由于物聯(lián)網(wǎng)的攻擊面很大,并且缺乏安全性,因此黑客有更多機(jī)會(huì)進(jìn)入組織的物聯(lián)網(wǎng)網(wǎng)絡(luò)。物聯(lián)網(wǎng)行業(yè)并沒有一套明確的安全標(biāo)準(zhǔn),供開發(fā)人員和制造商構(gòu)建一致的安全性,但是有許多安全最佳實(shí)踐。組織IT管??理員可能會(huì)發(fā)現(xiàn)很難跟蹤和更新設(shè)備,而這些設(shè)備可能已經(jīng)運(yùn)行多年。
黑客每天都在掃描網(wǎng)絡(luò)中的設(shè)備和已知漏洞,并越來越多地使用非標(biāo)準(zhǔn)端口來獲取網(wǎng)絡(luò)訪問權(quán)限。一旦他們擁有設(shè)備訪問權(quán)限,就更容易避開安全設(shè)備對惡意軟件或內(nèi)存進(jìn)行的檢測。
IT管??理員必須在其物聯(lián)網(wǎng)部署中解決五種常見的物聯(lián)網(wǎng)安全威脅,然后實(shí)施相應(yīng)的策略來防止這些威脅:
1.物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)
在2016年發(fā)生Mirai等重大的僵尸網(wǎng)絡(luò)攻擊之后,物聯(lián)網(wǎng)開發(fā)人員、管理員和安全人員積極采取措施來防止此類攻擊。僵尸網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備是極具吸引力的目標(biāo),因?yàn)槲锫?lián)網(wǎng)設(shè)備大多安全配置較弱,并且可以用于構(gòu)建僵尸網(wǎng)絡(luò)。
網(wǎng)絡(luò)攻擊者可以通過不受保護(hù)的端口或網(wǎng)絡(luò)釣魚詐騙,用惡意軟件感染物聯(lián)網(wǎng)設(shè)備,并將其加入用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中。黑客可以很容易地在互聯(lián)網(wǎng)上找到惡意代碼,檢測易受攻擊的機(jī)器,或者向設(shè)備發(fā)出攻擊或竊取信息之前隱藏代碼。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)也經(jīng)常用于分布式拒絕服務(wù)(DDoS)攻擊。
對于僵尸網(wǎng)絡(luò)攻擊的檢測并不容易,但是IT管理員可以采取幾個(gè)步驟來保護(hù)設(shè)備,例如保存每個(gè)設(shè)備的清單;遵循基本的網(wǎng)絡(luò)安全措施(例如身份驗(yàn)證、定期更新和修補(bǔ)程序);并在管理員將其添加到網(wǎng)絡(luò)之前確認(rèn)物聯(lián)網(wǎng)設(shè)備符合安全標(biāo)準(zhǔn)和協(xié)議。網(wǎng)絡(luò)分段可以隔離物聯(lián)網(wǎng)設(shè)備,以保護(hù)其網(wǎng)絡(luò)不受僵尸設(shè)備的侵害。IT管??理員可以監(jiān)視網(wǎng)絡(luò)活動(dòng)以檢測僵尸網(wǎng)絡(luò),并且一定不要忘記為整個(gè)設(shè)備生命周期(包括壽命終止)進(jìn)行規(guī)劃。
2.DNS威脅
許多組織使用物聯(lián)網(wǎng)從原有機(jī)器上收集數(shù)據(jù),這些機(jī)器并不總是按照更新的安全標(biāo)準(zhǔn)設(shè)計(jì)的。當(dāng)組織將原有設(shè)備與物聯(lián)網(wǎng)相結(jié)合時(shí),可能會(huì)使物聯(lián)網(wǎng)暴露在這些設(shè)備的一些漏洞中。物聯(lián)網(wǎng)設(shè)備連接通常依賴于域名系統(tǒng)(DNS),它可能無法處理可能增長到數(shù)千個(gè)設(shè)備的物聯(lián)網(wǎng)部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數(shù)據(jù)或引入惡意軟件。
IT管??理員可以使用域名系統(tǒng)安全擴(kuò)展(DNSSEC)確保DNS漏洞不會(huì)對物聯(lián)網(wǎng)安全構(gòu)成威脅。這些規(guī)范通過數(shù)字簽名保護(hù)DNS,以確保數(shù)據(jù)準(zhǔn)確無誤。當(dāng)物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)以進(jìn)行軟件更新時(shí),域名系統(tǒng)安全擴(kuò)展(DNSSEC)會(huì)檢查更新是否到達(dá)了預(yù)期的位置而沒有惡意重定向。組織必須升級協(xié)議標(biāo)準(zhǔn),包括MQ遙測傳輸,并檢查協(xié)議升級與整個(gè)網(wǎng)絡(luò)的兼容性。組織還可以使用多個(gè)DNS服務(wù)和附加的安全服務(wù)層。
3.物聯(lián)網(wǎng)勒索軟件
隨著連接到組織網(wǎng)絡(luò)的不安全設(shè)備的數(shù)量增加,物聯(lián)網(wǎng)勒索軟件攻擊也在增加。黑客采用惡意軟件感染設(shè)備,將它們變成僵尸網(wǎng)絡(luò),探測接入點(diǎn)或在設(shè)備固件中搜索有效憑證,以便他們侵入網(wǎng)絡(luò)。
通過物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)訪問,網(wǎng)絡(luò)攻擊者可以將數(shù)據(jù)泄露到云中,并威脅要保持、刪除或公開數(shù)據(jù)(除非支付贖金)。但有時(shí)支付贖金還不足以使組織收回所有數(shù)據(jù),勒索軟件會(huì)自動(dòng)刪除文件。勒索軟件會(huì)影響政府機(jī)構(gòu)或重要部門,例如政府服務(wù)或食品供應(yīng)商。
IT管理員可采取的防止勒索軟件攻擊的基本策略,其中包括部署前評估設(shè)備漏洞、停用不需要的服務(wù)、定期數(shù)據(jù)備份、安裝災(zāi)難恢復(fù)程序、進(jìn)行網(wǎng)絡(luò)分段和部署網(wǎng)絡(luò)監(jiān)控工具。
4.物聯(lián)網(wǎng)物理安全
雖然網(wǎng)絡(luò)攻擊者似乎不太可能實(shí)際接觸到物聯(lián)網(wǎng)設(shè)備,但是IT管理員在制定物聯(lián)網(wǎng)安全策略時(shí)一定不要忘記這種可能性。黑客可以竊取設(shè)備,打開設(shè)備并連接電路和端口以侵入網(wǎng)絡(luò)。IT管??理員只能部署經(jīng)過身份驗(yàn)證的設(shè)備來應(yīng)對,并且只允許授權(quán)和經(jīng)過身份驗(yàn)證的設(shè)備訪問。
為了采取物理安全措施,組織應(yīng)將設(shè)備放在防篡改盒中,并刪除制造商可能在零件上包括的所有設(shè)備信息,例如型號或默認(rèn)密碼。物聯(lián)網(wǎng)設(shè)計(jì)人員應(yīng)將導(dǎo)體埋在多層電路板中,以防止黑客輕易接入。如果黑客確實(shí)篡改了設(shè)備,則它應(yīng)具有禁用功能,例如在打開時(shí)實(shí)行短路。
5.影子物聯(lián)網(wǎng)
IT管??理員不能總是控制哪些設(shè)備連接到他們的網(wǎng)絡(luò),這就造成了一種名為“影子物聯(lián)網(wǎng)”的物聯(lián)網(wǎng)安全威脅。例如健身跟蹤器、數(shù)字助理或無線打印機(jī)等具有IP地址的設(shè)備,可以增加個(gè)人便利或協(xié)助員工工作,但它們不一定符合組織的安全標(biāo)準(zhǔn)。
如果不了解影子物聯(lián)網(wǎng)設(shè)備,IT管理員就無法確保硬件和軟件具有基本的安全功能,也無法監(jiān)控設(shè)備是否存在惡意流量。當(dāng)黑客訪問這些設(shè)備時(shí),他們可以使用權(quán)限提升來訪問組織網(wǎng)絡(luò)上的敏感信息,或?qū)⑦@些設(shè)備用于僵尸網(wǎng)絡(luò)或DDoS攻擊。
當(dāng)員工向網(wǎng)絡(luò)添加設(shè)備時(shí),IT管理員可以制定適當(dāng)?shù)牟呗詠硐拗朴白游锫?lián)網(wǎng)的威脅。對管理員來說,擁有所有連接設(shè)備的清單也很重要。他們可以使用IP地址管理工具或設(shè)備發(fā)現(xiàn)工具來跟蹤任何新的連接,并隔離或阻止不熟悉的設(shè)備。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號