企業可以采取一些措施來保護物聯網攻擊面，但這些措施需要員工和技術專家來制定適當的策略，以便主動檢測威脅，并采取措施來減小網絡攻擊面。

物聯網安全的某些問題令人印象深刻，例如物聯網僵尸網絡，也有一些問題可能不會那么令人關注，其中包括DNS威脅和物理設備攻擊。

物聯網行業如今并沒有一套明確的安全標準供開發人員和制造商構建一致的安全性，但也有一些安全最佳實踐。IT管理員可能會發現很難跟蹤和更新設備，這些設備可能會在內部部署設施運行多年。

黑客掃描網絡以查找設備和已知漏洞，并越來越多地使用非標準端口來獲取網絡訪問權限。

IT管理員必須在其物聯網部署中解決以下五種常見的物聯網安全威脅，然后實施預防策略。

什么是物聯網攻擊面?

在基本層面上，攻擊面是未經授權的系統訪問的入口點總數。物聯網的攻擊面超越了入口點，其中包括物聯網設備、連接軟件和網絡連接的所有可能的安全漏洞。

對物聯網設備安全的日益關注包括這樣一個事實，即網絡威脅者不僅可以破壞支持物聯網設備的網絡和軟件，還可以破壞設備本身。此外，物聯網設備的采用速度比能夠提供安全、可靠連接的流程和協議更快。

企業可以采取一些措施來保護物聯網攻擊面，但這些措施需要員工和技術專家來制定適當的策略，以便主動檢測威脅，并采取措施來減小網絡攻擊面。

企業必須解決的五大物聯網安全威脅

(1)物聯網僵尸網絡

在2016年發生Mirai等重大僵尸網絡攻擊事件之后，物聯網開發人員、管理員和安全人員盡快采取措施防止此類攻擊。僵尸網絡編排器發現物聯網設備是一個具有吸引力的目標，因為安全配置薄弱，并且可以委托給用于攻擊企業的僵尸網絡的設備數量眾多。

網絡攻擊者可以通過未受保護的端口或網絡釣魚詐騙惡意軟件來感染物聯網設備，并將其加入用于發起大規模網絡攻擊的物聯網僵尸網絡。黑客可以在互聯網上輕松找到檢測易受攻擊機器的惡意代碼，或者在另一個代碼模塊向設備發出信號以發起網絡攻擊或竊取信息之前隱藏代碼以防止安全檢測。物聯網僵尸網絡經常用于分布式拒絕服務(DDoS)攻擊，以迅速加大針對目標的網絡流量。

僵尸網絡攻擊檢測并不容易，但IT管理員可以采取幾個步驟來保護設備，例如保留每臺設備的清單。企業應該遵循基本的網絡安全措施，例如身份驗證、定期更新補丁，并在管理員將物聯網設備添加到網絡之前確認它們符合安全標準和協議。網絡分段可以隔離物聯網設備，以保護網絡免受受損設備的影響。IT管理員可以監控網絡活動以檢測僵尸網絡，并且一定不要忘記規劃物聯網設備生命周期。

(2)DNS威脅

許多企業使用物聯網從原有設備收集數據，這些設備并不總是按照更新的安全標準設計。當企業將原有設備與物聯網相結合時，它可能會使網絡暴露于舊設備的漏洞。物聯網設備連接通常依賴于域名系統 (DNS)，這是一個產生于上世紀80年代的域名系統，它可能無法處理可以增長到數千臺設備的物聯網部署規模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數據或引入惡意軟件。

IT管理員可以通過域名系統安全擴展(DNSSEC)確保DNS漏洞不會對物聯網安全構成威脅。這些規范通過確保數據準確且未經修改的數字簽名來保護DNS。

當物聯網設備連接到網絡進行軟件更新時，域名系統安全擴展(DNSSEC)會檢查更新是否到達了預期的位置，而沒有惡意重定向。企業必須升級協議標準，包括MQ Telemetry Transport，并檢查協議升級與整個網絡的兼容性。IT管理員可以使用多個DNS服務來實現連續性和額外的安全層。

(3)物聯網勒索軟件

隨著連接到企業網絡的不安全設備數量的增加，物聯網勒索軟件攻擊也在增加。黑客用惡意軟件感染設備，將其變成僵尸網絡，探測接入點或在設備固件中搜索可用于進入網絡的有效憑據。

通過物聯網設備進行網絡訪問，網絡攻擊者可以將數據泄露到云端，并威脅要保留、刪除或公開數據，除非支付贖金。支付贖金有時并不會讓企業取回所有數據，勒索軟件會自動刪除文件。勒索軟件會影響企業組織，例如政府服務或食品供應商。

(4)物聯網物理安全

雖然網絡攻擊者似乎不太可能物理訪問物聯網設備，但IT管理員在規劃物聯網安全策略時絕不能忘記這種可能性。黑客可以竊取設備、打開它們并訪問內部電路和端口以闖入網絡。IT管理員必須只部署經過身份驗證的設備，并且只允許授權和經過身份驗證的設備訪問。

(5)影子物聯網

IT管理員無法始終控制連接到其網絡的設備，這會產生一種稱為“影子物聯網”的物聯網安全威脅。具有IP地址的設備(例如健身追蹤器、數字助理或無線打印機)可以增加個人便利或協助員工工作，但它們不一定符合企業的安全標準。

如果不了解影子物聯網設備，IT管理員就無法確保硬件和軟件具有基本的安全功能或監控設備中的惡意流量。當黑客訪問這些設備時，他們可以使用權限提升來訪問企業網絡上的敏感信息，或者選擇這些設備進行僵尸網絡或DDoS攻擊。

當員工將設備添加到網絡時，IT管理員可以制定策略來限制影子物聯網的威脅。對于管理員來說，擁有所有連接設備的清單也很重要。然后，他們可以使用IP地址管理工具或設備發現工具來跟蹤任何新連接、執行策略并隔離或阻止不熟悉的設備。

如何防御物聯網安全風險

IT團隊必須采取多層次的方法來緩解物聯網安全風險。企業可以實施更廣泛的最佳實踐和策略，管理員還應該針對不同類型的物聯網攻擊采取特定的防御措施。

物聯網安全是策略執行和軟件的結合，用于檢測和解決任何威脅。監督物聯網設備的IT團隊應該為網絡上的任何設備制定強密碼策略，并使用威脅檢測軟件來預測任何潛在的攻擊。IT團隊對物聯網設備上的數據了解得越多，就越容易主動檢測安全風險和威脅。

IT管理員可以用來防止安全攻擊的基本策略包括設備漏洞評估、禁用不需要的服務、定期數據備份、災難恢復程序、網絡分段和網絡監控工具。

數據保護策略是提高物聯網安全性的另一種方式。盡管物聯網部署由于其分散的性質而難以部署，但它有助于增加一層安全性。IT團隊可以使用可見性工具、數據分類系統、數據加密措施、數據隱私測量和日志管理系統來確保數據安全。

對于物理安全措施，企業應將設備放在防篡改的箱子中，并刪除制造商可能包含在部件上的任何設備信息，例如型號或密碼。物聯網設計人員應將導體埋入多層電路板中，以防止黑客輕易進入。如果黑客確實篡改了設備，它應該具有禁用功能，例如打開時會發生短路。

審核編輯 ：李倩