研究表明，2017年物聯(lián)網(wǎng)設(shè)備的數(shù)量超過了全球人口數(shù)量，并開始得以廣泛普及。但是，其中許多物聯(lián)網(wǎng)設(shè)備都沒有考慮到安全性。網(wǎng)絡(luò)攻擊者很快就利用了物聯(lián)網(wǎng)設(shè)備的漏洞。

在2016年的一個案例中，網(wǎng)絡(luò)威脅攻擊者中斷了Dyn公司的服務(wù)，Dyn公司是一家為Twitter、Spotify、Netflix、Reddit、Etsy、Github和其他主要品牌管理網(wǎng)絡(luò)流量的公司。網(wǎng)絡(luò)威脅參與者植入Mirai惡意軟件，以征用10多萬臺設(shè)備(網(wǎng)絡(luò)攝像頭、DVR等)作為僵尸設(shè)備，對Dyn公司的服務(wù)器發(fā)起大規(guī)模攻擊。

如今，有多少物聯(lián)網(wǎng)設(shè)備可能面臨網(wǎng)絡(luò)攻擊?全球約有123億臺設(shè)備連接到互聯(lián)網(wǎng)。那么可能會人們忘記的物聯(lián)網(wǎng)設(shè)備呢?它們還在連接到企業(yè)的網(wǎng)絡(luò)嗎?有什么風(fēng)險(xiǎn)?更重要的是，企業(yè)能做些什么呢?以下來了解一下。

物聯(lián)網(wǎng)面臨的威脅

物聯(lián)網(wǎng)設(shè)備存在于企業(yè)、家庭、醫(yī)院、政府機(jī)構(gòu)、車隊(duì)以及基本上任何連接存在的地方。2020年，美國家庭平均使用10臺物聯(lián)網(wǎng)設(shè)備。那么一家擁有1000名員工的公司連接了多少臺物聯(lián)網(wǎng)設(shè)備?

快速的生產(chǎn)時間和短暫的生命周期使物聯(lián)網(wǎng)爆炸式增長成為安全團(tuán)隊(duì)的擔(dān)憂。仍在使用的原有設(shè)備可能不再接收安全的軟件更新。新設(shè)備仍然是零日攻擊和其他威脅形式的主要風(fēng)險(xiǎn)。

最近，研究人員在用于邊緣計(jì)算的消息引擎和多協(xié)議消息總線NanoMQ中發(fā)現(xiàn)了一個漏洞。NanoMQ在智能手表、汽車、火災(zāi)探測器、患者監(jiān)測和安全系統(tǒng)的傳感器中捕獲實(shí)時數(shù)據(jù)。這一大規(guī)模漏洞導(dǎo)致超過1億臺設(shè)備存在漏洞。

許多公司擔(dān)心由于遠(yuǎn)程工作和混合工作結(jié)構(gòu)而增加的網(wǎng)絡(luò)風(fēng)險(xiǎn)。然而，巨大的物聯(lián)網(wǎng)攻擊面也應(yīng)該在關(guān)注列表中排名靠前。

物聯(lián)網(wǎng)安全威脅影響

2021年上半年，智能設(shè)備遭受了15億次網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)攻擊者希望竊取敏感數(shù)據(jù)、加密劫持設(shè)備或構(gòu)建僵尸網(wǎng)絡(luò)。他們甚至可以從連接到發(fā)生遠(yuǎn)程工作的家庭網(wǎng)絡(luò)的設(shè)備訪問企業(yè)資產(chǎn)。

考慮CVE-2021-28372這一漏洞使威脅參與者能夠遠(yuǎn)程破壞受害者的物聯(lián)網(wǎng)設(shè)備。從那里，網(wǎng)絡(luò)攻擊者可以竊聽實(shí)時音頻、觀看實(shí)時視頻并竊取設(shè)備憑據(jù)以進(jìn)行更深入的網(wǎng)絡(luò)滲透。

對企業(yè)最好的勒索軟件保護(hù)不僅僅是阻止網(wǎng)絡(luò)釣魚攻擊。安全領(lǐng)導(dǎo)者還應(yīng)該考慮他們的物聯(lián)網(wǎng)生態(tài)系統(tǒng)。一些人認(rèn)為可以通過重啟設(shè)備來阻止劫持或鎖定設(shè)備的惡意軟件。但如果重新打開一個物聯(lián)網(wǎng)燈泡，最終可能會數(shù)據(jù)泄露。

監(jiān)管會解決嗎?

由于安全和隱私問題都受到威脅，物聯(lián)網(wǎng)監(jiān)管引起了監(jiān)管機(jī)構(gòu)的強(qiáng)烈興趣。一項(xiàng)重大的國際努力正在努力建立物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。截至目前，在美國這方面的主要指導(dǎo)來自NIST，加州也有自己的監(jiān)管法律。2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案規(guī)范了政府對此類設(shè)備的采購。

由于許多設(shè)備或設(shè)備部件來自海外，監(jiān)管變得更加復(fù)雜。而僅靠監(jiān)管并不能保護(hù)數(shù)字資產(chǎn)。

智能燈泡的安全問題

即使是智能燈泡也可能是網(wǎng)絡(luò)漏洞端點(diǎn)。這怎么可能發(fā)生?以下是它的工作原理：

(1)網(wǎng)絡(luò)攻擊者遠(yuǎn)距離接管智能燈泡功能。然后，他們可以更改燈泡亮度或使其打開和關(guān)閉。這使認(rèn)為燈泡不工作。在控制應(yīng)用程序上，燈泡顯示為無法訪問。

(2)如果所有者重新打開燈泡并且應(yīng)用程序重新發(fā)現(xiàn)它，則攻擊者可以將受感染的燈泡添加到網(wǎng)絡(luò)中。

(3)受感染的燈泡隨后可以安裝惡意軟件，以實(shí)現(xiàn)IP網(wǎng)絡(luò)滲透和惡意軟件傳播。

關(guān)于保護(hù)物聯(lián)網(wǎng)的智慧是否有效?

通常建議保護(hù)物聯(lián)網(wǎng)設(shè)備的傳統(tǒng)方法包括：

• 盡快安裝固件更新。更新中的補(bǔ)丁有助于防止零日攻擊。
• 始終更改預(yù)裝密碼。使用包含大寫和小寫字母、數(shù)字和符號的復(fù)雜密碼。
• 一旦認(rèn)為設(shè)備運(yùn)行異常，需要立即重新啟動。它可能有助于擺脫現(xiàn)有的惡意軟件。
• 使對物聯(lián)網(wǎng)設(shè)備的訪問受到本地虛擬專用網(wǎng)絡(luò)的限制。這可以防止公共互聯(lián)網(wǎng)暴露。
• 使用威脅數(shù)據(jù)源來阻止??來自惡意網(wǎng)絡(luò)地址的網(wǎng)絡(luò)連接。
• 將未打補(bǔ)丁的設(shè)備保存在未經(jīng)授權(quán)的用戶無法訪問的單獨(dú)網(wǎng)絡(luò)中。在理想情況下，應(yīng)該停用、銷毀或回收無法修補(bǔ)的設(shè)備。

雖然其中一些技巧可能有用，但也有一些可能弊大于利，而設(shè)備重啟甚至可以啟用惡意軟件感染。

物聯(lián)網(wǎng)安全的零信任最佳實(shí)踐

物聯(lián)網(wǎng)安全挑戰(zhàn)是一個更大問題的一部分。簡而言之，幾乎不存在組織邊界。部署了如此多的物聯(lián)網(wǎng)設(shè)備并有大量的員工開展遠(yuǎn)程工作，因此需要一個新的愿景。

例如，零信任架構(gòu)將邊界帶到最遠(yuǎn)的一端，無論是用戶、設(shè)備、應(yīng)用程序還是試圖獲得網(wǎng)絡(luò)訪問權(quán)限的API。在可以驗(yàn)證身份和真實(shí)性之前，應(yīng)該能夠拒絕訪問作為默認(rèn)位置。

對于采用零信任方法的企業(yè)，需要考慮采用安全訪問服務(wù)邊緣(SASE)服務(wù)。SASE在邊緣建立云計(jì)算交付的安全性，更靠近訪問企業(yè)資源的用戶和設(shè)備。這將軟件定義的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全整合到一個單一的、基于云的服務(wù)中。

SASE具有集成的邊緣計(jì)算安全性，是一種零信任模型，旨在滿足混合工作的勞動力和各種物聯(lián)網(wǎng)環(huán)境的需求。鑒于當(dāng)今快速的設(shè)備擴(kuò)展和流動的組織邊界，企業(yè)將尋求安全解決方案(例如零信任)以保證安全。