作者：Mary K. Pratt | Jessica Lulka，發(fā)布于2023年6月27日

什么是物聯(lián)網(wǎng)攻擊面？

主要物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

如何防范物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

物聯(lián)網(wǎng)終端已經(jīng)成為黑客攻擊的主要目標(biāo)。

事實(shí)上，F(xiàn)orrester Research在其《2023年物聯(lián)網(wǎng)安全狀況》報(bào)告中得出結(jié)論，物聯(lián)網(wǎng)設(shè)備是報(bào)告最多的外部攻擊目標(biāo)；他們比移動(dòng)設(shè)備或計(jì)算機(jī)受到的攻擊更多。

考慮到保護(hù)物聯(lián)網(wǎng)生態(tài)系統(tǒng)的挑戰(zhàn)，這并不奇怪。

首先，物聯(lián)網(wǎng)行業(yè)沒(méi)有一套明確的安全標(biāo)準(zhǔn)供開(kāi)發(fā)人員和制造商構(gòu)建一致的安全性。IT管理員經(jīng)常發(fā)現(xiàn)很難跟蹤和更新設(shè)備，這些設(shè)備可能會(huì)在現(xiàn)場(chǎng)保留多年。

與此同時(shí)，黑客掃描網(wǎng)絡(luò)中的設(shè)備和已知漏洞，并越來(lái)越多地使用非標(biāo)準(zhǔn)端口來(lái)獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限。 一旦他們擁有設(shè)備訪問(wèn)權(quán)限，就可以更輕松地通過(guò)設(shè)備上的無(wú)文件惡意軟件或軟件內(nèi)存避免被檢測(cè)到。

因此，IT管理員必須在其物聯(lián)網(wǎng)部署中解決許多物聯(lián)網(wǎng)安全威脅，然后實(shí)施預(yù)防策略。

什么是物聯(lián)網(wǎng)攻擊面？

在基本層面上，攻擊面是未經(jīng)授權(quán)的系統(tǒng)訪問(wèn)的入口點(diǎn)總數(shù)。物聯(lián)網(wǎng)攻擊面不僅限于入口點(diǎn)，還包括物聯(lián)網(wǎng)設(shè)備、互聯(lián)軟件和網(wǎng)絡(luò)連接的所有可能的安全漏洞。

人們對(duì)物聯(lián)網(wǎng)設(shè)備安全的關(guān)注包括攻擊者不僅可以破壞物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)和軟件，還可以破壞設(shè)備本身。此外，物聯(lián)網(wǎng)設(shè)備的更新速度，往往快于安全、可靠連接的流程和協(xié)議的更新。

企業(yè)組織可以采取一些措施來(lái)保護(hù)物聯(lián)網(wǎng)攻擊面，但這需要專(zhuān)業(yè)人員和專(zhuān)業(yè)知識(shí)來(lái)制定適當(dāng)?shù)牟呗裕灾鲃?dòng)檢測(cè)威脅并被動(dòng)地應(yīng)用措施來(lái)縮小攻擊面的規(guī)模。

主要物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

以下是六個(gè)常見(jiàn)的物聯(lián)網(wǎng)漏洞和六個(gè)構(gòu)成最重大風(fēng)險(xiǎn)的外部威脅。

不斷擴(kuò)大的攻擊面

對(duì)企業(yè)組織保護(hù)其物聯(lián)網(wǎng)環(huán)境的最大威脅之一是其龐大的規(guī)模。 每個(gè)研究人員對(duì)世界上實(shí)際聯(lián)網(wǎng)設(shè)備數(shù)量的估計(jì)各不相同，但這些設(shè)備的數(shù)量一直在數(shù)十億，并且還在不斷增長(zhǎng)。 例如，IoT Analytics網(wǎng)站在其"State of IoT -- Spring 2023" report報(bào)告中預(yù)計(jì)，2022 年活躍物聯(lián)網(wǎng)端點(diǎn)數(shù)量為143億個(gè)，比上一年增長(zhǎng)18%。IoT Analytics預(yù)計(jì)，到2023年，全球聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量將增長(zhǎng)16%，達(dá)到167億個(gè)活躍端點(diǎn)。

當(dāng)然，單個(gè)組織需要保護(hù)的設(shè)備要少得多。盡管如此，這個(gè)數(shù)字仍然在快速增加。最近由Ponemon Institute進(jìn)行并由Adaptiva贊助的一份報(bào)告"Managing Risks and Costs at the Edge"發(fā)現(xiàn)，每個(gè)組織平均管理著大約135,000臺(tái)端點(diǎn)設(shè)備。 此外，物聯(lián)網(wǎng)設(shè)備通常全天候（24/7）運(yùn)行，其中許多（盡管不是全部）持續(xù)連接。

不安全硬件

單個(gè)終端設(shè)備可能會(huì)給整個(gè)IoT生態(tài)系統(tǒng)，甚至是企業(yè)的IT環(huán)境的安全帶來(lái)風(fēng)險(xiǎn)。由于在算力和低功耗設(shè)計(jì)上的局限性，嵌入式設(shè)備往往缺乏內(nèi)生安全機(jī)制。因此，許多設(shè)備無(wú)法支持身份驗(yàn)證、加密和訪問(wèn)控制等安全功能。而且，即使終端設(shè)備確實(shí)具有一些安全控制（例如密碼），一些企業(yè)組織仍然在不使用或啟用這些可用安全選項(xiàng)的情況下部署它們。

維護(hù)和更新挑戰(zhàn)

維護(hù)設(shè)備、更新軟件所面臨的挑戰(zhàn)會(huì)產(chǎn)生更多的安全漏洞。這里有一些促成因素。首先，設(shè)備供應(yīng)商可能不會(huì)愿意提供更新，例如用于解決黑客可能利用的漏洞的安全補(bǔ)丁，特別是如果設(shè)備是舊型號(hào)的話。 其次，由于連接限制以及設(shè)備有限的計(jì)算和供電能力可能導(dǎo)致無(wú)法更新現(xiàn)場(chǎng)部署的設(shè)備。

缺少資產(chǎn)管理

即使可以進(jìn)行更新，企業(yè)組織也可能不知道他們是否有需要更新的設(shè)備。Ponemon Institute的報(bào)告發(fā)現(xiàn)，大多數(shù)企業(yè)組織無(wú)法了解其所有物聯(lián)網(wǎng)設(shè)備部署；事實(shí)上，其調(diào)查顯示，平均48%的設(shè)備（即每個(gè)組織近65,000臺(tái)）面臨風(fēng)險(xiǎn)，因?yàn)樗鼈儭安辉俦唤M織的IT部門(mén)檢測(cè)到，或者終端設(shè)備的操作系統(tǒng)已經(jīng)過(guò)時(shí)”。該報(bào)告進(jìn)一步發(fā)現(xiàn)，63%的受訪者認(rèn)為，“缺乏對(duì)終端設(shè)備的可見(jiàn)性是實(shí)現(xiàn)強(qiáng)大安全態(tài)勢(shì)的最大障礙”。

影子IoT

還有一個(gè)潛在的風(fēng)險(xiǎn)是影子IoT，即在沒(méi)有IT或安全部門(mén)官方支持或許可的情況下部署的物聯(lián)網(wǎng)設(shè)備。 這些未經(jīng)批準(zhǔn)的物聯(lián)網(wǎng)設(shè)備可能是具有IP地址的個(gè)人物品，例如健身追蹤器或數(shù)字助理，也可能是企業(yè)組織的設(shè)備，例如無(wú)線打印機(jī)。無(wú)論哪種方式，它們都會(huì)給企業(yè)帶來(lái)風(fēng)險(xiǎn)，因?yàn)樗鼈兛赡懿环辖M織的安全標(biāo)準(zhǔn)，即使?jié)M足，它們的配置和部署也可能不遵循安全最佳實(shí)踐。此外，IT管理員和安全團(tuán)隊(duì)通常缺乏對(duì)這些部署的了解，因此可能不會(huì)監(jiān)控它們或其流量，從而使黑客更有可能在不被發(fā)現(xiàn)的情況下成功破壞它們。

未加密的數(shù)據(jù)傳輸

物聯(lián)網(wǎng)設(shè)備在測(cè)量和記錄大量數(shù)據(jù)。它們將大部分?jǐn)?shù)據(jù)發(fā)送到集中位置（通常在云端）進(jìn)行處理、分析和存儲(chǔ)；有時(shí)候，設(shè)備還會(huì)收到控制命令，以便實(shí)現(xiàn)某種操作。Palo Alto Networks 2020年的一份報(bào)告發(fā)現(xiàn)，98%的物聯(lián)網(wǎng)設(shè)備流量未加密，“在網(wǎng)絡(luò)上暴露個(gè)人和機(jī)密數(shù)據(jù)，使攻擊者能夠監(jiān)聽(tīng)未加密的網(wǎng)絡(luò)流量、收集個(gè)人或機(jī)密信息，然后利用該數(shù)據(jù)在暗網(wǎng)上牟利。”

IoT僵尸網(wǎng)絡(luò)

除了漏洞之外，還存在來(lái)自IoT外部的威脅。僵尸網(wǎng)絡(luò)就是此類(lèi)威脅之一。企業(yè)IT和安全領(lǐng)導(dǎo)者始終將其列為繼近十年前出現(xiàn)的Mirai等主要僵尸網(wǎng)絡(luò)攻擊之后的首要威脅。

在此類(lèi)攻擊中，攻擊者通過(guò)未受保護(hù)的端口或網(wǎng)絡(luò)釣魚(yú)軟件感染IoT設(shè)備，并將其納入IoT僵尸網(wǎng)絡(luò)，用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。黑客可以輕松地在互聯(lián)網(wǎng)上找到惡意代碼，這些代碼可以檢測(cè)易受攻擊的機(jī)器，或者在另一個(gè)代碼模塊向設(shè)備發(fā)出信號(hào)以發(fā)起攻擊或竊取信息之前隱藏代碼以防止檢測(cè)。

IoT僵尸網(wǎng)絡(luò)經(jīng)常用于DDoS攻擊，以淹沒(méi)目標(biāo)的網(wǎng)絡(luò)流量。僵尸網(wǎng)絡(luò)編排者發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備是一個(gè)有吸引力的目標(biāo)，因?yàn)榘踩渲幂^弱，并且可以委托給用于目標(biāo)組織的僵尸網(wǎng)絡(luò)的設(shè)備數(shù)量很多。2023年《諾基亞威脅情報(bào)報(bào)告》發(fā)現(xiàn)，參與僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的DDoS攻擊的物聯(lián)網(wǎng)機(jī)器人數(shù)量比上一年從約20萬(wàn)臺(tái)設(shè)備增加到100萬(wàn)臺(tái)設(shè)備。

DNS威脅

許多企業(yè)組織使用IoT從沒(méi)有最新安全標(biāo)準(zhǔn)的舊機(jī)器收集數(shù)據(jù)。當(dāng)組織將舊設(shè)備與IoT相結(jié)合時(shí)，可能會(huì)使網(wǎng)絡(luò)面臨舊設(shè)備漏洞的威脅。IoT設(shè)備連接通常依賴(lài)于DNS，這是20世紀(jì)80年代的一種去中心化命名系統(tǒng)，它可能無(wú)法處理可能增長(zhǎng)到數(shù)千臺(tái)設(shè)備的IoT部署規(guī)模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來(lái)獲取數(shù)據(jù)或引入惡意軟件。

惡意節(jié)點(diǎn)注入

黑客還可以通過(guò)將虛假節(jié)點(diǎn)插入或注入合法連接節(jié)點(diǎn)的網(wǎng)絡(luò)來(lái)攻擊物聯(lián)網(wǎng)生態(tài)系統(tǒng)，從而使黑客能夠改變和/或控制虛假節(jié)點(diǎn)和合法節(jié)點(diǎn)之間的數(shù)據(jù)流，并最終控制網(wǎng)絡(luò)中的所有節(jié)點(diǎn)。

IoT勒索軟件

隨著連接到企業(yè)網(wǎng)絡(luò)的不安全設(shè)備數(shù)量增加，物聯(lián)網(wǎng)勒索軟件攻擊也隨之增加。黑客用惡意軟件感染設(shè)備，將其變成僵尸網(wǎng)絡(luò)，探測(cè)接入點(diǎn)或在設(shè)備固件中搜索可用于進(jìn)入網(wǎng)絡(luò)的有效憑據(jù)。

通過(guò)物聯(lián)網(wǎng)設(shè)備進(jìn)行網(wǎng)絡(luò)訪問(wèn)，攻擊者可以將數(shù)據(jù)泄露到云端，并威脅要保留、刪除或公開(kāi)數(shù)據(jù)，除非支付贖金。 有時(shí)，付款不足以讓組織取回所有數(shù)據(jù)，勒索軟件無(wú)論如何都會(huì)自動(dòng)刪除文件。勒索軟件可能會(huì)影響企業(yè)或重要組織，例如政府服務(wù)或食品供應(yīng)商。

篡改物理設(shè)備

另一個(gè)風(fēng)險(xiǎn)是黑客篡改物理設(shè)備。這可能意味著攻擊者可以物理訪問(wèn)物聯(lián)網(wǎng)設(shè)備以竊取數(shù)據(jù)，篡改設(shè)備以在其上安裝惡意軟件，或者訪問(wèn)其端口和內(nèi)部電路以侵入組織網(wǎng)絡(luò)。

固件漏洞

黑客可以針對(duì)IoT設(shè)備中的已知固件漏洞，就像他們針對(duì)組織IT環(huán)境中部署的軟件漏洞一樣。

如何防范物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

IT團(tuán)隊(duì)必須采取多重方法來(lái)緩解物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。企業(yè)組織可以實(shí)施更廣泛的最佳實(shí)踐和策略，但管理員還應(yīng)該針對(duì)不同類(lèi)型的IoT攻擊制定具體的防御措施。

IoT安全是策略執(zhí)行和軟件的結(jié)合，用于檢測(cè)和解決任何威脅。

監(jiān)督IoT設(shè)備的IT團(tuán)隊(duì)?wèi)?yīng)該針對(duì)網(wǎng)絡(luò)上的任何設(shè)備制定強(qiáng)大的密碼策略，并使用威脅檢測(cè)軟件來(lái)預(yù)測(cè)任何潛在的攻擊。

他們還應(yīng)該有一個(gè)全面的資產(chǎn)檢測(cè)和管理計(jì)劃。IT團(tuán)隊(duì)對(duì)企業(yè)中部署的終端設(shè)備以及設(shè)備上的數(shù)據(jù)了解越多，主動(dòng)檢測(cè)安全風(fēng)險(xiǎn)和威脅就越容易。

IT管理員可以用來(lái)防止安全攻擊和實(shí)現(xiàn)彈性的基本策略包括設(shè)備漏洞評(píng)估、禁用不需要的服務(wù)、定期數(shù)據(jù)備份、災(zāi)難恢復(fù)程序、網(wǎng)絡(luò)分段和網(wǎng)絡(luò)監(jiān)控工具。

IT管理員可以通過(guò)DNS安全擴(kuò)展(DNSSEC) 確保DNS漏洞不會(huì)對(duì)IoT安全構(gòu)成威脅。這些規(guī)范通過(guò)數(shù)字簽名保護(hù)DNS，確保數(shù)據(jù)準(zhǔn)確且未經(jīng)修改。當(dāng)IoT設(shè)備連接到網(wǎng)絡(luò)進(jìn)行軟件更新時(shí)，DNSSEC會(huì)檢查更新是否到達(dá)預(yù)期位置，而沒(méi)有被惡意重定向。組織必須升級(jí)協(xié)議標(biāo)準(zhǔn)，包括MQTT，并檢查協(xié)議升級(jí)與整個(gè)網(wǎng)絡(luò)的兼容性。IT管理員可以使用多個(gè)DNS服務(wù)來(lái)實(shí)現(xiàn)連續(xù)性和額外的安全層。

此外，組織應(yīng)遵循基本的網(wǎng)絡(luò)安全措施，例如身份驗(yàn)證、定期更新和補(bǔ)丁，并在將IoT設(shè)備添加到網(wǎng)絡(luò)之前確認(rèn)其符合安全標(biāo)準(zhǔn)和協(xié)議。

數(shù)據(jù)保護(hù)策略是提高IoT安全性的另一種方法。IT團(tuán)隊(duì)可以通過(guò)使用可視化工具、數(shù)據(jù)分類(lèi)系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私措施和日志管理系統(tǒng)來(lái)幫助確保數(shù)據(jù)安全。

對(duì)于物理安全措施，組織應(yīng)將設(shè)備放置在防篡改的盒子中，并刪除制造商可能在部件上包含的任何設(shè)備信息，例如型號(hào)或密碼。物聯(lián)網(wǎng)設(shè)計(jì)人員應(yīng)將導(dǎo)體埋入多層電路板中，以防止黑客輕易訪問(wèn)。如果黑客確實(shí)篡改了設(shè)備，那么設(shè)備應(yīng)該具有禁用功能，例如打開(kāi)時(shí)短路。

審核編輯：黃飛

?