻擊他們是有效的。

勒索軟件攻擊很常見(jiàn)，因?yàn)楹诳涂梢越俪忠慌_(tái)設(shè)備，關(guān)閉它，迫使企業(yè)支付贖金來(lái)恢復(fù)它，或者把它扔掉，然后完全購(gòu)買一臺(tái)新設(shè)備。對(duì)于依賴智能設(shè)備作為其業(yè)務(wù)關(guān)鍵部分的組織來(lái)說(shuō)，這可能會(huì)變得非常昂貴。物聯(lián)網(wǎng)設(shè)備是易受攻擊的軟目標(biāo)，網(wǎng)絡(luò)犯罪分子很容易以甚至危及員工的方式攻擊和劫持人質(zhì)。

三、網(wǎng)絡(luò)分割和防火墻

保持系統(tǒng)安全的一個(gè)關(guān)鍵是網(wǎng)絡(luò)分段和防火墻，以確保不是每個(gè)設(shè)備都提供對(duì)整個(gè)系統(tǒng)的訪問(wèn)。網(wǎng)絡(luò)罪犯經(jīng)常使用物聯(lián)網(wǎng)設(shè)備作為整個(gè)系統(tǒng)的切入點(diǎn)，因此保持一些細(xì)分是確保黑客不會(huì)走得太遠(yuǎn)的關(guān)鍵。

攻擊者使用物聯(lián)網(wǎng)進(jìn)行橫向移動(dòng)。他們通過(guò)網(wǎng)絡(luò)中的這些設(shè)備，試圖通過(guò)有價(jià)值的信息到達(dá)網(wǎng)絡(luò)的入口點(diǎn)或網(wǎng)段。東西向的橫向運(yùn)動(dòng)是最困難的。網(wǎng)絡(luò)攻擊者利用物聯(lián)網(wǎng)設(shè)備的易受攻擊性在網(wǎng)絡(luò)中進(jìn)行轉(zhuǎn)移或傳播。分段確實(shí)是網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ)，每個(gè)企業(yè)都必須意識(shí)到。

四、了解威脅情況

了解威脅因素和安全缺陷的情況是保護(hù)系統(tǒng)內(nèi)物聯(lián)網(wǎng)設(shè)備的關(guān)鍵。現(xiàn)在有了門戶網(wǎng)站，你可以在網(wǎng)上搜索連接的設(shè)備，并不斷測(cè)試密碼或用戶名，以進(jìn)入設(shè)備。安全小組，以及網(wǎng)絡(luò)罪犯，現(xiàn)在可以看到哪些設(shè)備是公開(kāi)的，并測(cè)試出用戶名或密碼。

一些網(wǎng)站甚至給你提供了查看哪些物聯(lián)網(wǎng)設(shè)備易受特定類型攻擊的方法，基本上成為黑客尋找容易標(biāo)記的一站式商店。打印機(jī)是一些最常見(jiàn)的設(shè)備，缺乏適當(dāng)?shù)陌踩Ｗo(hù)，雖然其后果可能像從家里打印東西一樣微不足道，但這種對(duì)系統(tǒng)的訪問(wèn)可能會(huì)產(chǎn)生危險(xiǎn)的后果。

五、與制造商核實(shí)

這已經(jīng)花了一段時(shí)間，但制造商終于開(kāi)始意識(shí)到，他們?cè)谧约褐圃斓脑O(shè)備的安全態(tài)勢(shì)中扮演著至關(guān)重要的角色。大多數(shù)設(shè)備的制造并沒(méi)有考慮到安全問(wèn)題，但近年來(lái)，制造商不得不努力為某些設(shè)備提供一定程度的保護(hù)。

當(dāng)制造商編寫和編碼軟件時(shí)，他們可以以一種面向安全的方式這樣做。這意味著有正確的方法來(lái)編寫安全代碼。有一個(gè)過(guò)程和工具來(lái)做滲透測(cè)試之類的事情。他們可以做的另一件事，更重要的是，他們可以創(chuàng)建一個(gè)進(jìn)程，在他們部署設(shè)備后，他們有機(jī)會(huì)更新固件。

一些制造商現(xiàn)在正在優(yōu)先考慮安全編碼，并在與安全研究人員合作時(shí)使補(bǔ)丁更新過(guò)程更加健壯。但安全并不是他們的首要任務(wù)，在保護(hù)設(shè)備的安全方面仍有相對(duì)寬松的規(guī)定。

對(duì)于運(yùn)行24/7的系統(tǒng)來(lái)說(shuō)，很難處理補(bǔ)丁程序，而且許多企業(yè)運(yùn)行的是過(guò)時(shí)的軟件或硬件，這些軟件或硬件可能與每個(gè)補(bǔ)丁程序都不兼容。這可能會(huì)給管理數(shù)十臺(tái)（如果不是數(shù)百臺(tái)）設(shè)備的安全團(tuán)隊(duì)造成一個(gè)噩夢(mèng)。

升級(jí)系統(tǒng)可能會(huì)非常昂貴，但漏洞的代價(jià)可能更大。每個(gè)IT主管和CISO都需要接受物聯(lián)網(wǎng)方面的教育。這是你承擔(dān)責(zé)任的基礎(chǔ)。