減少物聯(lián)網(wǎng)攻擊面的六種方法

由于攻擊者的目標是不斷增長的物聯(lián)網(wǎng)攻擊面，企業(yè)可以通過以下六種最佳安全實踐降低風險。

物聯(lián)網(wǎng)是一個每天都在擴大的巨大攻擊面，這些設備通常充滿了基本的安全問題和高風險漏洞，它們正越來越頻繁地成為網(wǎng)絡犯罪分子的目標。

長期以來，許多人都將物聯(lián)網(wǎng)攻擊、分布式拒絕服務和加密挖掘僵尸網(wǎng)絡等低級威脅聯(lián)系在一起。但事實上，越來越多的勒索軟件、間諜和數(shù)據(jù)盜竊攻擊利用物聯(lián)網(wǎng)作為進入更大IT網(wǎng)絡，包括云在內(nèi)的初始接入點。高級的威脅行為者也在使用物聯(lián)網(wǎng)設備在這些網(wǎng)絡中實現(xiàn)持久性，同時逃避檢測。

在我們自己對部署在企業(yè)環(huán)境中的數(shù)百萬物聯(lián)網(wǎng)設備的分析中，我們發(fā)現(xiàn)高風險和關鍵漏洞都很普遍。一半的物聯(lián)網(wǎng)設備存在至少為8分的漏洞，20%的設備存在CVSS評分為9-10分的嚴重漏洞。與此同時，這些設備在密碼保護和固件管理方面也存在一些基本的安全故障。

雖然物聯(lián)網(wǎng)風險不能完全消除，但可以降低。以下是企業(yè)應該采取的幾個步驟。

創(chuàng)建全面、最新的資產(chǎn)清單

在我們的研究中，我們發(fā)現(xiàn)80%的企業(yè)安全團隊甚至無法識別其網(wǎng)絡上的大多數(shù)物聯(lián)網(wǎng)設備。這是一個驚人的數(shù)字，它表明了問題的嚴重性。如果一家企業(yè)甚至不知道其網(wǎng)絡上有哪些設備，那么在成功的物聯(lián)網(wǎng)攻擊后，它如何能夠保護這些設備免受攻擊？又將如何保護其it網(wǎng)絡免受橫向移動？

然而，物聯(lián)網(wǎng)盤點并不容易。傳統(tǒng)的IT發(fā)現(xiàn)工具從來都不是為物聯(lián)網(wǎng)設計的。網(wǎng)絡行為異常檢測系統(tǒng)監(jiān)聽跨端口上的流量，但大多數(shù)物聯(lián)網(wǎng)流量都是加密的，即使沒有加密，傳輸?shù)男畔⒁矝]有足夠的識別細節(jié)。

如果沒有任何細節(jié)，僅僅知道某臺打印機是不夠的，尤其是如果它存在需要修復的漏洞。傳統(tǒng)漏洞掃描器可以提供幫助，但它們通過發(fā)送格式錯誤的數(shù)據(jù)包進行操作，這對物聯(lián)網(wǎng)識別來說不太好，甚至會使物聯(lián)網(wǎng)設備離線。

更好的方法是通過查詢設備的母語來發(fā)現(xiàn)物聯(lián)網(wǎng)設備。這將允許企業(yè)創(chuàng)建一份包含物聯(lián)網(wǎng)設備詳細信息的清單，如設備版本、型號、固件版本、序列號、運行服務、證書和憑據(jù)。這使得企業(yè)能夠真正地補救這些風險，而不僅僅是發(fā)現(xiàn)它們。這也使他們能夠移除任何被美國政府認為高風險的設備，如華為、中興、?？低?、大華。

密碼安全至關重要

針對物聯(lián)網(wǎng)設備的攻擊很容易實施，因為許多物聯(lián)網(wǎng)設備仍然有默認密碼。我們發(fā)現(xiàn)，在大約50%的物聯(lián)網(wǎng)設備中都是如此，在特定類別的設備中，這一比例甚至更高。

例如，95%的音視頻設備物聯(lián)網(wǎng)設備都有默認密碼。即使設備不使用默認密碼，它們中的大多數(shù)在長達10年的時間里只修改過一次密碼。

理想情況下，物聯(lián)網(wǎng)設備應該有唯一的、復雜的密碼，每30天、60天或90天輪換一次。然而，并非所有設備都支持復雜密碼。一些較老的物聯(lián)網(wǎng)設備只能處理4位的pin碼，而其他設備只允許10個字符，還有一些不接受特殊字符。

重要的是要了解物聯(lián)網(wǎng)設備的所有細節(jié)和功能，這樣才能使用有效的密碼，并安全地進行更改。對于密碼參數(shù)較弱或無法提供任何級別的身份驗證的舊設備，請考慮使用更現(xiàn)代的產(chǎn)品替換這些設備，以實現(xiàn)更好的安全實踐。

管理設備的固件

大多數(shù)物聯(lián)網(wǎng)設備運行在過時的固件上，由于漏洞非常普遍，這會帶來嚴重的安全風險。固件漏洞使設備容易受到攻擊，包括商用惡意軟件、復雜的植入、遠程訪問攻擊、數(shù)據(jù)盜竊、勒索軟件、間諜活動，甚至物理破壞。而設備固件的平均壽命是6年，大約四分之一的設備已經(jīng)報廢，不再由供應商提供支持。

物聯(lián)網(wǎng)設備應使用供應商提供的最新固件版本和安全補丁進行更新。不可否認，這可能是一個挑戰(zhàn)，特別是在大型企業(yè)中，實際上有數(shù)十萬到數(shù)百萬個這樣的設備。但無論如何，必須采取措施來保證網(wǎng)絡的安全。企業(yè)物聯(lián)網(wǎng)安全平臺可以大規(guī)模自動化這一和其他安全流程。

然而，有時設備固件應該降級，而不是更新。當漏洞被廣泛利用，并且由于物聯(lián)網(wǎng)供應商通常比傳統(tǒng)IT設備制造商需要更長的時間來發(fā)布補丁，因此沒有可用的補丁時，建議暫時將設備降級到不包含漏洞的早期固件版本。

關閉外部連接并限制網(wǎng)絡訪問

物聯(lián)網(wǎng)設備通常很容易被發(fā)現(xiàn)，并且默認啟用了太多連接功能，如有線和無線連接、藍牙、其他協(xié)議、安全外殼和遠程登錄。這種混雜的訪問使得它們很容易成為外部攻擊者的目標。

對企業(yè)來說，像對It網(wǎng)絡一樣對物聯(lián)網(wǎng)進行系統(tǒng)加固非常重要。物聯(lián)網(wǎng)設備加固包括關閉這些無關的端口和不必要的功能。一些例子是運行安全外殼協(xié)議但不遠程登錄，使用有線以太網(wǎng)但不使用Wi-Fi，以及關閉藍牙。

企業(yè)也應該限制其在網(wǎng)絡之外進行通信的能力。這可以通過網(wǎng)絡防火墻、單向二極管、訪問控制列表和虛擬局域網(wǎng)在第2層和第3層完成。限制物聯(lián)網(wǎng)設備的互聯(lián)網(wǎng)接入將減輕依賴于安裝命令和控制惡意軟件，如勒索軟件和數(shù)據(jù)盜竊的攻擊。

確保證書有效

確保安全授權、加密和數(shù)據(jù)完整性的物聯(lián)網(wǎng)數(shù)字證書經(jīng)常過時，管理不善。這個問題甚至發(fā)生在關鍵的網(wǎng)絡設備上，比如無線接入點，這意味著即使是網(wǎng)絡的初始接入點也沒有得到適當?shù)谋Ｗo。

驗證這些證書的狀態(tài)并將其與證書管理解決方案集成非常重要，以便糾正可能發(fā)生的任何風險，如安全傳輸層協(xié)議、過期日期和自簽名。

注意環(huán)境漂移

一旦物聯(lián)網(wǎng)設備被安全加固，確保它們保持這種狀態(tài)是很重要的。由于固件更新、錯誤和人為干擾，設備設置和配置可能會隨著時間的推移而改變，因此環(huán)境漂移是一種常見現(xiàn)象。

需要注意的關鍵設備更改是重置為默認值的密碼或非PAM的其他憑證修改、固件降級以及突然重新打開的不安全服務。-----------------------------------------------------------峰會預告

近期，由千家網(wǎng)主辦的2022年第23屆中國國際建筑智能化峰會將正式拉開帷幕，本屆峰會主題為“數(shù)智賦能，碳索新未來”，屆時將攜手全球知名建筑智能化品牌及專家，共同分享AI、云計算、大數(shù)據(jù)、IoT、智慧城市、智能家居、智慧安防等熱點話題與最新技術應用，并探討如何打造“更低碳、更安全、更穩(wěn)定、更開放”的行業(yè)生態(tài)，助力“雙碳”目標的實現(xiàn)。

歡迎建筑智能化行業(yè)同仁報名參會，分享交流！

報名方式

上海站（11月23日）：https://www.huodongxing.com/event/3638582473900

北京站（11月25日）：https://www.huodongxing.com/event/4638577546900

廣州站（12月08日）：https://www.huodongxing.com/event/2638587914600

成都站（12月20日）：https://www.huodongxing.com/event/5657854318600

西安站（12月22日）：https://www.huodongxing.com/event/4638585444400

更多2022年峰會信息，詳見峰會官網(wǎng)：http://summit.qianjia.com/

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。