原文：Tactics for defending IoT devices from hackers often overlooked, experts say

作者：Bill Siwicki

譯者：湯益榕

醫(yī)療保健行業(yè)的安全專家擁有著極其豐富的手段來保護物聯(lián)網(wǎng)設(shè)備免受攻擊。在醫(yī)保行業(yè)中中有很多專業(yè)的方法來保護物聯(lián)網(wǎng)設(shè)備；然而，安全專家可以從時常被忽視的保護方法中獲益，本文中安全專家分享一些對于防范黑客攻擊有著極高的價值的保護方法，。

“物聯(lián)網(wǎng)設(shè)備的使用越來越普遍了。在醫(yī)療設(shè)備方面，物聯(lián)網(wǎng)的安全性十分重要，因為一旦出現(xiàn)危險，后果相比其他行業(yè)帶來的影響要大得多。” IT 安全公司 Arxan Technologies 的首席技術(shù)官 Sam Rehman 說道， “應(yīng)該采取一些措施，減少襲擊的機會和影響程度。”

Rehman 提供了一系列最佳措施，包括：

修改設(shè)備的設(shè)置，不要在最初出廠設(shè)置的情況下使用。大多數(shù)黑客機器人使用默認設(shè)置作為第一次攻擊的嘗試。

如果設(shè)備不需要互聯(lián)網(wǎng)訪問權(quán)限，將它們的網(wǎng)絡(luò)權(quán)限限制在僅能訪問本地環(huán)網(wǎng)網(wǎng)絡(luò)。否則，只允許出站網(wǎng)絡(luò)，請勿開放端口監(jiān)聽。

確保設(shè)備的固件上是最新版本。

始終使用雙重驗證保護固件，使其不容易被攻破。

使用防御軟件和白盒密碼來保護嵌入式證書和密鑰。

定期檢查軟件健康和設(shè)備情況。

“IoT設(shè)備現(xiàn)在被黑客用來查找秘密和協(xié)議來訪問后端服務(wù)，并繞過數(shù)據(jù)中心的訪問控制；這些設(shè)備還被用來劫持節(jié)點以拒絕服務(wù)，竊取數(shù)據(jù)或偽造數(shù)據(jù)處理，甚至作為跳板攻擊其他節(jié)點；運行可能影響患者安全的未經(jīng)授權(quán)的數(shù)據(jù)處理；劫持節(jié)點和服務(wù)器索取贖金，”雷曼說，“這些列表上的措施將使黑客獲得對你的設(shè)備和機密的控制更加困難，并且還可以減少黑客攻擊的傳播和影響。”

安全技術(shù)供應(yīng)商 Axis Communications 的業(yè)務(wù)開發(fā)行業(yè)部門和北美網(wǎng)絡(luò)策略高級經(jīng)理 John Bartolac 也分享了一些可能被一些醫(yī)療保健公司忽視的物聯(lián)網(wǎng)設(shè)備保護策略。

“強制密碼管理政策和推行不遵守密碼保護的懲罰，”Bartolac 建議，“始終確保你有計劃地對所有網(wǎng)絡(luò)設(shè)備進行編排，并確保每六個月進行一次定期審核，以確保所有設(shè)備都具有最新更新的軟件或固件。此外，只安裝可信應(yīng)用程序并禁用未使用的服務(wù)。”

關(guān)閉未使用的服務(wù)可能是防止惡意攻擊的關(guān)鍵。

“在部署設(shè)備時不停用未使用的服務(wù)可能會使設(shè)備容易受到攻擊，”Bartolac 表示，“從未經(jīng)測試的開發(fā)人員處下載應(yīng)用程序也是如此，因為它們可能包含攻擊者可以利用的惡意腳本。禁用未使用的服務(wù)和僅安裝受信任的應(yīng)用程序可以減少潛在的犯罪者可能通過物聯(lián)網(wǎng)設(shè)備破壞網(wǎng)絡(luò)的機會。”

最后，不要忽略健全的密碼管理措施。大多數(shù)基于 IP 的設(shè)備都附帶默認密碼和設(shè)置。

Bartolac 說，如果沒有采用這些措施，并且沒有在所有設(shè)備上實施正確的管理，黑客便可以輕松地獲得未經(jīng)授權(quán)的系統(tǒng)訪問。

“使用密碼來阻止攻擊的最有效方法是使用至少八個難以猜測的字符作為密碼，加上極其復(fù)雜的字符使用情況，定期更改密碼，并對密碼執(zhí)行嚴格的管理策略，”他補充道， “如果設(shè)備支持使用真實性證書，并且你的網(wǎng)絡(luò)架構(gòu)支持此設(shè)置，請始終使用這些代替密碼。”