物聯(lián)網(wǎng)面臨的七大網(wǎng)絡(luò)安全威脅,網(wǎng)絡(luò)安全相關(guān)決策層如何應(yīng)對(duì)挑戰(zhàn)?

曾經(jīng)在物聯(lián)網(wǎng)世界，一切都變得更加龐大。不僅是設(shè)備本身——有些小到只容納幾個(gè)芯片，他們通常隱藏其中，眼不見(jiàn)心不煩。但物聯(lián)網(wǎng)中龐大的數(shù)據(jù)和設(shè)備規(guī)模令任何網(wǎng)絡(luò)安全專業(yè)人士都感到頭疼。

據(jù)廣泛統(tǒng)計(jì)，目前的物聯(lián)網(wǎng)數(shù)據(jù)產(chǎn)量為每天2.5萬(wàn)億字節(jié)，在未來(lái)兩年內(nèi)，物聯(lián)網(wǎng)包含多達(dá)300億臺(tái)設(shè)備，這一數(shù)字還將繼續(xù)增長(zhǎng)。數(shù)字風(fēng)險(xiǎn)分析主管TroyLaHuis表示：“隨著如此多的設(shè)備問(wèn)世，物聯(lián)網(wǎng)對(duì)每個(gè)人來(lái)說(shuō)都是全新的，這對(duì)大多數(shù)企業(yè)來(lái)說(shuō)都面臨困難。”

隨著規(guī)模的擴(kuò)大，風(fēng)險(xiǎn)也在增加。下面來(lái)看看物聯(lián)網(wǎng)即將面臨的7個(gè)最重要的網(wǎng)絡(luò)安全威脅，以及網(wǎng)絡(luò)安全相關(guān)決策層如何應(yīng)對(duì)挑戰(zhàn)。

1. 潛在的隱患

許多物聯(lián)網(wǎng)設(shè)備都是為特定任務(wù)而設(shè)計(jì)的，比如感知溫度或記錄運(yùn)動(dòng)。但它們運(yùn)行在微控制器和操作系統(tǒng)上，能夠在后臺(tái)做更多的事情。這對(duì)攻擊者來(lái)說(shuō)是一個(gè)巨大的機(jī)會(huì)，對(duì)企業(yè)和經(jīng)營(yíng)者來(lái)說(shuō)也是一個(gè)重大的風(fēng)險(xiǎn)。

LaHuis建議信息安全經(jīng)理參與公司的物聯(lián)網(wǎng)采購(gòu)過(guò)程，就像參與任何其他技術(shù)收購(gòu)一樣。無(wú)論是服務(wù)器、儲(chǔ)物架，還是航拍無(wú)人機(jī)和智能照明裝置，“你總不會(huì)在一切都確定下來(lái)并購(gòu)買之后出現(xiàn)問(wèn)題再讓IS團(tuán)隊(duì)進(jìn)入吧?！?/p>

2. 被遺忘的設(shè)備

許多物聯(lián)網(wǎng)設(shè)備被設(shè)計(jì)成既看不見(jiàn)也聽(tīng)不見(jiàn)，只靠電源或一個(gè)硬幣電池就能運(yùn)行數(shù)年。它們可以嵌在墻壁和天花板上，也可以安裝在工廠設(shè)備上，正常情況下，維修工人無(wú)法進(jìn)入這些設(shè)備。

雖然它們這樣使用起來(lái)非常方便——可靠且維護(hù)成本低。但對(duì)于IT資產(chǎn)和網(wǎng)絡(luò)安全管理來(lái)說(shuō)，這是一個(gè)真正的問(wèn)題?！白畲蟮氖д`之一就是人們忘記了他們的存在。”LaHuis說(shuō)。

要解決這一問(wèn)題，需要建立并強(qiáng)制執(zhí)行與數(shù)據(jù)中心服務(wù)器和筆記本電腦等IT設(shè)備相同的嚴(yán)格替換和更新周期。由于這么多的物聯(lián)網(wǎng)設(shè)備可能被隱藏多年，這就需要更詳細(xì)的更換計(jì)劃文檔，以便IT團(tuán)隊(duì)能夠在更新或替換這些設(shè)備時(shí)找到這些設(shè)備。

3. 識(shí)別物聯(lián)網(wǎng)攻擊目標(biāo)

物聯(lián)網(wǎng)安全的防御方法可以從一些早期的物聯(lián)網(wǎng)暴露和攻擊中獲得線索。智能攝像頭和支付卡讀卡器被攻擊和竊取，將數(shù)據(jù)傳遞給未經(jīng)授權(quán)的用戶。最近，嵌入式系統(tǒng)成為勒索軟件攻擊的目標(biāo)，勒索軟件要求支付賠償而不是關(guān)閉關(guān)鍵系統(tǒng)。但是，隨著物聯(lián)網(wǎng)設(shè)備種類的不斷增加，攻擊者可能更感興趣的是寫數(shù)據(jù)，而不是讀取數(shù)據(jù)。

例如，一家配備物聯(lián)網(wǎng)管理設(shè)備的工廠可能有數(shù)百個(gè)傳感器，可以讀取傳送帶上的當(dāng)前供應(yīng)水平，或測(cè)量管道中的流體壓力。對(duì)于攻擊者來(lái)說(shuō)，僅僅閱讀這些信息的價(jià)值相對(duì)較小。但是，如果破壞者能夠植入虛假記錄，就可能通過(guò)偽造數(shù)據(jù)造成生產(chǎn)中斷，這些數(shù)據(jù)會(huì)使裝配線浪費(fèi)太多的組件，或者出現(xiàn)不符合額定負(fù)載的組件。國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)白皮書聲明：“攻擊者讀取物聯(lián)網(wǎng)設(shè)備中存儲(chǔ)或傳輸?shù)臄?shù)據(jù)，可能不會(huì)獲得任何優(yōu)勢(shì)或價(jià)值，然而攻擊者一旦篡改數(shù)據(jù)，則會(huì)引發(fā)一系列事故?！?/p>

了解攻擊者可能從未經(jīng)授權(quán)的設(shè)備中訪問(wèn)什么是設(shè)計(jì)保護(hù)的重要第一步。

4. 平衡安全性和用戶期望

物聯(lián)網(wǎng)設(shè)備通常被期望像家電一樣運(yùn)行：穩(wěn)定、可靠、全天候可用。它們不希望定期停機(jī)進(jìn)行維護(hù)。NIST指出：“物聯(lián)網(wǎng)設(shè)備對(duì)性能、可靠性、彈性和安全性的操作要求可能與傳統(tǒng)IT設(shè)備的網(wǎng)絡(luò)安全實(shí)踐相沖突?！?/p>

奇怪的是，用戶不會(huì)接受或理解物聯(lián)網(wǎng)設(shè)備經(jīng)過(guò)15分鐘安全補(bǔ)丁的休眠，而他們會(huì)接受智能手機(jī)或筆記本電腦的這種行為。使用冗余備份設(shè)備、有計(jì)劃的維護(hù)以及相關(guān)的教育活動(dòng)來(lái)解決這個(gè)問(wèn)題，使用戶的期望與安全需求保持一致。

5. 不負(fù)責(zé)任的供應(yīng)商

物聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)初衷是為了方便，但這種方便也帶來(lái)了風(fēng)險(xiǎn)。物聯(lián)網(wǎng)良好的網(wǎng)絡(luò)安全始于確保默認(rèn)的管理員或超級(jí)用戶能夠立即更改或禁用。阻斷和禁用通用即插即用(UPnP)功能，以及關(guān)閉經(jīng)常用于物聯(lián)網(wǎng)攻擊的非必要網(wǎng)絡(luò)端口，這都是值得采取的預(yù)防措施。

如果供應(yīng)商做不到呢?不部署。這些設(shè)備并不總是天生安全的。有些不允許你更改用戶名和密碼。一些最大的漏洞來(lái)自供應(yīng)商。

6. 內(nèi)部風(fēng)險(xiǎn)

LaHuis指出，內(nèi)部風(fēng)險(xiǎn)往往比外部實(shí)體構(gòu)成更大的威脅。這種內(nèi)部風(fēng)險(xiǎn)可能是雇員出于自己的目的故意顛覆設(shè)備，或者通過(guò)網(wǎng)絡(luò)釣魚(yú)或其他社會(huì)途徑被攻擊者操縱。“物聯(lián)網(wǎng)帶來(lái)了這個(gè)問(wèn)題的新形態(tài)——員工成為你的最后防線?！彼f(shuō)?！拔覀冋娴谋仨毤訌?qiáng)對(duì)該設(shè)備的使用權(quán)以及他們能用它做什么的關(guān)注?！?/p>

一般的網(wǎng)絡(luò)釣魚(yú)教育，往往側(cè)重于避免電子郵件和社交媒體詐騙，可能是不夠的。攻擊者可能會(huì)試圖哄騙員工重啟或調(diào)整設(shè)備，如果員工在該設(shè)備工作，他可能會(huì)認(rèn)為這是一個(gè)合理的要求。所以員工應(yīng)該得到明確的指示，明確誰(shuí)能授權(quán)與物聯(lián)網(wǎng)設(shè)備進(jìn)行交互，以及在沒(méi)有IT監(jiān)管的情況下，遇到什么情況可以對(duì)設(shè)備進(jìn)行任何調(diào)整。

7. 保衛(wèi)廢棄設(shè)備

未打補(bǔ)丁、被遺棄或被遺忘的物聯(lián)網(wǎng)設(shè)備的問(wèn)題變得如此嚴(yán)重，黑客活動(dòng)分子實(shí)際上用惡意軟件感染了未受保護(hù)的設(shè)備。一些攻擊者利用未修補(bǔ)的漏洞強(qiáng)行進(jìn)入，借用修補(bǔ)漏洞關(guān)閉網(wǎng)絡(luò)端口，以防止其他軟件進(jìn)入。物聯(lián)網(wǎng)保衛(wèi)戰(zhàn)略應(yīng)明確意識(shí)到這一風(fēng)險(xiǎn)，了解這些“灰帽黑客”的活動(dòng)，并在他們能夠采取行動(dòng)之前采取行動(dòng)。