由于物聯(lián)網(wǎng)的攻擊面很大，并且缺乏安全性，因此黑客有更多機會進入組織的物聯(lián)網(wǎng)網(wǎng)絡。物聯(lián)網(wǎng)行業(yè)并沒有一套明確的安全標準，供開發(fā)人員和制造商構建一致的安全性，但是有許多安全最佳實踐。組織IT管理員可能會發(fā)現(xiàn)很難跟蹤和更新設備，而這些設備可能已經(jīng)運行多年。

黑客每天都在掃描網(wǎng)絡中的設備和已知漏洞，并越來越多地使用非標準端口來獲取網(wǎng)絡訪問權限。一旦他們擁有設備訪問權限，就更容易避開安全設備對惡意軟件或內(nèi)存進行的檢測。

IT管理員必須在其物聯(lián)網(wǎng)部署中解決五種常見的物聯(lián)網(wǎng)安全威脅，然后實施相應的策略來防止這些威脅：

1. 物聯(lián)網(wǎng)僵尸網(wǎng)絡

在2016年發(fā)生Mirai等重大的僵尸網(wǎng)絡攻擊之后，物聯(lián)網(wǎng)開發(fā)人員、管理員和安全人員積極采取措施來防止此類攻擊。僵尸網(wǎng)絡攻擊者發(fā)現(xiàn)物聯(lián)網(wǎng)設備是極具吸引力的目標，因為物聯(lián)網(wǎng)設備大多安全配置較弱，并且可以用于構建僵尸網(wǎng)絡。

網(wǎng)絡攻擊者可以通過不受保護的端口或網(wǎng)絡釣魚詐騙，用惡意軟件感染物聯(lián)網(wǎng)設備，并將其加入用于發(fā)起大規(guī)模網(wǎng)絡攻擊的物聯(lián)網(wǎng)僵尸網(wǎng)絡中。黑客可以很容易地在互聯(lián)網(wǎng)上找到惡意代碼，檢測易受攻擊的機器，或者向設備發(fā)出攻擊或竊取信息之前隱藏代碼。物聯(lián)網(wǎng)僵尸網(wǎng)絡也經(jīng)常用于分布式拒絕服務（DDoS）攻擊。

對于僵尸網(wǎng)絡攻擊的檢測并不容易，但是IT管理員可以采取幾個步驟來保護設備，例如保存每個設備的清單;遵循基本的網(wǎng)絡安全措施（例如身份驗證、定期更新和修補程序）;并在管理員將其添加到網(wǎng)絡之前確認物聯(lián)網(wǎng)設備符合安全標準和協(xié)議。網(wǎng)絡分段可以隔離物聯(lián)網(wǎng)設備，以保護其網(wǎng)絡不受僵尸設備的侵害。IT管理員可以監(jiān)視網(wǎng)絡活動以檢測僵尸網(wǎng)絡，并且一定不要忘記為整個設備生命周期（包括壽命終止）進行規(guī)劃。

2. DNS威脅

許多組織使用物聯(lián)網(wǎng)從原有機器上收集數(shù)據(jù)，這些機器并不總是按照更新的安全標準設計的。當組織將原有設備與物聯(lián)網(wǎng)相結合時，可能會使物聯(lián)網(wǎng)暴露在這些設備的一些漏洞中。物聯(lián)網(wǎng)設備連接通常依賴于域名系統(tǒng)（DNS），它可能無法處理可能增長到數(shù)千個設備的物聯(lián)網(wǎng)部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數(shù)據(jù)或引入惡意軟件。

IT管理員可以使用域名系統(tǒng)安全擴展（DNSSEC）確保DNS漏洞不會對物聯(lián)網(wǎng)安全構成威脅。這些規(guī)范通過數(shù)字簽名保護DNS，以確保數(shù)據(jù)準確無誤。當物聯(lián)網(wǎng)設備連接到網(wǎng)絡以進行軟件更新時，域名系統(tǒng)安全擴展（DNSSEC）會檢查更新是否到達了預期的位置而沒有惡意重定向。組織必須升級協(xié)議標準，包括MQ遙測傳輸，并檢查協(xié)議升級與整個網(wǎng)絡的兼容性。組織還可以使用多個DNS服務和附加的安全服務層。

3. 物聯(lián)網(wǎng)勒索軟件

隨著連接到組織網(wǎng)絡的不安全設備的數(shù)量增加，物聯(lián)網(wǎng)勒索軟件攻擊也在增加。黑客采用惡意軟件感染設備，將它們變成僵尸網(wǎng)絡，探測接入點或在設備固件中搜索有效憑證，以便他們侵入網(wǎng)絡。

通過物聯(lián)網(wǎng)設備的網(wǎng)絡訪問，網(wǎng)絡攻擊者可以將數(shù)據(jù)泄露到云中，并威脅要保持、刪除或公開數(shù)據(jù)（除非支付贖金）。但有時支付贖金還不足以使組織收回所有數(shù)據(jù)，勒索軟件會自動刪除文件。勒索軟件會影響政府機構或重要部門，例如政府服務或食品供應商。

IT管理員可采取的防止勒索軟件攻擊的基本策略，其中包括部署前評估設備漏洞、停用不需要的服務、定期數(shù)據(jù)備份、安裝災難恢復程序、進行網(wǎng)絡分段和部署網(wǎng)絡監(jiān)控工具。

4. 物聯(lián)網(wǎng)物理安全

雖然網(wǎng)絡攻擊者似乎不太可能實際接觸到物聯(lián)網(wǎng)設備，但是IT管理員在制定物聯(lián)網(wǎng)安全策略時一定不要忘記這種可能性。黑客可以竊取設備，打開設備并連接電路和端口以侵入網(wǎng)絡。IT管理員只能部署經(jīng)過身份驗證的設備來應對，并且只允許授權和經(jīng)過身份驗證的設備訪問。

為了采取物理安全措施，組織應將設備放在防篡改盒中，并刪除制造商可能在零件上包括的所有設備信息，例如型號或默認密碼。物聯(lián)網(wǎng)設計人員應將導體埋在多層電路板中，以防止黑客輕易接入。如果黑客確實篡改了設備，則它應具有禁用功能，例如在打開時實行短路。

5. 影子物聯(lián)網(wǎng)

IT管理員不能總是控制哪些設備連接到他們的網(wǎng)絡，這就造成了一種名為“影子物聯(lián)網(wǎng)”的物聯(lián)網(wǎng)安全威脅。例如健身跟蹤器、數(shù)字助理或無線打印機等具有IP地址的設備，可以增加個人便利或協(xié)助員工工作，但它們不一定符合組織的安全標準。

如果不了解影子物聯(lián)網(wǎng)設備，IT管理員就無法確保硬件和軟件具有基本的安全功能，也無法監(jiān)控設備是否存在惡意流量。當黑客訪問這些設備時，他們可以使用權限提升來訪問組織網(wǎng)絡上的敏感信息，或?qū)⑦@些設備用于僵尸網(wǎng)絡或DDoS攻擊。

當員工向網(wǎng)絡添加設備時，IT管理員可以制定適當?shù)牟呗詠硐拗朴白游锫?lián)網(wǎng)的威脅。對管理員來說，擁有所有連接設備的清單也很重要。他們可以使用IP地址管理工具或設備發(fā)現(xiàn)工具來跟蹤任何新的連接，并隔離或阻止不熟悉的設備。
責編AJX