作者：Mary K. Pratt | Jessica Lulka，發布于2023年6月27日

什么是物聯網攻擊面？

主要物聯網安全風險

如何防范物聯網安全風險

物聯網終端已經成為黑客攻擊的主要目標。

事實上，Forrester Research在其《2023年物聯網安全狀況》報告中得出結論，物聯網設備是報告最多的外部攻擊目標；他們比移動設備或計算機受到的攻擊更多。

考慮到保護物聯網生態系統的挑戰，這并不奇怪。

首先，物聯網行業沒有一套明確的安全標準供開發人員和制造商構建一致的安全性。IT管理員經常發現很難跟蹤和更新設備，這些設備可能會在現場保留多年。

與此同時，黑客掃描網絡中的設備和已知漏洞，并越來越多地使用非標準端口來獲取網絡訪問權限。 一旦他們擁有設備訪問權限，就可以更輕松地通過設備上的無文件惡意軟件或軟件內存避免被檢測到。

因此，IT管理員必須在其物聯網部署中解決許多物聯網安全威脅，然后實施預防策略。

什么是物聯網攻擊面？

在基本層面上，攻擊面是未經授權的系統訪問的入口點總數。物聯網攻擊面不僅限于入口點，還包括物聯網設備、互聯軟件和網絡連接的所有可能的安全漏洞。

人們對物聯網設備安全的關注包括攻擊者不僅可以破壞物聯網設備的網絡和軟件，還可以破壞設備本身。此外，物聯網設備的更新速度，往往快于安全、可靠連接的流程和協議的更新。

企業組織可以采取一些措施來保護物聯網攻擊面，但這需要專業人員和專業知識來制定適當的策略，以主動檢測威脅并被動地應用措施來縮小攻擊面的規模。

主要物聯網安全風險

以下是六個常見的物聯網漏洞和六個構成最重大風險的外部威脅。

不斷擴大的攻擊面

對企業組織保護其物聯網環境的最大威脅之一是其龐大的規模。 每個研究人員對世界上實際聯網設備數量的估計各不相同，但這些設備的數量一直在數十億，并且還在不斷增長。 例如，IoT Analytics網站在其"State of IoT -- Spring 2023" report報告中預計，2022 年活躍物聯網端點數量為143億個，比上一年增長18%。IoT Analytics預計，到2023年，全球聯網的物聯網設備數量將增長16%，達到167億個活躍端點。

當然，單個組織需要保護的設備要少得多。盡管如此，這個數字仍然在快速增加。最近由Ponemon Institute進行并由Adaptiva贊助的一份報告"Managing Risks and Costs at the Edge"發現，每個組織平均管理著大約135,000臺端點設備。 此外，物聯網設備通常全天候（24/7）運行，其中許多（盡管不是全部）持續連接。

不安全硬件

單個終端設備可能會給整個IoT生態系統，甚至是企業的IT環境的安全帶來風險。由于在算力和低功耗設計上的局限性，嵌入式設備往往缺乏內生安全機制。因此，許多設備無法支持身份驗證、加密和訪問控制等安全功能。而且，即使終端設備確實具有一些安全控制（例如密碼），一些企業組織仍然在不使用或啟用這些可用安全選項的情況下部署它們。

維護和更新挑戰

維護設備、更新軟件所面臨的挑戰會產生更多的安全漏洞。這里有一些促成因素。首先，設備供應商可能不會愿意提供更新，例如用于解決黑客可能利用的漏洞的安全補丁，特別是如果設備是舊型號的話。 其次，由于連接限制以及設備有限的計算和供電能力可能導致無法更新現場部署的設備。

缺少資產管理

即使可以進行更新，企業組織也可能不知道他們是否有需要更新的設備。Ponemon Institute的報告發現，大多數企業組織無法了解其所有物聯網設備部署；事實上，其調查顯示，平均48%的設備（即每個組織近65,000臺）面臨風險，因為它們“不再被組織的IT部門檢測到，或者終端設備的操作系統已經過時”。該報告進一步發現，63%的受訪者認為，“缺乏對終端設備的可見性是實現強大安全態勢的最大障礙”。

影子IoT

還有一個潛在的風險是影子IoT，即在沒有IT或安全部門官方支持或許可的情況下部署的物聯網設備。 這些未經批準的物聯網設備可能是具有IP地址的個人物品，例如健身追蹤器或數字助理，也可能是企業組織的設備，例如無線打印機。無論哪種方式，它們都會給企業帶來風險，因為它們可能不符合組織的安全標準，即使滿足，它們的配置和部署也可能不遵循安全最佳實踐。此外，IT管理員和安全團隊通常缺乏對這些部署的了解，因此可能不會監控它們或其流量，從而使黑客更有可能在不被發現的情況下成功破壞它們。

未加密的數據傳輸

物聯網設備在測量和記錄大量數據。它們將大部分數據發送到集中位置（通常在云端）進行處理、分析和存儲；有時候，設備還會收到控制命令，以便實現某種操作。Palo Alto Networks 2020年的一份報告發現，98%的物聯網設備流量未加密，“在網絡上暴露個人和機密數據，使攻擊者能夠監聽未加密的網絡流量、收集個人或機密信息，然后利用該數據在暗網上牟利。”

IoT僵尸網絡

除了漏洞之外，還存在來自IoT外部的威脅。僵尸網絡就是此類威脅之一。企業IT和安全領導者始終將其列為繼近十年前出現的Mirai等主要僵尸網絡攻擊之后的首要威脅。

在此類攻擊中，攻擊者通過未受保護的端口或網絡釣魚軟件感染IoT設備，并將其納入IoT僵尸網絡，用于發起大規模網絡攻擊。黑客可以輕松地在互聯網上找到惡意代碼，這些代碼可以檢測易受攻擊的機器，或者在另一個代碼模塊向設備發出信號以發起攻擊或竊取信息之前隱藏代碼以防止檢測。

IoT僵尸網絡經常用于DDoS攻擊，以淹沒目標的網絡流量。僵尸網絡編排者發現物聯網設備是一個有吸引力的目標，因為安全配置較弱，并且可以委托給用于目標組織的僵尸網絡的設備數量很多。2023年《諾基亞威脅情報報告》發現，參與僵尸網絡驅動的DDoS攻擊的物聯網機器人數量比上一年從約20萬臺設備增加到100萬臺設備。

DNS威脅

許多企業組織使用IoT從沒有最新安全標準的舊機器收集數據。當組織將舊設備與IoT相結合時，可能會使網絡面臨舊設備漏洞的威脅。IoT設備連接通常依賴于DNS，這是20世紀80年代的一種去中心化命名系統，它可能無法處理可能增長到數千臺設備的IoT部署規模。黑客可以利用DDoS攻擊和DNS隧道中的DNS漏洞來獲取數據或引入惡意軟件。

惡意節點注入

黑客還可以通過將虛假節點插入或注入合法連接節點的網絡來攻擊物聯網生態系統，從而使黑客能夠改變和/或控制虛假節點和合法節點之間的數據流，并最終控制網絡中的所有節點。

IoT勒索軟件

隨著連接到企業網絡的不安全設備數量增加，物聯網勒索軟件攻擊也隨之增加。黑客用惡意軟件感染設備，將其變成僵尸網絡，探測接入點或在設備固件中搜索可用于進入網絡的有效憑據。

通過物聯網設備進行網絡訪問，攻擊者可以將數據泄露到云端，并威脅要保留、刪除或公開數據，除非支付贖金。 有時，付款不足以讓組織取回所有數據，勒索軟件無論如何都會自動刪除文件。勒索軟件可能會影響企業或重要組織，例如政府服務或食品供應商。

篡改物理設備

另一個風險是黑客篡改物理設備。這可能意味著攻擊者可以物理訪問物聯網設備以竊取數據，篡改設備以在其上安裝惡意軟件，或者訪問其端口和內部電路以侵入組織網絡。

固件漏洞

黑客可以針對IoT設備中的已知固件漏洞，就像他們針對組織IT環境中部署的軟件漏洞一樣。

如何防范物聯網安全風險

IT團隊必須采取多重方法來緩解物聯網安全風險。企業組織可以實施更廣泛的最佳實踐和策略，但管理員還應該針對不同類型的IoT攻擊制定具體的防御措施。

IoT安全是策略執行和軟件的結合，用于檢測和解決任何威脅。

監督IoT設備的IT團隊應該針對網絡上的任何設備制定強大的密碼策略，并使用威脅檢測軟件來預測任何潛在的攻擊。

他們還應該有一個全面的資產檢測和管理計劃。IT團隊對企業中部署的終端設備以及設備上的數據了解越多，主動檢測安全風險和威脅就越容易。

IT管理員可以用來防止安全攻擊和實現彈性的基本策略包括設備漏洞評估、禁用不需要的服務、定期數據備份、災難恢復程序、網絡分段和網絡監控工具。

IT管理員可以通過DNS安全擴展(DNSSEC) 確保DNS漏洞不會對IoT安全構成威脅。這些規范通過數字簽名保護DNS，確保數據準確且未經修改。當IoT設備連接到網絡進行軟件更新時，DNSSEC會檢查更新是否到達預期位置，而沒有被惡意重定向。組織必須升級協議標準，包括MQTT，并檢查協議升級與整個網絡的兼容性。IT管理員可以使用多個DNS服務來實現連續性和額外的安全層。

此外，組織應遵循基本的網絡安全措施，例如身份驗證、定期更新和補丁，并在將IoT設備添加到網絡之前確認其符合安全標準和協議。

數據保護策略是提高IoT安全性的另一種方法。IT團隊可以通過使用可視化工具、數據分類系統、數據加密措施、數據隱私措施和日志管理系統來幫助確保數據安全。

對于物理安全措施，組織應將設備放置在防篡改的盒子中，并刪除制造商可能在部件上包含的任何設備信息，例如型號或密碼。物聯網設計人員應將導體埋入多層電路板中，以防止黑客輕易訪問。如果黑客確實篡改了設備，那么設備應該具有禁用功能，例如打開時短路。

審核編輯：黃飛

?