物聯(lián)網(wǎng)行業(yè)如今并沒有一套明確的安全標準供開發(fā)人員和制造商構(gòu)建一致的安全性,但也有一些安全最佳實踐。IT管理員可能會發(fā)現(xiàn)很難跟蹤和更新設(shè)備,這些設(shè)備可能會在內(nèi)部部署設(shè)施運行多年。
黑客掃描網(wǎng)絡(luò)以查找設(shè)備和已知漏洞,并越來越多地使用非標準端口來獲取網(wǎng)絡(luò)訪問權(quán)限。
IT管理員必須在其物聯(lián)網(wǎng)部署中解決以下五種常見的物聯(lián)網(wǎng)安全威脅,然后實施預(yù)防策略。
什么是物聯(lián)網(wǎng)攻擊面?
在基本層面上,攻擊面是未經(jīng)授權(quán)的系統(tǒng)訪問的入口點總數(shù)。物聯(lián)網(wǎng)的攻擊面超越了入口點,其中包括物聯(lián)網(wǎng)設(shè)備、連接軟件和網(wǎng)絡(luò)連接的所有可能的安全漏洞。
對物聯(lián)網(wǎng)設(shè)備安全的日益關(guān)注包括這樣一個事實,即網(wǎng)絡(luò)威脅者不僅可以破壞支持物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)和軟件,還可以破壞設(shè)備本身。此外,物聯(lián)網(wǎng)設(shè)備的采用速度比能夠提供安全、可靠連接的流程和協(xié)議更快。
企業(yè)可以采取一些措施來保護物聯(lián)網(wǎng)攻擊面,但這些措施需要員工和技術(shù)專家來制定適當(dāng)?shù)牟呗?,以便主動檢測威脅,并采取措施來減小網(wǎng)絡(luò)攻擊面。
企業(yè)必須解決的五大物聯(lián)網(wǎng)安全威脅
(1)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)
在2016年發(fā)生Mirai等重大僵尸網(wǎng)絡(luò)攻擊事件之后,物聯(lián)網(wǎng)開發(fā)人員、管理員和安全人員盡快采取措施防止此類攻擊。僵尸網(wǎng)絡(luò)編排器發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備是一個具有吸引力的目標,因為安全配置薄弱,并且可以委托給用于攻擊企業(yè)的僵尸網(wǎng)絡(luò)的設(shè)備數(shù)量眾多。
網(wǎng)絡(luò)攻擊者可以通過未受保護的端口或網(wǎng)絡(luò)釣魚詐騙惡意軟件來感染物聯(lián)網(wǎng)設(shè)備,并將其加入用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。黑客可以在互聯(lián)網(wǎng)上輕松找到檢測易受攻擊機器的惡意代碼,或者在另一個代碼模塊向設(shè)備發(fā)出信號以發(fā)起網(wǎng)絡(luò)攻擊或竊取信息之前隱藏代碼以防止安全檢測。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)經(jīng)常用于分布式拒絕服務(wù)(DDoS)攻擊,以迅速加大針對目標的網(wǎng)絡(luò)流量。
僵尸網(wǎng)絡(luò)攻擊檢測并不容易,但IT管理員可以采取幾個步驟來保護設(shè)備,例如保留每臺設(shè)備的清單。企業(yè)應(yīng)該遵循基本的網(wǎng)絡(luò)安全措施,例如身份驗證、定期更新補丁,并在管理員將物聯(lián)網(wǎng)設(shè)備添加到網(wǎng)絡(luò)之前確認它們符合安全標準和協(xié)議。網(wǎng)絡(luò)分段可以隔離物聯(lián)網(wǎng)設(shè)備,以保護網(wǎng)絡(luò)免受受損設(shè)備的影響。IT管理員可以監(jiān)控網(wǎng)絡(luò)活動以檢測僵尸網(wǎng)絡(luò),并且一定不要忘記規(guī)劃物聯(lián)網(wǎng)設(shè)備生命周期。
(2)DNS威脅
許多企業(yè)使用物聯(lián)網(wǎng)從原有設(shè)備收集數(shù)據(jù),這些設(shè)備并不總是按照更新的安全標準設(shè)計。當(dāng)企業(yè)將原有設(shè)備與物聯(lián)網(wǎng)相結(jié)合時,它可能會使網(wǎng)絡(luò)暴露于舊設(shè)備的漏洞。物聯(lián)網(wǎng)設(shè)備連接通常依賴于域名系統(tǒng) (DNS),這是一個產(chǎn)生于上世紀80年代的域名系統(tǒng),它可能無法處理可以增長到數(shù)千臺設(shè)備的物聯(lián)網(wǎng)部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數(shù)據(jù)或引入惡意軟件。
IT管理員可以通過域名系統(tǒng)安全擴展(DNSSEC)確保DNS漏洞不會對物聯(lián)網(wǎng)安全構(gòu)成威脅。這些規(guī)范通過確保數(shù)據(jù)準確且未經(jīng)修改的數(shù)字簽名來保護DNS。
當(dāng)物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)進行軟件更新時,域名系統(tǒng)安全擴展(DNSSEC)會檢查更新是否到達了預(yù)期的位置,而沒有惡意重定向。企業(yè)必須升級協(xié)議標準,包括MQ Telemetry Transport,并檢查協(xié)議升級與整個網(wǎng)絡(luò)的兼容性。IT管理員可以使用多個DNS服務(wù)來實現(xiàn)連續(xù)性和額外的安全層。
(3)物聯(lián)網(wǎng)勒索軟件
隨著連接到企業(yè)網(wǎng)絡(luò)的不安全設(shè)備數(shù)量的增加,物聯(lián)網(wǎng)勒索軟件攻擊也在增加。黑客用惡意軟件感染設(shè)備,將其變成僵尸網(wǎng)絡(luò),探測接入點或在設(shè)備固件中搜索可用于進入網(wǎng)絡(luò)的有效憑據(jù)。
通過物聯(lián)網(wǎng)設(shè)備進行網(wǎng)絡(luò)訪問,網(wǎng)絡(luò)攻擊者可以將數(shù)據(jù)泄露到云端,并威脅要保留、刪除或公開數(shù)據(jù),除非支付贖金。支付贖金有時并不會讓企業(yè)取回所有數(shù)據(jù),勒索軟件會自動刪除文件。勒索軟件會影響企業(yè)組織,例如政府服務(wù)或食品供應(yīng)商。
(4)物聯(lián)網(wǎng)物理安全
雖然網(wǎng)絡(luò)攻擊者似乎不太可能物理訪問物聯(lián)網(wǎng)設(shè)備,但IT管理員在規(guī)劃物聯(lián)網(wǎng)安全策略時絕不能忘記這種可能性。黑客可以竊取設(shè)備、打開它們并訪問內(nèi)部電路和端口以闖入網(wǎng)絡(luò)。IT管理員必須只部署經(jīng)過身份驗證的設(shè)備,并且只允許授權(quán)和經(jīng)過身份驗證的設(shè)備訪問。
(5)影子物聯(lián)網(wǎng)
IT管理員無法始終控制連接到其網(wǎng)絡(luò)的設(shè)備,這會產(chǎn)生一種稱為“影子物聯(lián)網(wǎng)”的物聯(lián)網(wǎng)安全威脅。具有IP地址的設(shè)備(例如健身追蹤器、數(shù)字助理或無線打印機)可以增加個人便利或協(xié)助員工工作,但它們不一定符合企業(yè)的安全標準。
如果不了解影子物聯(lián)網(wǎng)設(shè)備,IT管理員就無法確保硬件和軟件具有基本的安全功能或監(jiān)控設(shè)備中的惡意流量。當(dāng)黑客訪問這些設(shè)備時,他們可以使用權(quán)限提升來訪問企業(yè)網(wǎng)絡(luò)上的敏感信息,或者選擇這些設(shè)備進行僵尸網(wǎng)絡(luò)或DDoS攻擊。
當(dāng)員工將設(shè)備添加到網(wǎng)絡(luò)時,IT管理員可以制定策略來限制影子物聯(lián)網(wǎng)的威脅。對于管理員來說,擁有所有連接設(shè)備的清單也很重要。然后,他們可以使用IP地址管理工具或設(shè)備發(fā)現(xiàn)工具來跟蹤任何新連接、執(zhí)行策略并隔離或阻止不熟悉的設(shè)備。
如何防御物聯(lián)網(wǎng)安全風(fēng)險
IT團隊必須采取多層次的方法來緩解物聯(lián)網(wǎng)安全風(fēng)險。企業(yè)可以實施更廣泛的最佳實踐和策略,管理員還應(yīng)該針對不同類型的物聯(lián)網(wǎng)攻擊采取特定的防御措施。
物聯(lián)網(wǎng)安全是策略執(zhí)行和軟件的結(jié)合,用于檢測和解決任何威脅。監(jiān)督物聯(lián)網(wǎng)設(shè)備的IT團隊?wèi)?yīng)該為網(wǎng)絡(luò)上的任何設(shè)備制定強密碼策略,并使用威脅檢測軟件來預(yù)測任何潛在的攻擊。IT團隊對物聯(lián)網(wǎng)設(shè)備上的數(shù)據(jù)了解得越多,就越容易主動檢測安全風(fēng)險和威脅。
IT管理員可以用來防止安全攻擊的基本策略包括設(shè)備漏洞評估、禁用不需要的服務(wù)、定期數(shù)據(jù)備份、災(zāi)難恢復(fù)程序、網(wǎng)絡(luò)分段和網(wǎng)絡(luò)監(jiān)控工具。
數(shù)據(jù)保護策略是提高物聯(lián)網(wǎng)安全性的另一種方式。盡管物聯(lián)網(wǎng)部署由于其分散的性質(zhì)而難以部署,但它有助于增加一層安全性。IT團隊可以使用可見性工具、數(shù)據(jù)分類系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私測量和日志管理系統(tǒng)來確保數(shù)據(jù)安全。
對于物理安全措施,企業(yè)應(yīng)將設(shè)備放在防篡改的箱子中,并刪除制造商可能包含在部件上的任何設(shè)備信息,例如型號或密碼。物聯(lián)網(wǎng)設(shè)計人員應(yīng)將導(dǎo)體埋入多層電路板中,以防止黑客輕易進入。如果黑客確實篡改了設(shè)備,它應(yīng)該具有禁用功能,例如打開時會發(fā)生短路。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號