信息化觀察網(wǎng)

越來(lái)越多的連網(wǎng)設(shè)備使組織面臨更多的安全風(fēng)險(xiǎn)。盡管如此，近乎一半的IT和安全決策者表示，在企業(yè)網(wǎng)絡(luò)中部署物聯(lián)網(wǎng)設(shè)備時(shí)，網(wǎng)絡(luò)安全是事后的想法。

根據(jù)IoT Analytics報(bào)告，到2025年，已安裝的物聯(lián)網(wǎng)設(shè)備數(shù)量將從現(xiàn)在的約70億增加到210億臺(tái)以上。由于存在更多漏洞，因此數(shù)據(jù)泄露的機(jī)會(huì)也將相應(yīng)增多。

為了降低物聯(lián)網(wǎng)設(shè)備帶來(lái)的額外安全風(fēng)險(xiǎn)，請(qǐng)實(shí)施以下措施。

物聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)

物聯(lián)網(wǎng)設(shè)備尤其危險(xiǎn)，因?yàn)樗鼈兺ǔＮ挥跀?shù)字世界和物理世界的交匯處，因此，入侵物聯(lián)網(wǎng)設(shè)備會(huì)帶來(lái)危險(xiǎn)的現(xiàn)實(shí)后果。黑客攻擊基礎(chǔ)設(shè)施的例子包括破壞發(fā)電站、水處理廠、煉油廠、鐵路等。

物聯(lián)網(wǎng)設(shè)備的主要風(fēng)險(xiǎn)后果是：

▲失去客戶信任，導(dǎo)致聲譽(yù)、銷售損失

▲由勒索軟件造成的經(jīng)濟(jì)損失

▲在火災(zāi)、爆炸或生產(chǎn)設(shè)施中斷后恢復(fù)正常運(yùn)行的財(cái)務(wù)成本

▲業(yè)務(wù)連續(xù)性的長(zhǎng)期缺失導(dǎo)致破產(chǎn)

▲因違反數(shù)據(jù)隱私條例而被監(jiān)管機(jī)構(gòu)處罰

數(shù)據(jù)泄露示例

通過(guò)受損物聯(lián)網(wǎng)設(shè)備引發(fā)的數(shù)據(jù)泄露的最新示例包括：

▲賭場(chǎng)數(shù)據(jù)泄露。通過(guò)Wi-Fi連接的水族館智能溫度計(jì)，黑客進(jìn)入賭場(chǎng)網(wǎng)絡(luò)，檢索有關(guān)高價(jià)值客戶的數(shù)據(jù)，然后通過(guò)溫度傳感器將數(shù)據(jù)發(fā)送到云中。

▲Equifax被黑客竊取了近半美國(guó)人（約1.43億）的信用信息數(shù)據(jù)。這次黑客攻擊之所以成功，是因?yàn)锳pache Struts漏洞已經(jīng)存在了幾個(gè)月，但Equifax未能及時(shí)修復(fù)。

▲Mirai惡意軟件將易受攻擊的Linux物聯(lián)網(wǎng)設(shè)備招募到僵尸網(wǎng)絡(luò)中，然后發(fā)布導(dǎo)致多個(gè)網(wǎng)站崩潰的大型DDoS攻擊。惡意軟件搜索仍使用出廠默認(rèn)用戶名和密碼的物聯(lián)網(wǎng)設(shè)備，然后為其所用。

▲德克薩斯州達(dá)拉斯市156個(gè)緊急警報(bào)在午夜響起。這次黑客通過(guò)無(wú)線電控制系統(tǒng)發(fā)送了一條假警報(bào)指令。

▲一家經(jīng)營(yíng)物聯(lián)網(wǎng)智能家居設(shè)備管理平臺(tái)的中國(guó)公司。安全研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)與該公司智能家居產(chǎn)品相關(guān)的開放式數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)中包含超過(guò)20億條日志，記錄了包括用戶名、電子郵件地址、密碼、精確定位在內(nèi)的所有內(nèi)容。只要數(shù)據(jù)庫(kù)保持打開狀態(tài)，每天可用的數(shù)據(jù)量就會(huì)不斷增加。

物聯(lián)網(wǎng)設(shè)備的好處

商業(yè)物聯(lián)網(wǎng)設(shè)備的好處在于，通過(guò)它們收集的數(shù)據(jù)，可以提高業(yè)務(wù)績(jī)效以及產(chǎn)品和服務(wù)的能力。

物聯(lián)網(wǎng)設(shè)備的快速增長(zhǎng)之所以發(fā)生，是因?yàn)槠涫菇M織可以輕松獲得以下數(shù)據(jù)：

▲組織流程的運(yùn)行狀況和性能，示例包括供應(yīng)鏈、分銷或制造。

▲產(chǎn)品在用戶手中的有效性，例如使用頻率、停機(jī)或即將出現(xiàn)的問(wèn)題。

▲內(nèi)部系統(tǒng)的性能，例如吞吐量、崩潰、常見(jiàn)錯(cuò)誤或數(shù)據(jù)質(zhì)量。

降低物聯(lián)網(wǎng)風(fēng)險(xiǎn)的管理措施

降低因物聯(lián)網(wǎng)設(shè)備受損而導(dǎo)致的數(shù)據(jù)泄露或設(shè)施損壞風(fēng)險(xiǎn)的管理措施包括：

▲不要等到數(shù)據(jù)泄露事件發(fā)生后才采取措施。

▲擴(kuò)大安全專業(yè)人員（CSO/CISO）的職責(zé)范圍，將移動(dòng)和物聯(lián)網(wǎng)應(yīng)用的安全包含在內(nèi)。

▲為安全專業(yè)人員提供足夠的資源來(lái)執(zhí)行計(jì)算基礎(chǔ)架構(gòu)的日志記錄、監(jiān)控和報(bào)告任務(wù)。

▲避免對(duì)開發(fā)團(tuán)隊(duì)施加過(guò)大的壓力以快速發(fā)布應(yīng)用程序。這種壓力會(huì)導(dǎo)致安全功能開發(fā)和測(cè)試不足。

▲加強(qiáng)流程和系統(tǒng)以跟蹤和管理物聯(lián)網(wǎng)設(shè)備。

降低物聯(lián)網(wǎng)風(fēng)險(xiǎn)的技術(shù)措施

降低因物聯(lián)網(wǎng)設(shè)備受損而導(dǎo)致的數(shù)據(jù)泄露或設(shè)施損壞風(fēng)險(xiǎn)的技術(shù)措施包括：

▲快速修補(bǔ)所有設(shè)備，因?yàn)檐浖?yīng)商提供此類修補(bǔ)程序。惡意軟件創(chuàng)建者會(huì)跟蹤軟件供應(yīng)商的補(bǔ)丁公告，因?yàn)檫@些公告描述了惡意軟件創(chuàng)建者可以利用的漏洞。WannaCry勒索軟件攻擊就是一個(gè)很好例子。

▲通過(guò)使用最新的防病毒和防惡意軟件功能來(lái)防御惡意活動(dòng)。

▲使用強(qiáng)身份驗(yàn)證進(jìn)行操作。

▲更改所有出廠默認(rèn)的用戶名和密碼。這些憑證廣為人知，因?yàn)樗形锫?lián)網(wǎng)設(shè)備都附帶有這些憑證，以便于設(shè)置。

▲摒棄“如果它沒(méi)有壞，就不要修復(fù)它”的態(tài)度，這種態(tài)度會(huì)讓漏洞持續(xù)存在。

▲保護(hù)物聯(lián)網(wǎng)設(shè)備免受未經(jīng)授權(quán)的物理訪問(wèn)。

▲不要購(gòu)買缺乏修補(bǔ)功能的物聯(lián)網(wǎng)設(shè)備。

▲關(guān)閉遠(yuǎn)程登錄端口。