近幾年物聯(lián)網(wǎng)應(yīng)用規(guī)模的急速擴(kuò)張,令攻擊者將其視作為一個(gè)絕佳的目標(biāo),由于物聯(lián)網(wǎng)設(shè)備的安全屬性此前并未受到足夠的重視,,因此當(dāng)前所運(yùn)轉(zhuǎn)的大量設(shè)備中所潛藏的除了基本的安全問(wèn)題之外,,還有許多高風(fēng)險(xiǎn)的漏洞,而它們正越來(lái)越頻繁地被攻擊者利用,,甚至也成為了國(guó)家背景黑客組織的攻擊目標(biāo)。
據(jù)工業(yè)網(wǎng)絡(luò)安全企業(yè)Claroty表示,與2021年下半年相比,,2022年上半年在擴(kuò)展物聯(lián)網(wǎng)(XIoT)產(chǎn)品中發(fā)現(xiàn)的漏洞增長(zhǎng)了57%。同時(shí),,來(lái)自另外一家物聯(lián)網(wǎng)安全企業(yè)Phosphorus根據(jù)其部署在企業(yè)環(huán)境中的數(shù)百萬(wàn)IoT設(shè)備的分析中,,發(fā)現(xiàn)其存在高風(fēng)險(xiǎn)和關(guān)鍵漏洞的情況非常普遍,有差不多50%的物聯(lián)網(wǎng)設(shè)備存在8分(CVSS評(píng),,下同)以上的漏洞,,有20%的設(shè)備則存在9-10分的關(guān)鍵漏洞,而與此同時(shí),,這些設(shè)備在密碼保護(hù)和固件管理方面也存在有較大的安全問(wèn)題,。
由此可見,物聯(lián)網(wǎng)風(fēng)險(xiǎn)形勢(shì)已經(jīng)愈發(fā)嚴(yán)峻,,但需要指出的是,,正如很多行業(yè)、場(chǎng)景一樣,,我們雖然無(wú)法消除所有的風(fēng)險(xiǎn),,但至少可以降低,在經(jīng)過(guò)整理后,,我們認(rèn)為以下六種方法將會(huì)有利于幫助企業(yè)降低自身物聯(lián)網(wǎng)設(shè)備的攻擊面,。
1 建立完整的資產(chǎn)清單并及時(shí)更新
對(duì)于安全來(lái)說(shuō),任何時(shí)候最基礎(chǔ)的工作就是做好資產(chǎn)發(fā)現(xiàn),、梳理工作,,“你沒(méi)辦法保護(hù)你看不到的東西,。”這句話在幾乎所有的安全領(lǐng)域中都適用,。
根據(jù)Phosphorus的報(bào)告顯示,,有近八成的企業(yè)安全團(tuán)隊(duì)無(wú)法識(shí)別他們網(wǎng)絡(luò)中的多數(shù)物聯(lián)網(wǎng)設(shè)備,這個(gè)數(shù)字的確非常驚人,,在這樣的條件下還有什么安全可言,?這意味著攻擊者入侵成功后在其設(shè)備間可以肆意地橫向移動(dòng)甚至波及IT網(wǎng)絡(luò)。
當(dāng)然,, 物聯(lián)網(wǎng)設(shè)備的資產(chǎn)清點(diǎn)并不容易,,因?yàn)閭鹘y(tǒng)的IT資產(chǎn)發(fā)現(xiàn)工具從來(lái)都不是為了物聯(lián)網(wǎng)而設(shè)計(jì)的,由于物聯(lián)網(wǎng)的流量大多都是加密的,,因此傳統(tǒng)的網(wǎng)絡(luò)行為檢測(cè)系統(tǒng)難以識(shí)別,,
更好的方法是通過(guò)查詢?cè)O(shè)備所使用的本機(jī)語(yǔ)言發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備,這將允許組織創(chuàng)建一個(gè)包含物聯(lián)網(wǎng)設(shè)備詳細(xì)信息的清單,,如設(shè)備版本,、型號(hào)、固件版本,、序列號(hào),、運(yùn)行服務(wù)、證書和憑據(jù),,這使得企業(yè)除了發(fā)現(xiàn)他們之外,,還有利于發(fā)現(xiàn)問(wèn)題并在必要時(shí)對(duì)風(fēng)險(xiǎn)進(jìn)行補(bǔ)救。
2 做好設(shè)備密碼管理,,避免初始密碼用一生
物聯(lián)網(wǎng)設(shè)備還有一個(gè)非常普遍的不安全特征,,那就是初始密碼,相信有大量已在運(yùn)行的物聯(lián)網(wǎng)設(shè)備仍在使用初始密碼,,因此針對(duì)它們的攻擊就很容易實(shí)施,。根據(jù)數(shù)家物聯(lián)網(wǎng)安全企業(yè)發(fā)布近幾年發(fā)布的報(bào)告數(shù)據(jù)綜合來(lái)看,在運(yùn)行的物聯(lián)網(wǎng)設(shè)備中,,仍使用初始密碼的比例大約在50%,,如果是在一些特定類別的設(shè)備(如一些音視頻類的物聯(lián)網(wǎng)設(shè)備)中,這一比例甚至還會(huì)更高一些,。而即便是不使用初始密碼,,在其整個(gè)設(shè)備使用的生命周期中,大多也只修改過(guò)一次密碼,,是的,,就是剛開始使用時(shí)變更設(shè)置的那一次。
在理想情況下,所有的物聯(lián)網(wǎng)設(shè)備都應(yīng)該有自己唯一且復(fù)雜的密碼,,還要做到每一個(gè)月,、一個(gè)季度進(jìn)行一次更改,對(duì)于那些只能支持4位密碼的老式物聯(lián)網(wǎng)設(shè)備,,更改的頻率最好還要更密集一些,。當(dāng)然,如果成本不是太高,,還是建議使用更新且支持復(fù)雜密碼的設(shè)備對(duì)那些老式設(shè)備進(jìn)行替換,,因?yàn)閺陌踩慕嵌群饬浚绻蜻@些老設(shè)備的弱口令問(wèn)題導(dǎo)致安全事件發(fā)生,,其帶來(lái)的損失可能還會(huì)遠(yuǎn)遠(yuǎn)高于更換設(shè)備的成本。
3 做好設(shè)備的固件管理
固件也是物聯(lián)網(wǎng)設(shè)備面臨安全風(fēng)險(xiǎn)的一大入口,,而與其相關(guān)的漏洞時(shí)常都會(huì)被發(fā)現(xiàn),,證明這是一個(gè)普遍性問(wèn)題。固件漏洞是令設(shè)備容易遭受攻擊的常見弱點(diǎn),,包括惡意軟件,、后門程序、遠(yuǎn)程
大多數(shù)物聯(lián)網(wǎng)設(shè)備運(yùn)行在過(guò)時(shí)的固件上,,這帶來(lái)了重大的安全風(fēng)險(xiǎn),,因?yàn)槁┒捶浅F毡椤9碳┒词乖O(shè)備容易受到攻擊,,包括商用惡意軟件,、復(fù)雜的植入和后門、遠(yuǎn)程代碼執(zhí)行,、數(shù)據(jù)竊取,、勒索軟件甚至物理破壞等等,在一般情況下,,一個(gè)設(shè)備的固件壽命大概是6年左右,,超過(guò)這個(gè)時(shí)間之后,供應(yīng)商一般不會(huì)在提供支持維護(hù),。
同所有連接網(wǎng)絡(luò)的軟硬件設(shè)備一樣,,物聯(lián)網(wǎng)設(shè)備也應(yīng)及時(shí)使用供應(yīng)商提供的最新固件版本和安全補(bǔ)丁進(jìn)行更新,但不可否認(rèn),,這的確可能是一個(gè)挑戰(zhàn),,特別是在大型組織中,它們會(huì)有數(shù)十萬(wàn)到數(shù)百萬(wàn)個(gè)這樣的設(shè)備,??杉幢闳绱耍绞谴笮推髽I(yè)就越是必須采取措施來(lái)保證網(wǎng)絡(luò)的安全。
此外,,需注意的是有時(shí)設(shè)備固件可能會(huì)采取降級(jí)的措施以保障安全,,而不是更新,偶爾當(dāng)一個(gè)漏洞被廣泛利用,,而沒(méi)有可用的補(bǔ)?。ㄎ锫?lián)網(wǎng)供應(yīng)商發(fā)布補(bǔ)丁的時(shí)間間隔通常比傳統(tǒng)IT設(shè)備供應(yīng)商更久),那么暫時(shí)將設(shè)備降級(jí)到不包含該漏洞的較早固件版本反而是可取的,。
4 實(shí)施嚴(yán)格的訪問(wèn)控制
并切斷與設(shè)備運(yùn)轉(zhuǎn)非必需的網(wǎng)絡(luò)連接
很多物聯(lián)網(wǎng)設(shè)備都具備很多種連接網(wǎng)絡(luò)的方式,,如有線和無(wú)線網(wǎng)絡(luò)連接、藍(lán)牙,、telnet等等,,這種混雜多樣的網(wǎng)絡(luò)連接就很容易被外部攻擊者所利用。因而對(duì)企業(yè)來(lái)說(shuō),,像對(duì)待IT網(wǎng)絡(luò)那樣去對(duì)系統(tǒng)進(jìn)行加固就非常重要,,包括關(guān)閉一些無(wú)用的端口和不必要的功能,比如既然使用了有線以太網(wǎng)連接,,那就無(wú)須開啟WiFi,,藍(lán)牙功能如不常用也應(yīng)關(guān)閉。
限制物聯(lián)網(wǎng)設(shè)備的互聯(lián)網(wǎng)接入將減輕依賴于安裝命令和控制惡意軟件類(如勒索軟件和數(shù)據(jù)竊?。┑墓?。
5 確保證書有效
確保安全授權(quán)、加密和數(shù)據(jù)完整性的物聯(lián)網(wǎng)數(shù)字證書經(jīng)常會(huì)出現(xiàn)管理不善,、過(guò)時(shí)的情況,,這個(gè)問(wèn)題有時(shí)甚至?xí)l(fā)生在一些關(guān)鍵的網(wǎng)絡(luò)設(shè)備上,如無(wú)線網(wǎng)絡(luò)接入點(diǎn)等等,,這意味網(wǎng)絡(luò)的初始接入點(diǎn)就沒(méi)有得到足夠的保護(hù),。因此,要驗(yàn)證這些證書的狀態(tài)并管理起來(lái),,這方面可以有一些證書管理類的解決方案可以利用,,有利于糾正可能發(fā)生的風(fēng)險(xiǎn),如TLS版本,、過(guò)期日期等,。
6 設(shè)備加固后要關(guān)注后期可能會(huì)出現(xiàn)的各種變化
一旦物聯(lián)網(wǎng)設(shè)備被安全加固,確保它們保持這種加固狀態(tài)是很重要的,。設(shè)備的設(shè)置和配置可能會(huì)隨著時(shí)間的推移而改變,,因?yàn)榘ü碳隆⒉僮麇e(cuò)誤或人為破壞等多種可能性導(dǎo)致設(shè)備出現(xiàn)問(wèn)題,。
這方面尤其是要注意關(guān)鍵設(shè)備可能會(huì)出現(xiàn)的重要更改,,比如權(quán)限的設(shè)定、因設(shè)備重置導(dǎo)致密碼恢復(fù)為初始默認(rèn)的狀態(tài)等,還包括可以的賬戶口令修改,、固件調(diào)整以及突然重啟等一些不安全的行為,。
數(shù)字化進(jìn)程的加速在推動(dòng)發(fā)展的同時(shí),眾多行業(yè),、領(lǐng)域的攻擊面也在加速擴(kuò)大,,雖然形勢(shì)都非常嚴(yán)峻,但至少目前看并非缺少應(yīng)對(duì)之策,,重點(diǎn)是在于這些對(duì)策是否在執(zhí)行,,而且是在有效執(zhí)行,否則就等同于將企業(yè)的大門主動(dòng)向攻擊者打開,。物聯(lián)網(wǎng)安全領(lǐng)域目前面臨的挑戰(zhàn)的確比傳統(tǒng)IT領(lǐng)域更多,,但I(xiàn)T領(lǐng)域在安全方面的成功經(jīng)驗(yàn)依然可以借鑒,比如文中提到的資產(chǎn)清單,、密碼管理以及固件管理等等,,都被證明是有效的,雖然它們無(wú)法阻擋住所有的攻擊,,但在收斂攻擊面,降低遭受攻擊的可能性方面仍能發(fā)揮巨大作用,,值得參考和運(yùn)用,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
