由于物聯網的攻擊面很大，并且缺乏安全性，因此黑客有更多機會進入組織的物聯網網絡。物聯網行業(yè)并沒有一套明確的安全標準，供開發(fā)人員和制造商構建一致的安全性，但是有許多安全最佳實踐。IT管理員必須在其物聯網部署中解決五種常見的物聯網安全威脅，然后實施相應的策略來防止這些威脅。

對于一些組織來說，遭遇物聯網安全攻擊的沉重教訓令人難忘，例如物聯網僵尸網絡，但其他安全問題可能不容易想到，例如DNS威脅和物理設備攻擊。

由于物聯網的攻擊面很大，并且缺乏安全性，因此黑客有更多機會進入組織的物聯網網絡。物聯網行業(yè)并沒有一套明確的安全標準，供開發(fā)人員和制造商構建一致的安全性，但是有許多安全最佳實踐。組織IT管理員可能會發(fā)現很難跟蹤和更新設備，而這些設備可能已經運行多年。

黑客每天都在掃描網絡中的設備和已知漏洞，并越來越多地使用非標準端口來獲取網絡訪問權限。一旦他們擁有設備訪問權限，就更容易避開安全設備對惡意軟件或內存進行的檢測。

IT管理員必須在其物聯網部署中解決五種常見的物聯網安全威脅，然后實施相應的策略來防止這些威脅：

1.物聯網僵尸網絡

在2016年發(fā)生Mirai等重大的僵尸網絡攻擊之后，物聯網開發(fā)人員、管理員和安全人員積極采取措施來防止此類攻擊。僵尸網絡攻擊者發(fā)現物聯網設備是極具吸引力的目標，因為物聯網設備大多安全配置較弱，并且可以用于構建僵尸網絡。

網絡攻擊者可以通過不受保護的端口或網絡釣魚詐騙，用惡意軟件感染物聯網設備，并將其加入用于發(fā)起大規(guī)模網絡攻擊的物聯網僵尸網絡中。黑客可以很容易地在互聯網上找到惡意代碼，檢測易受攻擊的機器，或者向設備發(fā)出攻擊或竊取信息之前隱藏代碼。物聯網僵尸網絡也經常用于分布式拒絕服務(DDoS)攻擊。

對于僵尸網絡攻擊的檢測并不容易，但是IT管理員可以采取幾個步驟來保護設備，例如保存每個設備的清單；遵循基本的網絡安全措施(例如身份驗證、定期更新和修補程序)；并在管理員將其添加到網絡之前確認物聯網設備符合安全標準和協(xié)議。網絡分段可以隔離物聯網設備，以保護其網絡不受僵尸設備的侵害。IT管理員可以監(jiān)視網絡活動以檢測僵尸網絡，并且一定不要忘記為整個設備生命周期(包括壽命終止)進行規(guī)劃。

2.DNS威脅

許多組織使用物聯網從原有機器上收集數據，這些機器并不總是按照更新的安全標準設計的。當組織將原有設備與物聯網相結合時，可能會使物聯網暴露在這些設備的一些漏洞中。物聯網設備連接通常依賴于域名系統(tǒng)(DNS)，它可能無法處理可能增長到數千個設備的物聯網部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數據或引入惡意軟件。

IT管理員可以使用域名系統(tǒng)安全擴展(DNSSEC)確保DNS漏洞不會對物聯網安全構成威脅。這些規(guī)范通過數字簽名保護DNS，以確保數據準確無誤。當物聯網設備連接到網絡以進行軟件更新時，域名系統(tǒng)安全擴展(DNSSEC)會檢查更新是否到達了預期的位置而沒有惡意重定向。組織必須升級協(xié)議標準，包括MQ遙測傳輸，并檢查協(xié)議升級與整個網絡的兼容性。組織還可以使用多個DNS服務和附加的安全服務層。

3.物聯網勒索軟件

隨著連接到組織網絡的不安全設備的數量增加，物聯網勒索軟件攻擊也在增加。黑客采用惡意軟件感染設備，將它們變成僵尸網絡，探測接入點或在設備固件中搜索有效憑證，以便他們侵入網絡。

通過物聯網設備的網絡訪問，網絡攻擊者可以將數據泄露到云中，并威脅要保持、刪除或公開數據(除非支付贖金)。但有時支付贖金還不足以使組織收回所有數據，勒索軟件會自動刪除文件。勒索軟件會影響政府機構或重要部門，例如政府服務或食品供應商。

IT管理員可采取的防止勒索軟件攻擊的基本策略，其中包括部署前評估設備漏洞、停用不需要的服務、定期數據備份、安裝災難恢復程序、進行網絡分段和部署網絡監(jiān)控工具。

4.物聯網物理安全

雖然網絡攻擊者似乎不太可能實際接觸到物聯網設備，但是IT管理員在制定物聯網安全策略時一定不要忘記這種可能性。黑客可以竊取設備，打開設備并連接電路和端口以侵入網絡。IT管理員只能部署經過身份驗證的設備來應對，并且只允許授權和經過身份驗證的設備訪問。

為了采取物理安全措施，組織應將設備放在防篡改盒中，并刪除制造商可能在零件上包括的所有設備信息，例如型號或默認密碼。物聯網設計人員應將導體埋在多層電路板中，以防止黑客輕易接入。如果黑客確實篡改了設備，則它應具有禁用功能，例如在打開時實行短路。

5.影子物聯網

IT管理員不能總是控制哪些設備連接到他們的網絡，這就造成了一種名為“影子物聯網”的物聯網安全威脅。例如健身跟蹤器、數字助理或無線打印機等具有IP地址的設備，可以增加個人便利或協(xié)助員工工作，但它們不一定符合組織的安全標準。

如果不了解影子物聯網設備，IT管理員就無法確保硬件和軟件具有基本的安全功能，也無法監(jiān)控設備是否存在惡意流量。當黑客訪問這些設備時，他們可以使用權限提升來訪問組織網絡上的敏感信息，或將這些設備用于僵尸網絡或DDoS攻擊。

當員工向網絡添加設備時，IT管理員可以制定適當的策略來限制影子物聯網的威脅。對管理員來說，擁有所有連接設備的清單也很重要。他們可以使用IP地址管理工具或設備發(fā)現工具來跟蹤任何新的連接，并隔離或阻止不熟悉的設備。

責任編輯：lq