信息化觀察網

越來越多的連網設備使組織面臨更多的安全風險。盡管如此，近乎一半的IT和安全決策者表示，在企業(yè)網絡中部署物聯網設備時，網絡安全是事后的想法。

根據IoT Analytics報告，到2025年，已安裝的物聯網設備數量將從現在的約70億增加到210億臺以上。由于存在更多漏洞，因此數據泄露的機會也將相應增多。

為了降低物聯網設備帶來的額外安全風險，請實施以下措施。

物聯網設備風險

物聯網設備尤其危險，因為它們通常位于數字世界和物理世界的交匯處，因此，入侵物聯網設備會帶來危險的現實后果。黑客攻擊基礎設施的例子包括破壞發(fā)電站、水處理廠、煉油廠、鐵路等。

物聯網設備的主要風險后果是：

▲失去客戶信任，導致聲譽、銷售損失

▲由勒索軟件造成的經濟損失

▲在火災、爆炸或生產設施中斷后恢復正常運行的財務成本

▲業(yè)務連續(xù)性的長期缺失導致破產

▲因違反數據隱私條例而被監(jiān)管機構處罰

數據泄露示例

通過受損物聯網設備引發(fā)的數據泄露的最新示例包括：

▲賭場數據泄露。通過Wi-Fi連接的水族館智能溫度計，黑客進入賭場網絡，檢索有關高價值客戶的數據，然后通過溫度傳感器將數據發(fā)送到云中。

▲Equifax被黑客竊取了近半美國人（約1.43億）的信用信息數據。這次黑客攻擊之所以成功，是因為Apache Struts漏洞已經存在了幾個月，但Equifax未能及時修復。

▲Mirai惡意軟件將易受攻擊的Linux物聯網設備招募到僵尸網絡中，然后發(fā)布導致多個網站崩潰的大型DDoS攻擊。惡意軟件搜索仍使用出廠默認用戶名和密碼的物聯網設備，然后為其所用。

▲德克薩斯州達拉斯市156個緊急警報在午夜響起。這次黑客通過無線電控制系統發(fā)送了一條假警報指令。

▲一家經營物聯網智能家居設備管理平臺的中國公司。安全研究團隊發(fā)現了一個與該公司智能家居產品相關的開放式數據庫。該數據庫中包含超過20億條日志，記錄了包括用戶名、電子郵件地址、密碼、精確定位在內的所有內容。只要數據庫保持打開狀態(tài)，每天可用的數據量就會不斷增加。

物聯網設備的好處

商業(yè)物聯網設備的好處在于，通過它們收集的數據，可以提高業(yè)務績效以及產品和服務的能力。

物聯網設備的快速增長之所以發(fā)生，是因為其使組織可以輕松獲得以下數據：

▲組織流程的運行狀況和性能，示例包括供應鏈、分銷或制造。

▲產品在用戶手中的有效性，例如使用頻率、停機或即將出現的問題。

▲內部系統的性能，例如吞吐量、崩潰、常見錯誤或數據質量。

降低物聯網風險的管理措施

降低因物聯網設備受損而導致的數據泄露或設施損壞風險的管理措施包括：

▲不要等到數據泄露事件發(fā)生后才采取措施。

▲擴大安全專業(yè)人員（CSO/CISO）的職責范圍，將移動和物聯網應用的安全包含在內。

▲為安全專業(yè)人員提供足夠的資源來執(zhí)行計算基礎架構的日志記錄、監(jiān)控和報告任務。

▲避免對開發(fā)團隊施加過大的壓力以快速發(fā)布應用程序。這種壓力會導致安全功能開發(fā)和測試不足。

▲加強流程和系統以跟蹤和管理物聯網設備。

降低物聯網風險的技術措施

降低因物聯網設備受損而導致的數據泄露或設施損壞風險的技術措施包括：

▲快速修補所有設備，因為軟件供應商提供此類修補程序。惡意軟件創(chuàng)建者會跟蹤軟件供應商的補丁公告，因為這些公告描述了惡意軟件創(chuàng)建者可以利用的漏洞。WannaCry勒索軟件攻擊就是一個很好例子。

▲通過使用最新的防病毒和防惡意軟件功能來防御惡意活動。

▲使用強身份驗證進行操作。

▲更改所有出廠默認的用戶名和密碼。這些憑證廣為人知，因為所有物聯網設備都附帶有這些憑證，以便于設置。

▲摒棄“如果它沒有壞，就不要修復它”的態(tài)度，這種態(tài)度會讓漏洞持續(xù)存在。

▲保護物聯網設備免受未經授權的物理訪問。

▲不要購買缺乏修補功能的物聯網設備。

▲關閉遠程登錄端口。