大多數(shù)物聯(lián)網(wǎng)安全漏洞都是可以預(yù)防的，甚至可能是全部?？纯慈魏我俗⒛康奈锫?lián)網(wǎng)攻擊，都會(huì)發(fā)現(xiàn)一個(gè)已知的安全漏洞。

• 2019年的Ring智能攝像頭漏洞?用戶可以創(chuàng)建弱密碼并跳過多因素身份驗(yàn)證。
• 2021年的Verkada監(jiān)視服務(wù)攻擊?該公司的系統(tǒng)中有太多的超級(jí)管理員角色，幾乎確保了強(qiáng)大的憑據(jù)會(huì)泄露(事實(shí)確實(shí)如此)。
• 2016年臭名昭著的Mirai僵尸網(wǎng)絡(luò)?它通過利用物聯(lián)網(wǎng)設(shè)備的通用密碼來工作。

一些常識(shí)性的政策可以阻止這三次襲擊。

換句話說，如果開發(fā)物聯(lián)網(wǎng)產(chǎn)品或管理其在現(xiàn)場的操作，那么安全最佳實(shí)踐值得您花時(shí)間。畢竟，僅在2023年，物聯(lián)網(wǎng)惡意軟件攻擊就激增了400%。不要讓攻擊者更容易攻破你的系統(tǒng)。

當(dāng)然，物聯(lián)網(wǎng)安全不是做一次就認(rèn)為完成的任務(wù)。它需要在部署的整個(gè)生命周期中保持警惕。這種持續(xù)的安全監(jiān)視稱為漏洞管理，它是保證用戶(和系統(tǒng))安全的關(guān)鍵。

但是，如果物聯(lián)網(wǎng)安全漏洞是可以預(yù)防的，那么究竟需要什么來防止它們呢?從物聯(lián)網(wǎng)安全的這七個(gè)最佳實(shí)踐開始，包括在設(shè)備的整個(gè)生命周期內(nèi)處理漏洞管理的最簡單方法。

物聯(lián)網(wǎng)安全的7個(gè)優(yōu)秀實(shí)踐

我們知道:安全可能是昂貴的、耗時(shí)的，或者只是令人討厭的。這就是為什么物聯(lián)網(wǎng)供應(yīng)商有時(shí)不能給予安全應(yīng)有的關(guān)注。只要記住，一次災(zāi)難性的攻擊可能會(huì)讓你的公司付出遠(yuǎn)遠(yuǎn)超過任何安全投資的代價(jià)——包括你的品牌本身。

好消息是可以得到幫助。多年來，物聯(lián)網(wǎng)行業(yè)已經(jīng)提出了許多最佳實(shí)踐，漏洞管理平臺(tái)可以幫助將這些安全協(xié)議付諸實(shí)施。

所以不要被物聯(lián)網(wǎng)安全嚇倒，需要遵循以下七條建議。

1.確保所有通信渠道安全

也許你的物聯(lián)網(wǎng)設(shè)備會(huì)將數(shù)據(jù)發(fā)送到云端。它可以與其他設(shè)備交換數(shù)據(jù)。也許兩者兼而有之。然而，無論數(shù)據(jù)到哪里，都必須保護(hù)該路徑不被第三方攔截。

強(qiáng)化這些通道的方法是使用加密——但并不是所有的加密方法都足夠強(qiáng)大，可以信任用戶數(shù)據(jù)。尋找不同安全算法的最優(yōu)組合，一個(gè)密碼套件。避免堅(jiān)持使用舊的、過時(shí)的安全協(xié)議的誘惑，即使更新需要更多的工作來與舊的設(shè)備和應(yīng)用程序集成。

2.確?？煽康纳矸蒡?yàn)證和授權(quán)

你的物聯(lián)網(wǎng)系統(tǒng)需要一種方法來區(qū)分誰是誰;這就是身份驗(yàn)證，通常通過用戶名和密碼完成。系統(tǒng)還需要一種方法來確定給定的代理可以做什么;這就是授權(quán)，可以歸結(jié)為權(quán)限。

通過要求用戶使用第二設(shè)備、生物識(shí)別技術(shù)、基于位置/時(shí)間的標(biāo)識(shí)符、一次性密碼或其他方法設(shè)置多因素身份驗(yàn)證(MFA)來加強(qiáng)身份驗(yàn)證。

通過在物聯(lián)網(wǎng)管理平臺(tái)中實(shí)施基于角色的訪問控制(RBAC)來加強(qiáng)授權(quán)，并將管理員訪問權(quán)限限制在最低限度的必要用戶。

3.遵循安全編碼實(shí)踐

漏洞可能潛入你的設(shè)備固件、系統(tǒng)軟件，或者兩者兼而有之。如果攻擊者訪問您的源代碼，他們可以找到漏洞加以利用。更糟糕的是，他們可以在你不知情的情況下修改源代碼，構(gòu)建后門，直到你發(fā)現(xiàn)時(shí)已經(jīng)太晚了。因此，安全編碼需要強(qiáng)有力的實(shí)踐標(biāo)準(zhǔn)和安全的開發(fā)環(huán)境。

在使用庫和框架進(jìn)行構(gòu)建之前，請(qǐng)確保它們是安全的。然后讓您的代碼進(jìn)行持續(xù)的安全性測(cè)試。幸運(yùn)的是，您可以自動(dòng)化這個(gè)過程。使用固件分析平臺(tái)在攻擊者之前發(fā)現(xiàn)零日漏洞。

不幸的是，您需要擔(dān)心的不僅僅是代碼。大多數(shù)物聯(lián)網(wǎng)系統(tǒng)也包含第三方組件。你不一定能阻止別人的弱點(diǎn)。我們列表中的下一項(xiàng)是您安全使用第三方組件的最佳選擇。

4.保持所有組件更新

希望與合作的供應(yīng)商也在物聯(lián)網(wǎng)安全方面進(jìn)行投資。他們不斷地創(chuàng)建補(bǔ)丁和錯(cuò)誤修復(fù)來堵塞他們產(chǎn)品的安全漏洞。

不過，除非你更新軟件，否則這些保護(hù)措施將不起作用。所以一定要每次都這么做。除了使所有軟件組件始終保持最新狀態(tài)外，還要對(duì)所有固件更新進(jìn)行加密，以確保惡意行為者不會(huì)在此過程中修改它們。

5.永遠(yuǎn)不要讓默認(rèn)密碼靠近系統(tǒng)

不要發(fā)布帶有默認(rèn)密碼的產(chǎn)品。不要讓用戶設(shè)置默認(rèn)密碼、常用密碼或可重復(fù)使用的密碼。攻擊者喜歡可預(yù)測(cè)的密碼，所以盡一切可能將它們排除在系統(tǒng)之外。

發(fā)送具有強(qiáng)、唯一密碼的設(shè)備，然后在用戶第一次使用時(shí)提示用戶創(chuàng)建類似的強(qiáng)密碼。

6.加密靜態(tài)數(shù)據(jù)

還記得如何推薦對(duì)所有通信通道進(jìn)行TLS數(shù)據(jù)加密的嗎?還需要對(duì)不移動(dòng)的數(shù)據(jù)進(jìn)行加密。

也許將用戶數(shù)據(jù)存儲(chǔ)在設(shè)備上?？梢园阉鎯?chǔ)在云端。也許甚至有自己的服務(wù)器，加密數(shù)據(jù)必須只使用強(qiáng)加密密鑰，特別是在將數(shù)據(jù)存儲(chǔ)在自己的硬件上時(shí)。

弱加密可以被破解，而離線攻擊就更容易了。加密密鑰可能是最后一道防線，因此請(qǐng)確保跟上密碼學(xué)的發(fā)展，并了解最新的建議。

7.執(zhí)行正在進(jìn)行的漏洞管理計(jì)劃

網(wǎng)絡(luò)罪犯的特點(diǎn)是他們總是在創(chuàng)新。物聯(lián)網(wǎng)供應(yīng)商的工作是盡可能領(lǐng)先于網(wǎng)絡(luò)攻擊者。

這就是漏洞管理的作用。有幾種方法可以做到這一點(diǎn)：

• 定期測(cè)試設(shè)備的零日漏洞。
• 創(chuàng)建軟件物料清單(SBOM)以跟蹤第三方組件。
• 運(yùn)行漏洞披露程序(VDP)以獲得安全社區(qū)的幫助。
• 實(shí)現(xiàn)一個(gè)有組織的系統(tǒng)，用于快速報(bào)告、評(píng)估和修復(fù)漏洞。

然而，有了正確的工具，漏洞管理就變得易于管理。這個(gè)工具被稱為漏洞管理平臺(tái)(VMP)。

也就是說，漏洞管理是一個(gè)深?yuàn)W的話題，在這里只觸及了表面。