由于攻擊者的目標(biāo)是不斷增長(zhǎng)的物聯(lián)網(wǎng)攻擊面，企業(yè)可以通過(guò)以下六種最佳安全實(shí)踐降低風(fēng)險(xiǎn)。

物聯(lián)網(wǎng)是一個(gè)每天都在擴(kuò)大的巨大攻擊面，這些設(shè)備通常充滿了基本的安全問(wèn)題和高風(fēng)險(xiǎn)漏洞，它們正越來(lái)越頻繁地成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。

長(zhǎng)期以來(lái)，許多人都將物聯(lián)網(wǎng)攻擊、分布式拒絕服務(wù)和加密挖掘僵尸網(wǎng)絡(luò)等低級(jí)威脅聯(lián)系在一起。但事實(shí)上，越來(lái)越多的勒索軟件、間諜和數(shù)據(jù)盜竊攻擊利用物聯(lián)網(wǎng)作為進(jìn)入更大IT網(wǎng)絡(luò)，包括云在內(nèi)的初始接入點(diǎn)。高級(jí)的威脅行為者也在使用物聯(lián)網(wǎng)設(shè)備在這些網(wǎng)絡(luò)中實(shí)現(xiàn)持久性，同時(shí)逃避檢測(cè)。

在我們自己對(duì)部署在企業(yè)環(huán)境中的數(shù)百萬(wàn)物聯(lián)網(wǎng)設(shè)備的分析中，我們發(fā)現(xiàn)高風(fēng)險(xiǎn)和關(guān)鍵漏洞都很普遍。一半的物聯(lián)網(wǎng)設(shè)備存在至少為8分的漏洞，20%的設(shè)備存在CVSS評(píng)分為9-10分的嚴(yán)重漏洞。與此同時(shí)，這些設(shè)備在密碼保護(hù)和固件管理方面也存在一些基本的安全故障。

雖然物聯(lián)網(wǎng)風(fēng)險(xiǎn)不能完全消除，但可以降低。以下是企業(yè)應(yīng)該采取的幾個(gè)步驟。

創(chuàng)建全面、最新的資產(chǎn)清單

在我們的研究中，我們發(fā)現(xiàn)80%的企業(yè)安全團(tuán)隊(duì)甚至無(wú)法識(shí)別其網(wǎng)絡(luò)上的大多數(shù)物聯(lián)網(wǎng)設(shè)備。這是一個(gè)驚人的數(shù)字，它表明了問(wèn)題的嚴(yán)重性。如果一家企業(yè)甚至不知道其網(wǎng)絡(luò)上有哪些設(shè)備，那么在成功的物聯(lián)網(wǎng)攻擊后，它如何能夠保護(hù)這些設(shè)備免受攻擊?又將如何保護(hù)其it網(wǎng)絡(luò)免受橫向移動(dòng)?

然而，物聯(lián)網(wǎng)盤點(diǎn)并不容易。傳統(tǒng)的IT發(fā)現(xiàn)工具從來(lái)都不是為物聯(lián)網(wǎng)設(shè)計(jì)的。網(wǎng)絡(luò)行為異常檢測(cè)系統(tǒng)監(jiān)聽跨端口上的流量，但大多數(shù)物聯(lián)網(wǎng)流量都是加密的，即使沒(méi)有加密，傳輸?shù)男畔⒁矝](méi)有足夠的識(shí)別細(xì)節(jié)。

如果沒(méi)有任何細(xì)節(jié)，僅僅知道某臺(tái)打印機(jī)是不夠的，尤其是如果它存在需要修復(fù)的漏洞。傳統(tǒng)漏洞掃描器可以提供幫助，但它們通過(guò)發(fā)送格式錯(cuò)誤的數(shù)據(jù)包進(jìn)行操作，這對(duì)物聯(lián)網(wǎng)識(shí)別來(lái)說(shuō)不太好，甚至?xí)刮锫?lián)網(wǎng)設(shè)備離線。

更好的方法是通過(guò)查詢?cè)O(shè)備的母語(yǔ)來(lái)發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備。這將允許企業(yè)創(chuàng)建一份包含物聯(lián)網(wǎng)設(shè)備詳細(xì)信息的清單，如設(shè)備版本、型號(hào)、固件版本、序列號(hào)、運(yùn)行服務(wù)、證書和憑據(jù)。這使得企業(yè)能夠真正地補(bǔ)救這些風(fēng)險(xiǎn)，而不僅僅是發(fā)現(xiàn)它們。這也使他們能夠移除任何被美國(guó)政府認(rèn)為高風(fēng)險(xiǎn)的設(shè)備，如華為、中興、?？低?、大華。

密碼安全至關(guān)重要

針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊很容易實(shí)施，因?yàn)樵S多物聯(lián)網(wǎng)設(shè)備仍然有默認(rèn)密碼。我們發(fā)現(xiàn)，在大約50%的物聯(lián)網(wǎng)設(shè)備中都是如此，在特定類別的設(shè)備中，這一比例甚至更高。

例如，95%的音視頻設(shè)備物聯(lián)網(wǎng)設(shè)備都有默認(rèn)密碼。即使設(shè)備不使用默認(rèn)密碼，它們中的大多數(shù)在長(zhǎng)達(dá)10年的時(shí)間里只修改過(guò)一次密碼。

理想情況下，物聯(lián)網(wǎng)設(shè)備應(yīng)該有唯一的、復(fù)雜的密碼，每30天、60天或90天輪換一次。然而，并非所有設(shè)備都支持復(fù)雜密碼。一些較老的物聯(lián)網(wǎng)設(shè)備只能處理4位的pin碼，而其他設(shè)備只允許10個(gè)字符，還有一些不接受特殊字符。

重要的是要了解物聯(lián)網(wǎng)設(shè)備的所有細(xì)節(jié)和功能，這樣才能使用有效的密碼，并安全地進(jìn)行更改。對(duì)于密碼參數(shù)較弱或無(wú)法提供任何級(jí)別的身份驗(yàn)證的舊設(shè)備，請(qǐng)考慮使用更現(xiàn)代的產(chǎn)品替換這些設(shè)備，以實(shí)現(xiàn)更好的安全實(shí)踐。

管理設(shè)備的固件

大多數(shù)物聯(lián)網(wǎng)設(shè)備運(yùn)行在過(guò)時(shí)的固件上，由于漏洞非常普遍，這會(huì)帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)。固件漏洞使設(shè)備容易受到攻擊，包括商用惡意軟件、復(fù)雜的植入、遠(yuǎn)程訪問(wèn)攻擊、數(shù)據(jù)盜竊、勒索軟件、間諜活動(dòng)，甚至物理破壞。而設(shè)備固件的平均壽命是6年，大約四分之一的設(shè)備已經(jīng)報(bào)廢，不再由供應(yīng)商提供支持。

物聯(lián)網(wǎng)設(shè)備應(yīng)使用供應(yīng)商提供的最新固件版本和安全補(bǔ)丁進(jìn)行更新。不可否認(rèn)，這可能是一個(gè)挑戰(zhàn)，特別是在大型企業(yè)中，實(shí)際上有數(shù)十萬(wàn)到數(shù)百萬(wàn)個(gè)這樣的設(shè)備。但無(wú)論如何，必須采取措施來(lái)保證網(wǎng)絡(luò)的安全。企業(yè)物聯(lián)網(wǎng)安全平臺(tái)可以大規(guī)模自動(dòng)化這一和其他安全流程。

然而，有時(shí)設(shè)備固件應(yīng)該降級(jí)，而不是更新。當(dāng)漏洞被廣泛利用，并且由于物聯(lián)網(wǎng)供應(yīng)商通常比傳統(tǒng)IT設(shè)備制造商需要更長(zhǎng)的時(shí)間來(lái)發(fā)布補(bǔ)丁，因此沒(méi)有可用的補(bǔ)丁時(shí)，建議暫時(shí)將設(shè)備降級(jí)到不包含漏洞的早期固件版本。

關(guān)閉外部連接并限制網(wǎng)絡(luò)訪問(wèn)

物聯(lián)網(wǎng)設(shè)備通常很容易被發(fā)現(xiàn)，并且默認(rèn)啟用了太多連接功能，如有線和無(wú)線連接、藍(lán)牙、其他協(xié)議、安全外殼和遠(yuǎn)程登錄。這種混雜的訪問(wèn)使得它們很容易成為外部攻擊者的目標(biāo)。

對(duì)企業(yè)來(lái)說(shuō)，像對(duì)It網(wǎng)絡(luò)一樣對(duì)物聯(lián)網(wǎng)進(jìn)行系統(tǒng)加固非常重要。物聯(lián)網(wǎng)設(shè)備加固包括關(guān)閉這些無(wú)關(guān)的端口和不必要的功能。一些例子是運(yùn)行安全外殼協(xié)議但不遠(yuǎn)程登錄，使用有線以太網(wǎng)但不使用Wi-Fi，以及關(guān)閉藍(lán)牙。

企業(yè)也應(yīng)該限制其在網(wǎng)絡(luò)之外進(jìn)行通信的能力。這可以通過(guò)網(wǎng)絡(luò)防火墻、單向二極管、訪問(wèn)控制列表和虛擬局域網(wǎng)在第2層和第3層完成。限制物聯(lián)網(wǎng)設(shè)備的互聯(lián)網(wǎng)接入將減輕依賴于安裝命令和控制惡意軟件，如勒索軟件和數(shù)據(jù)盜竊的攻擊。

確保證書有效

確保安全授權(quán)、加密和數(shù)據(jù)完整性的物聯(lián)網(wǎng)數(shù)字證書經(jīng)常過(guò)時(shí)，管理不善。這個(gè)問(wèn)題甚至發(fā)生在關(guān)鍵的網(wǎng)絡(luò)設(shè)備上，比如無(wú)線接入點(diǎn)，這意味著即使是網(wǎng)絡(luò)的初始接入點(diǎn)也沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)。

驗(yàn)證這些證書的狀態(tài)并將其與證書管理解決方案集成非常重要，以便糾正可能發(fā)生的任何風(fēng)險(xiǎn)，如安全傳輸層協(xié)議、過(guò)期日期和自簽名。

注意環(huán)境漂移

一旦物聯(lián)網(wǎng)設(shè)備被安全加固，確保它們保持這種狀態(tài)是很重要的。由于固件更新、錯(cuò)誤和人為干擾，設(shè)備設(shè)置和配置可能會(huì)隨著時(shí)間的推移而改變，因此環(huán)境漂移是一種常見(jiàn)現(xiàn)象。

需要注意的關(guān)鍵設(shè)備更改是重置為默認(rèn)值的密碼或非PAM的其他憑證修改、固件降級(jí)以及突然重新打開的不安全服務(wù)。