近幾年物聯(lián)網(wǎng)應(yīng)用規(guī)模的急速擴張，令攻擊者將其視作為一個絕佳的目標，由于物聯(lián)網(wǎng)設(shè)備的安全屬性此前并未受到足夠的重視，因此當前所運轉(zhuǎn)的大量設(shè)備中所潛藏的除了基本的安全問題之外，還有許多高風險的漏洞，而它們正越來越頻繁地被攻擊者利用，甚至也成為了國家背景黑客組織的攻擊目標。

　　據(jù)工業(yè)網(wǎng)絡(luò)安全企業(yè)Claroty表示，與2021年下半年相比，2022年上半年在擴展物聯(lián)網(wǎng)（XIoT）產(chǎn)品中發(fā)現(xiàn)的漏洞增長了57%。同時，來自另外一家物聯(lián)網(wǎng)安全企業(yè)Phosphorus根據(jù)其部署在企業(yè)環(huán)境中的數(shù)百萬IoT設(shè)備的分析中，發(fā)現(xiàn)其存在高風險和關(guān)鍵漏洞的情況非常普遍，有差不多50%的物聯(lián)網(wǎng)設(shè)備存在8分（CVSS評，下同）以上的漏洞，有20%的設(shè)備則存在9-10分的關(guān)鍵漏洞，而與此同時，這些設(shè)備在密碼保護和固件管理方面也存在有較大的安全問題。

　　由此可見，物聯(lián)網(wǎng)風險形勢已經(jīng)愈發(fā)嚴峻，但需要指出的是，正如很多行業(yè)、場景一樣，我們雖然無法消除所有的風險，但至少可以降低，在經(jīng)過整理后，我們認為以下六種方法將會有利于幫助企業(yè)降低自身物聯(lián)網(wǎng)設(shè)備的攻擊面。

　　1 建立完整的資產(chǎn)清單并及時更新

　　對于安全來說，任何時候最基礎(chǔ)的工作就是做好資產(chǎn)發(fā)現(xiàn)、梳理工作，“你沒辦法保護你看不到的東西。”這句話在幾乎所有的安全領(lǐng)域中都適用。

　　根據(jù)Phosphorus的報告顯示，有近八成的企業(yè)安全團隊無法識別他們網(wǎng)絡(luò)中的多數(shù)物聯(lián)網(wǎng)設(shè)備，這個數(shù)字的確非常驚人，在這樣的條件下還有什么安全可言？這意味著攻擊者入侵成功后在其設(shè)備間可以肆意地橫向移動甚至波及IT網(wǎng)絡(luò)。

　　當然， 物聯(lián)網(wǎng)設(shè)備的資產(chǎn)清點并不容易，因為傳統(tǒng)的IT資產(chǎn)發(fā)現(xiàn)工具從來都不是為了物聯(lián)網(wǎng)而設(shè)計的，由于物聯(lián)網(wǎng)的流量大多都是加密的，因此傳統(tǒng)的網(wǎng)絡(luò)行為檢測系統(tǒng)難以識別，

　　更好的方法是通過查詢設(shè)備所使用的本機語言發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備，這將允許組織創(chuàng)建一個包含物聯(lián)網(wǎng)設(shè)備詳細信息的清單，如設(shè)備版本、型號、固件版本、序列號、運行服務(wù)、證書和憑據(jù)，這使得企業(yè)除了發(fā)現(xiàn)他們之外，還有利于發(fā)現(xiàn)問題并在必要時對風險進行補救。

　　2 做好設(shè)備密碼管理，避免初始密碼用一生

　　物聯(lián)網(wǎng)設(shè)備還有一個非常普遍的不安全特征，那就是初始密碼，相信有大量已在運行的物聯(lián)網(wǎng)設(shè)備仍在使用初始密碼，因此針對它們的攻擊就很容易實施。根據(jù)數(shù)家物聯(lián)網(wǎng)安全企業(yè)發(fā)布近幾年發(fā)布的報告數(shù)據(jù)綜合來看，在運行的物聯(lián)網(wǎng)設(shè)備中，仍使用初始密碼的比例大約在50%，如果是在一些特定類別的設(shè)備（如一些音視頻類的物聯(lián)網(wǎng)設(shè)備）中，這一比例甚至還會更高一些。而即便是不使用初始密碼，在其整個設(shè)備使用的生命周期中，大多也只修改過一次密碼，是的，就是剛開始使用時變更設(shè)置的那一次。

　　在理想情況下，所有的物聯(lián)網(wǎng)設(shè)備都應(yīng)該有自己唯一且復(fù)雜的密碼，還要做到每一個月、一個季度進行一次更改，對于那些只能支持4位密碼的老式物聯(lián)網(wǎng)設(shè)備，更改的頻率最好還要更密集一些。當然，如果成本不是太高，還是建議使用更新且支持復(fù)雜密碼的設(shè)備對那些老式設(shè)備進行替換，因為從安全的角度衡量，如果因這些老設(shè)備的弱口令問題導致安全事件發(fā)生，其帶來的損失可能還會遠遠高于更換設(shè)備的成本。

　　3 做好設(shè)備的固件管理

　　固件也是物聯(lián)網(wǎng)設(shè)備面臨安全風險的一大入口，而與其相關(guān)的漏洞時常都會被發(fā)現(xiàn)，證明這是一個普遍性問題。固件漏洞是令設(shè)備容易遭受攻擊的常見弱點，包括惡意軟件、后門程序、遠程

　　大多數(shù)物聯(lián)網(wǎng)設(shè)備運行在過時的固件上，這帶來了重大的安全風險，因為漏洞非常普遍。固件漏洞使設(shè)備容易受到攻擊，包括商用惡意軟件、復(fù)雜的植入和后門、遠程代碼執(zhí)行、數(shù)據(jù)竊取、勒索軟件甚至物理破壞等等，在一般情況下，一個設(shè)備的固件壽命大概是6年左右，超過這個時間之后，供應(yīng)商一般不會在提供支持維護。

　　同所有連接網(wǎng)絡(luò)的軟硬件設(shè)備一樣，物聯(lián)網(wǎng)設(shè)備也應(yīng)及時使用供應(yīng)商提供的最新固件版本和安全補丁進行更新，但不可否認，這的確可能是一個挑戰(zhàn)，特別是在大型組織中，它們會有數(shù)十萬到數(shù)百萬個這樣的設(shè)備?？杉幢闳绱?，越是大型企業(yè)就越是必須采取措施來保證網(wǎng)絡(luò)的安全。

　　此外，需注意的是有時設(shè)備固件可能會采取降級的措施以保障安全，而不是更新，偶爾當一個漏洞被廣泛利用，而沒有可用的補丁（物聯(lián)網(wǎng)供應(yīng)商發(fā)布補丁的時間間隔通常比傳統(tǒng)IT設(shè)備供應(yīng)商更久），那么暫時將設(shè)備降級到不包含該漏洞的較早固件版本反而是可取的。

　　4 實施嚴格的訪問控制

　　并切斷與設(shè)備運轉(zhuǎn)非必需的網(wǎng)絡(luò)連接

　　很多物聯(lián)網(wǎng)設(shè)備都具備很多種連接網(wǎng)絡(luò)的方式，如有線和無線網(wǎng)絡(luò)連接、藍牙、telnet等等，這種混雜多樣的網(wǎng)絡(luò)連接就很容易被外部攻擊者所利用。因而對企業(yè)來說，像對待IT網(wǎng)絡(luò)那樣去對系統(tǒng)進行加固就非常重要，包括關(guān)閉一些無用的端口和不必要的功能，比如既然使用了有線以太網(wǎng)連接，那就無須開啟WiFi，藍牙功能如不常用也應(yīng)關(guān)閉。

　　限制物聯(lián)網(wǎng)設(shè)備的互聯(lián)網(wǎng)接入將減輕依賴于安裝命令和控制惡意軟件類（如勒索軟件和數(shù)據(jù)竊取）的攻擊。

　　5 確保證書有效

　　確保安全授權(quán)、加密和數(shù)據(jù)完整性的物聯(lián)網(wǎng)數(shù)字證書經(jīng)常會出現(xiàn)管理不善、過時的情況，這個問題有時甚至會發(fā)生在一些關(guān)鍵的網(wǎng)絡(luò)設(shè)備上，如無線網(wǎng)絡(luò)接入點等等，這意味網(wǎng)絡(luò)的初始接入點就沒有得到足夠的保護。因此，要驗證這些證書的狀態(tài)并管理起來，這方面可以有一些證書管理類的解決方案可以利用，有利于糾正可能發(fā)生的風險，如TLS版本、過期日期等。

　　6 設(shè)備加固后要關(guān)注后期可能會出現(xiàn)的各種變化

　　一旦物聯(lián)網(wǎng)設(shè)備被安全加固，確保它們保持這種加固狀態(tài)是很重要的。設(shè)備的設(shè)置和配置可能會隨著時間的推移而改變，因為包括固件更新、操作錯誤或人為破壞等多種可能性導致設(shè)備出現(xiàn)問題。

　　這方面尤其是要注意關(guān)鍵設(shè)備可能會出現(xiàn)的重要更改，比如權(quán)限的設(shè)定、因設(shè)備重置導致密碼恢復(fù)為初始默認的狀態(tài)等，還包括可以的賬戶口令修改、固件調(diào)整以及突然重啟等一些不安全的行為。

　　數(shù)字化進程的加速在推動發(fā)展的同時，眾多行業(yè)、領(lǐng)域的攻擊面也在加速擴大，雖然形勢都非常嚴峻，但至少目前看并非缺少應(yīng)對之策，重點是在于這些對策是否在執(zhí)行，而且是在有效執(zhí)行，否則就等同于將企業(yè)的大門主動向攻擊者打開。物聯(lián)網(wǎng)安全領(lǐng)域目前面臨的挑戰(zhàn)的確比傳統(tǒng)IT領(lǐng)域更多，但IT領(lǐng)域在安全方面的成功經(jīng)驗依然可以借鑒，比如文中提到的資產(chǎn)清單、密碼管理以及固件管理等等，都被證明是有效的，雖然它們無法阻擋住所有的攻擊，但在收斂攻擊面，降低遭受攻擊的可能性方面仍能發(fā)揮巨大作用，值得參考和運用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<