近幾年物聯(lián)網(wǎng)應(yīng)用規(guī)模的急速擴(kuò)張，令攻擊者將其視作為一個(gè)絕佳的目標(biāo)，由于物聯(lián)網(wǎng)設(shè)備的安全屬性此前并未受到足夠的重視，因此當(dāng)前所運(yùn)轉(zhuǎn)的大量設(shè)備中所潛藏的除了基本的安全問題之外，還有許多高風(fēng)險(xiǎn)的漏洞，而它們正越來越頻繁地被攻擊者利用，甚至也成為了國家背景黑客組織的攻擊目標(biāo)。

　　據(jù)工業(yè)網(wǎng)絡(luò)安全企業(yè)Claroty表示，與2021年下半年相比，2022年上半年在擴(kuò)展物聯(lián)網(wǎng)（XIoT）產(chǎn)品中發(fā)現(xiàn)的漏洞增長(zhǎng)了57%。同時(shí)，來自另外一家物聯(lián)網(wǎng)安全企業(yè)Phosphorus根據(jù)其部署在企業(yè)環(huán)境中的數(shù)百萬IoT設(shè)備的分析中，發(fā)現(xiàn)其存在高風(fēng)險(xiǎn)和關(guān)鍵漏洞的情況非常普遍，有差不多50%的物聯(lián)網(wǎng)設(shè)備存在8分（CVSS評(píng)，下同）以上的漏洞，有20%的設(shè)備則存在9-10分的關(guān)鍵漏洞，而與此同時(shí)，這些設(shè)備在密碼保護(hù)和固件管理方面也存在有較大的安全問題。

　　由此可見，物聯(lián)網(wǎng)風(fēng)險(xiǎn)形勢(shì)已經(jīng)愈發(fā)嚴(yán)峻，但需要指出的是，正如很多行業(yè)、場(chǎng)景一樣，我們雖然無法消除所有的風(fēng)險(xiǎn)，但至少可以降低，在經(jīng)過整理后，我們認(rèn)為以下六種方法將會(huì)有利于幫助企業(yè)降低自身物聯(lián)網(wǎng)設(shè)備的攻擊面。

　　1 建立完整的資產(chǎn)清單并及時(shí)更新

　　對(duì)于安全來說，任何時(shí)候最基礎(chǔ)的工作就是做好資產(chǎn)發(fā)現(xiàn)、梳理工作，“你沒辦法保護(hù)你看不到的東西。”這句話在幾乎所有的安全領(lǐng)域中都適用。

　　根據(jù)Phosphorus的報(bào)告顯示，有近八成的企業(yè)安全團(tuán)隊(duì)無法識(shí)別他們網(wǎng)絡(luò)中的多數(shù)物聯(lián)網(wǎng)設(shè)備，這個(gè)數(shù)字的確非常驚人，在這樣的條件下還有什么安全可言？這意味著攻擊者入侵成功后在其設(shè)備間可以肆意地橫向移動(dòng)甚至波及IT網(wǎng)絡(luò)。

　　當(dāng)然， 物聯(lián)網(wǎng)設(shè)備的資產(chǎn)清點(diǎn)并不容易，因?yàn)閭鹘y(tǒng)的IT資產(chǎn)發(fā)現(xiàn)工具從來都不是為了物聯(lián)網(wǎng)而設(shè)計(jì)的，由于物聯(lián)網(wǎng)的流量大多都是加密的，因此傳統(tǒng)的網(wǎng)絡(luò)行為檢測(cè)系統(tǒng)難以識(shí)別，

　　更好的方法是通過查詢?cè)O(shè)備所使用的本機(jī)語言發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備，這將允許組織創(chuàng)建一個(gè)包含物聯(lián)網(wǎng)設(shè)備詳細(xì)信息的清單，如設(shè)備版本、型號(hào)、固件版本、序列號(hào)、運(yùn)行服務(wù)、證書和憑據(jù)，這使得企業(yè)除了發(fā)現(xiàn)他們之外，還有利于發(fā)現(xiàn)問題并在必要時(shí)對(duì)風(fēng)險(xiǎn)進(jìn)行補(bǔ)救。

　　2 做好設(shè)備密碼管理，避免初始密碼用一生

　　物聯(lián)網(wǎng)設(shè)備還有一個(gè)非常普遍的不安全特征，那就是初始密碼，相信有大量已在運(yùn)行的物聯(lián)網(wǎng)設(shè)備仍在使用初始密碼，因此針對(duì)它們的攻擊就很容易實(shí)施。根據(jù)數(shù)家物聯(lián)網(wǎng)安全企業(yè)發(fā)布近幾年發(fā)布的報(bào)告數(shù)據(jù)綜合來看，在運(yùn)行的物聯(lián)網(wǎng)設(shè)備中，仍使用初始密碼的比例大約在50%，如果是在一些特定類別的設(shè)備（如一些音視頻類的物聯(lián)網(wǎng)設(shè)備）中，這一比例甚至還會(huì)更高一些。而即便是不使用初始密碼，在其整個(gè)設(shè)備使用的生命周期中，大多也只修改過一次密碼，是的，就是剛開始使用時(shí)變更設(shè)置的那一次。

　　在理想情況下，所有的物聯(lián)網(wǎng)設(shè)備都應(yīng)該有自己唯一且復(fù)雜的密碼，還要做到每一個(gè)月、一個(gè)季度進(jìn)行一次更改，對(duì)于那些只能支持4位密碼的老式物聯(lián)網(wǎng)設(shè)備，更改的頻率最好還要更密集一些。當(dāng)然，如果成本不是太高，還是建議使用更新且支持復(fù)雜密碼的設(shè)備對(duì)那些老式設(shè)備進(jìn)行替換，因?yàn)閺陌踩慕嵌群饬浚绻蜻@些老設(shè)備的弱口令問題導(dǎo)致安全事件發(fā)生，其帶來的損失可能還會(huì)遠(yuǎn)遠(yuǎn)高于更換設(shè)備的成本。

　　3 做好設(shè)備的固件管理

　　固件也是物聯(lián)網(wǎng)設(shè)備面臨安全風(fēng)險(xiǎn)的一大入口，而與其相關(guān)的漏洞時(shí)常都會(huì)被發(fā)現(xiàn)，證明這是一個(gè)普遍性問題。固件漏洞是令設(shè)備容易遭受攻擊的常見弱點(diǎn)，包括惡意軟件、后門程序、遠(yuǎn)程

　　大多數(shù)物聯(lián)網(wǎng)設(shè)備運(yùn)行在過時(shí)的固件上，這帶來了重大的安全風(fēng)險(xiǎn)，因?yàn)槁┒捶浅Ｆ毡?。固件漏洞使設(shè)備容易受到攻擊，包括商用惡意軟件、復(fù)雜的植入和后門、遠(yuǎn)程代碼執(zhí)行、數(shù)據(jù)竊取、勒索軟件甚至物理破壞等等，在一般情況下，一個(gè)設(shè)備的固件壽命大概是6年左右，超過這個(gè)時(shí)間之后，供應(yīng)商一般不會(huì)在提供支持維護(hù)。

　　同所有連接網(wǎng)絡(luò)的軟硬件設(shè)備一樣，物聯(lián)網(wǎng)設(shè)備也應(yīng)及時(shí)使用供應(yīng)商提供的最新固件版本和安全補(bǔ)丁進(jìn)行更新，但不可否認(rèn)，這的確可能是一個(gè)挑戰(zhàn)，特別是在大型組織中，它們會(huì)有數(shù)十萬到數(shù)百萬個(gè)這樣的設(shè)備?？杉幢闳绱?，越是大型企業(yè)就越是必須采取措施來保證網(wǎng)絡(luò)的安全。

　　此外，需注意的是有時(shí)設(shè)備固件可能會(huì)采取降級(jí)的措施以保障安全，而不是更新，偶爾當(dāng)一個(gè)漏洞被廣泛利用，而沒有可用的補(bǔ)?。ㄎ锫?lián)網(wǎng)供應(yīng)商發(fā)布補(bǔ)丁的時(shí)間間隔通常比傳統(tǒng)IT設(shè)備供應(yīng)商更久），那么暫時(shí)將設(shè)備降級(jí)到不包含該漏洞的較早固件版本反而是可取的。

　　4 實(shí)施嚴(yán)格的訪問控制

　　并切斷與設(shè)備運(yùn)轉(zhuǎn)非必需的網(wǎng)絡(luò)連接

　　很多物聯(lián)網(wǎng)設(shè)備都具備很多種連接網(wǎng)絡(luò)的方式，如有線和無線網(wǎng)絡(luò)連接、藍(lán)牙、telnet等等，這種混雜多樣的網(wǎng)絡(luò)連接就很容易被外部攻擊者所利用。因而對(duì)企業(yè)來說，像對(duì)待IT網(wǎng)絡(luò)那樣去對(duì)系統(tǒng)進(jìn)行加固就非常重要，包括關(guān)閉一些無用的端口和不必要的功能，比如既然使用了有線以太網(wǎng)連接，那就無須開啟WiFi，藍(lán)牙功能如不常用也應(yīng)關(guān)閉。

　　限制物聯(lián)網(wǎng)設(shè)備的互聯(lián)網(wǎng)接入將減輕依賴于安裝命令和控制惡意軟件類（如勒索軟件和數(shù)據(jù)竊取）的攻擊。

　　5 確保證書有效

　　確保安全授權(quán)、加密和數(shù)據(jù)完整性的物聯(lián)網(wǎng)數(shù)字證書經(jīng)常會(huì)出現(xiàn)管理不善、過時(shí)的情況，這個(gè)問題有時(shí)甚至?xí)l(fā)生在一些關(guān)鍵的網(wǎng)絡(luò)設(shè)備上，如無線網(wǎng)絡(luò)接入點(diǎn)等等，這意味網(wǎng)絡(luò)的初始接入點(diǎn)就沒有得到足夠的保護(hù)。因此，要驗(yàn)證這些證書的狀態(tài)并管理起來，這方面可以有一些證書管理類的解決方案可以利用，有利于糾正可能發(fā)生的風(fēng)險(xiǎn)，如TLS版本、過期日期等。

　　6 設(shè)備加固后要關(guān)注后期可能會(huì)出現(xiàn)的各種變化

　　一旦物聯(lián)網(wǎng)設(shè)備被安全加固，確保它們保持這種加固狀態(tài)是很重要的。設(shè)備的設(shè)置和配置可能會(huì)隨著時(shí)間的推移而改變，因?yàn)榘ü碳?、操作錯(cuò)誤或人為破壞等多種可能性導(dǎo)致設(shè)備出現(xiàn)問題。

　　這方面尤其是要注意關(guān)鍵設(shè)備可能會(huì)出現(xiàn)的重要更改，比如權(quán)限的設(shè)定、因設(shè)備重置導(dǎo)致密碼恢復(fù)為初始默認(rèn)的狀態(tài)等，還包括可以的賬戶口令修改、固件調(diào)整以及突然重啟等一些不安全的行為。

　　數(shù)字化進(jìn)程的加速在推動(dòng)發(fā)展的同時(shí)，眾多行業(yè)、領(lǐng)域的攻擊面也在加速擴(kuò)大，雖然形勢(shì)都非常嚴(yán)峻，但至少目前看并非缺少應(yīng)對(duì)之策，重點(diǎn)是在于這些對(duì)策是否在執(zhí)行，而且是在有效執(zhí)行，否則就等同于將企業(yè)的大門主動(dòng)向攻擊者打開。物聯(lián)網(wǎng)安全領(lǐng)域目前面臨的挑戰(zhàn)的確比傳統(tǒng)IT領(lǐng)域更多，但I(xiàn)T領(lǐng)域在安全方面的成功經(jīng)驗(yàn)依然可以借鑒，比如文中提到的資產(chǎn)清單、密碼管理以及固件管理等等，都被證明是有效的，雖然它們無法阻擋住所有的攻擊，但在收斂攻擊面，降低遭受攻擊的可能性方面仍能發(fā)揮巨大作用，值得參考和運(yùn)用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<