研究表明，2017年物聯網設備的數量超過了全球人口數量，并開始得以廣泛普及。但是，其中許多物聯網設備都沒有考慮到安全性。網絡攻擊者很快就利用了物聯網設備的漏洞。

在2016年的一個案例中，網絡威脅攻擊者中斷了Dyn公司的服務，Dyn公司是一家為Twitter、Spotify、Netflix、Reddit、Etsy、Github和其他主要品牌管理網絡流量的公司。網絡威脅參與者植入Mirai惡意軟件，以征用10多萬臺設備(網絡攝像頭、DVR等)作為僵尸設備，對Dyn公司的服務器發(fā)起大規(guī)模攻擊。

如今，有多少物聯網設備可能面臨網絡攻擊?全球約有123億臺設備連接到互聯網。那么可能會人們忘記的物聯網設備呢?它們還在連接到企業(yè)的網絡嗎?有什么風險?更重要的是，企業(yè)能做些什么呢?以下來了解一下。

物聯網面臨的威脅

物聯網設備存在于企業(yè)、家庭、醫(yī)院、政府機構、車隊以及基本上任何連接存在的地方。2020年，美國家庭平均使用10臺物聯網設備。那么一家擁有1000名員工的公司連接了多少臺物聯網設備?

快速的生產時間和短暫的生命周期使物聯網爆炸式增長成為安全團隊的擔憂。仍在使用的原有設備可能不再接收安全的軟件更新。新設備仍然是零日攻擊和其他威脅形式的主要風險。

最近，研究人員在用于邊緣計算的消息引擎和多協(xié)議消息總線NanoMQ中發(fā)現了一個漏洞。NanoMQ在智能手表、汽車、火災探測器、患者監(jiān)測和安全系統(tǒng)的傳感器中捕獲實時數據。這一大規(guī)模漏洞導致超過1億臺設備存在漏洞。

許多公司擔心由于遠程工作和混合工作結構而增加的網絡風險。然而，巨大的物聯網攻擊面也應該在關注列表中排名靠前。

物聯網安全威脅影響

2021年上半年，智能設備遭受了15億次網絡攻擊，網絡攻擊者希望竊取敏感數據、加密劫持設備或構建僵尸網絡。他們甚至可以從連接到發(fā)生遠程工作的家庭網絡的設備訪問企業(yè)資產。

考慮CVE-2021-28372這一漏洞使威脅參與者能夠遠程破壞受害者的物聯網設備。從那里，網絡攻擊者可以竊聽實時音頻、觀看實時視頻并竊取設備憑據以進行更深入的網絡滲透。

對企業(yè)最好的勒索軟件保護不僅僅是阻止網絡釣魚攻擊。安全領導者還應該考慮他們的物聯網生態(tài)系統(tǒng)。一些人認為可以通過重啟設備來阻止劫持或鎖定設備的惡意軟件。但如果重新打開一個物聯網燈泡，最終可能會數據泄露。

監(jiān)管會解決嗎?

由于安全和隱私問題都受到威脅，物聯網監(jiān)管引起了監(jiān)管機構的強烈興趣。一項重大的國際努力正在努力建立物聯網安全標準。截至目前，在美國這方面的主要指導來自NIST，加州也有自己的監(jiān)管法律。2020年物聯網網絡安全改進法案規(guī)范了政府對此類設備的采購。

由于許多設備或設備部件來自海外，監(jiān)管變得更加復雜。而僅靠監(jiān)管并不能保護數字資產。

智能燈泡的安全問題

即使是智能燈泡也可能是網絡漏洞端點。這怎么可能發(fā)生?以下是它的工作原理：

(1)網絡攻擊者遠距離接管智能燈泡功能。然后，他們可以更改燈泡亮度或使其打開和關閉。這使認為燈泡不工作。在控制應用程序上，燈泡顯示為無法訪問。

(2)如果所有者重新打開燈泡并且應用程序重新發(fā)現它，則攻擊者可以將受感染的燈泡添加到網絡中。

(3)受感染的燈泡隨后可以安裝惡意軟件，以實現IP網絡滲透和惡意軟件傳播。

關于保護物聯網的智慧是否有效?

通常建議保護物聯網設備的傳統(tǒng)方法包括：

• 盡快安裝固件更新。更新中的補丁有助于防止零日攻擊。
• 始終更改預裝密碼。使用包含大寫和小寫字母、數字和符號的復雜密碼。
• 一旦認為設備運行異常，需要立即重新啟動。它可能有助于擺脫現有的惡意軟件。
• 使對物聯網設備的訪問受到本地虛擬專用網絡的限制。這可以防止公共互聯網暴露。
• 使用威脅數據源來阻止??來自惡意網絡地址的網絡連接。
• 將未打補丁的設備保存在未經授權的用戶無法訪問的單獨網絡中。在理想情況下，應該停用、銷毀或回收無法修補的設備。

雖然其中一些技巧可能有用，但也有一些可能弊大于利，而設備重啟甚至可以啟用惡意軟件感染。

物聯網安全的零信任最佳實踐

物聯網安全挑戰(zhàn)是一個更大問題的一部分。簡而言之，幾乎不存在組織邊界。部署了如此多的物聯網設備并有大量的員工開展遠程工作，因此需要一個新的愿景。

例如，零信任架構將邊界帶到最遠的一端，無論是用戶、設備、應用程序還是試圖獲得網絡訪問權限的API。在可以驗證身份和真實性之前，應該能夠拒絕訪問作為默認位置。

對于采用零信任方法的企業(yè)，需要考慮采用安全訪問服務邊緣(SASE)服務。SASE在邊緣建立云計算交付的安全性，更靠近訪問企業(yè)資源的用戶和設備。這將軟件定義的網絡和網絡安全整合到一個單一的、基于云的服務中。

SASE具有集成的邊緣計算安全性，是一種零信任模型，旨在滿足混合工作的勞動力和各種物聯網環(huán)境的需求。鑒于當今快速的設備擴展和流動的組織邊界，企業(yè)將尋求安全解決方案(例如零信任)以保證安全。