由于物聯網的攻擊面很大，并且缺乏安全性，因此黑客有更多機會進入組織的物聯網網絡。物聯網行業并沒有一套明確的安全標準，供開發人員和制造商構建一致的安全性，但是有許多安全最佳實踐。組織IT管理員可能會發現很難跟蹤和更新設備，而這些設備可能已經運行多年。

黑客每天都在掃描網絡中的設備和已知漏洞，并越來越多地使用非標準端口來獲取網絡訪問權限。一旦他們擁有設備訪問權限，就更容易避開安全設備對惡意軟件或內存進行的檢測。

IT管理員必須在其物聯網部署中解決五種常見的物聯網安全威脅，然后實施相應的策略來防止這些威脅：

1. 物聯網僵尸網絡

在2016年發生Mirai等重大的僵尸網絡攻擊之后，物聯網開發人員、管理員和安全人員積極采取措施來防止此類攻擊。僵尸網絡攻擊者發現物聯網設備是極具吸引力的目標，因為物聯網設備大多安全配置較弱，并且可以用于構建僵尸網絡。

網絡攻擊者可以通過不受保護的端口或網絡釣魚詐騙，用惡意軟件感染物聯網設備，并將其加入用于發起大規模網絡攻擊的物聯網僵尸網絡中。黑客可以很容易地在互聯網上找到惡意代碼，檢測易受攻擊的機器，或者向設備發出攻擊或竊取信息之前隱藏代碼。物聯網僵尸網絡也經常用于分布式拒絕服務（DDoS）攻擊。

對于僵尸網絡攻擊的檢測并不容易，但是IT管理員可以采取幾個步驟來保護設備，例如保存每個設備的清單;遵循基本的網絡安全措施（例如身份驗證、定期更新和修補程序）;并在管理員將其添加到網絡之前確認物聯網設備符合安全標準和協議。網絡分段可以隔離物聯網設備，以保護其網絡不受僵尸設備的侵害。IT管理員可以監視網絡活動以檢測僵尸網絡，并且一定不要忘記為整個設備生命周期（包括壽命終止）進行規劃。

2. DNS威脅

許多組織使用物聯網從原有機器上收集數據，這些機器并不總是按照更新的安全標準設計的。當組織將原有設備與物聯網相結合時，可能會使物聯網暴露在這些設備的一些漏洞中。物聯網設備連接通常依賴于域名系統（DNS），它可能無法處理可能增長到數千個設備的物聯網部署規模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數據或引入惡意軟件。

IT管理員可以使用域名系統安全擴展（DNSSEC）確保DNS漏洞不會對物聯網安全構成威脅。這些規范通過數字簽名保護DNS，以確保數據準確無誤。當物聯網設備連接到網絡以進行軟件更新時，域名系統安全擴展（DNSSEC）會檢查更新是否到達了預期的位置而沒有惡意重定向。組織必須升級協議標準，包括MQ遙測傳輸，并檢查協議升級與整個網絡的兼容性。組織還可以使用多個DNS服務和附加的安全服務層。

3. 物聯網勒索軟件

隨著連接到組織網絡的不安全設備的數量增加，物聯網勒索軟件攻擊也在增加。黑客采用惡意軟件感染設備，將它們變成僵尸網絡，探測接入點或在設備固件中搜索有效憑證，以便他們侵入網絡。

通過物聯網設備的網絡訪問，網絡攻擊者可以將數據泄露到云中，并威脅要保持、刪除或公開數據（除非支付贖金）。但有時支付贖金還不足以使組織收回所有數據，勒索軟件會自動刪除文件。勒索軟件會影響政府機構或重要部門，例如政府服務或食品供應商。

IT管理員可采取的防止勒索軟件攻擊的基本策略，其中包括部署前評估設備漏洞、停用不需要的服務、定期數據備份、安裝災難恢復程序、進行網絡分段和部署網絡監控工具。

4. 物聯網物理安全

雖然網絡攻擊者似乎不太可能實際接觸到物聯網設備，但是IT管理員在制定物聯網安全策略時一定不要忘記這種可能性。黑客可以竊取設備，打開設備并連接電路和端口以侵入網絡。IT管理員只能部署經過身份驗證的設備來應對，并且只允許授權和經過身份驗證的設備訪問。

為了采取物理安全措施，組織應將設備放在防篡改盒中，并刪除制造商可能在零件上包括的所有設備信息，例如型號或默認密碼。物聯網設計人員應將導體埋在多層電路板中，以防止黑客輕易接入。如果黑客確實篡改了設備，則它應具有禁用功能，例如在打開時實行短路。

5. 影子物聯網

IT管理員不能總是控制哪些設備連接到他們的網絡，這就造成了一種名為“影子物聯網”的物聯網安全威脅。例如健身跟蹤器、數字助理或無線打印機等具有IP地址的設備，可以增加個人便利或協助員工工作，但它們不一定符合組織的安全標準。

如果不了解影子物聯網設備，IT管理員就無法確保硬件和軟件具有基本的安全功能，也無法監控設備是否存在惡意流量。當黑客訪問這些設備時，他們可以使用權限提升來訪問組織網絡上的敏感信息，或將這些設備用于僵尸網絡或DDoS攻擊。

當員工向網絡添加設備時，IT管理員可以制定適當的策略來限制影子物聯網的威脅。對管理員來說，擁有所有連接設備的清單也很重要。他們可以使用IP地址管理工具或設備發現工具來跟蹤任何新的連接，并隔離或阻止不熟悉的設備。
責編AJX