技術(shù)
導(dǎo)讀:為了降低物聯(lián)網(wǎng)設(shè)備帶來的額外網(wǎng)絡(luò)安全風(fēng)險(xiǎn),請(qǐng)實(shí)施以下措施。
圖片來源:https://pixabay.com/images/id-3572404/
越來越多的連網(wǎng)設(shè)備使組織面臨更多的安全風(fēng)險(xiǎn)。盡管如此,近乎一半的IT和安全決策者表示,在企業(yè)網(wǎng)絡(luò)中部署物聯(lián)網(wǎng)設(shè)備時(shí),網(wǎng)絡(luò)安全是事后的想法。
根據(jù)IoTAnalytics報(bào)告,到2025年,已安裝的物聯(lián)網(wǎng)設(shè)備數(shù)量將從現(xiàn)在的約70億增加到210億臺(tái)以上。由于存在更多漏洞,因此數(shù)據(jù)泄露的機(jī)會(huì)也將相應(yīng)增多。
為了降低物聯(lián)網(wǎng)設(shè)備帶來的額外安全風(fēng)險(xiǎn),請(qǐng)實(shí)施以下措施。
物聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)
物聯(lián)網(wǎng)設(shè)備尤其危險(xiǎn),因?yàn)樗鼈兺ǔN挥跀?shù)字世界和物理世界的交匯處,因此,入侵物聯(lián)網(wǎng)設(shè)備會(huì)帶來危險(xiǎn)的現(xiàn)實(shí)后果。黑客攻擊基礎(chǔ)設(shè)施的例子包括破壞發(fā)電站、水處理廠、煉油廠、鐵路等。
物聯(lián)網(wǎng)設(shè)備的主要風(fēng)險(xiǎn)后果是:
▲失去客戶信任,導(dǎo)致聲譽(yù)、銷售損失
▲由勒索軟件造成的經(jīng)濟(jì)損失
▲在火災(zāi)、爆炸或生產(chǎn)設(shè)施中斷后恢復(fù)正常運(yùn)行的財(cái)務(wù)成本
▲業(yè)務(wù)連續(xù)性的長(zhǎng)期缺失導(dǎo)致破產(chǎn)
▲因違反數(shù)據(jù)隱私條例而被監(jiān)管機(jī)構(gòu)處罰
數(shù)據(jù)泄露示例
通過受損物聯(lián)網(wǎng)設(shè)備引發(fā)的數(shù)據(jù)泄露的最新示例包括:
▲賭場(chǎng)數(shù)據(jù)泄露。通過Wi-Fi連接的水族館智能溫度計(jì),黑客進(jìn)入賭場(chǎng)網(wǎng)絡(luò),檢索有關(guān)高價(jià)值客戶的數(shù)據(jù),然后通過溫度傳感器將數(shù)據(jù)發(fā)送到云中。
▲Equifax被黑客竊取了近半美國人(約1.43億)的信用信息數(shù)據(jù)。這次黑客攻擊之所以成功,是因?yàn)锳pache Struts漏洞已經(jīng)存在了幾個(gè)月,但Equifax未能及時(shí)修復(fù)。
▲Mirai惡意軟件將易受攻擊的Linux 物聯(lián)網(wǎng)設(shè)備招募到僵尸網(wǎng)絡(luò)中,然后發(fā)布導(dǎo)致多個(gè)網(wǎng)站崩潰的大型DDoS攻擊。惡意軟件搜索仍使用出廠默認(rèn)用戶名和密碼的物聯(lián)網(wǎng)設(shè)備,然后為其所用。
▲德克薩斯州達(dá)拉斯市156個(gè)緊急警報(bào)在午夜響起。這次黑客通過無線電控制系統(tǒng)發(fā)送了一條假警報(bào)指令。
▲一家經(jīng)營物聯(lián)網(wǎng)智能家居設(shè)備管理平臺(tái)的中國公司。安全研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)與該公司智能家居產(chǎn)品相關(guān)的開放式數(shù)據(jù)庫。該數(shù)據(jù)庫中包含超過20億條日志,記錄了包括用戶名、電子郵件地址、密碼、精確定位在內(nèi)的所有內(nèi)容。只要數(shù)據(jù)庫保持打開狀態(tài),每天可用的數(shù)據(jù)量就會(huì)不斷增加。
物聯(lián)網(wǎng)設(shè)備的好處
商業(yè)物聯(lián)網(wǎng)設(shè)備的好處在于,通過它們收集的數(shù)據(jù),可以提高業(yè)務(wù)績(jī)效以及產(chǎn)品和服務(wù)的能力。
物聯(lián)網(wǎng)設(shè)備的快速增長(zhǎng)之所以發(fā)生,是因?yàn)槠涫菇M織可以輕松獲得以下數(shù)據(jù):
▲組織流程的運(yùn)行狀況和性能,示例包括供應(yīng)鏈、分銷或制造。
▲產(chǎn)品在用戶手中的有效性,例如使用頻率、停機(jī)或即將出現(xiàn)的問題。
▲內(nèi)部系統(tǒng)的性能,例如吞吐量、崩潰、常見錯(cuò)誤或數(shù)據(jù)質(zhì)量。
降低物聯(lián)網(wǎng)風(fēng)險(xiǎn)的管理措施
降低因物聯(lián)網(wǎng)設(shè)備受損而導(dǎo)致的數(shù)據(jù)泄露或設(shè)施損壞風(fēng)險(xiǎn)的管理措施包括:
▲不要等到數(shù)據(jù)泄露事件發(fā)生后才采取措施。
▲擴(kuò)大安全專業(yè)人員(CSO/CISO)的職責(zé)范圍,將移動(dòng)和物聯(lián)網(wǎng)應(yīng)用的安全包含在內(nèi)。
▲為安全專業(yè)人員提供足夠的資源來執(zhí)行計(jì)算基礎(chǔ)架構(gòu)的日志記錄、監(jiān)控和報(bào)告任務(wù)。
▲避免對(duì)開發(fā)團(tuán)隊(duì)施加過大的壓力以快速發(fā)布應(yīng)用程序。這種壓力會(huì)導(dǎo)致安全功能開發(fā)和測(cè)試不足。
▲加強(qiáng)流程和系統(tǒng)以跟蹤和管理物聯(lián)網(wǎng)設(shè)備。
降低物聯(lián)網(wǎng)風(fēng)險(xiǎn)的技術(shù)措施
降低因物聯(lián)網(wǎng)設(shè)備受損而導(dǎo)致的數(shù)據(jù)泄露或設(shè)施損壞風(fēng)險(xiǎn)的技術(shù)措施包括:
▲快速修補(bǔ)所有設(shè)備,因?yàn)檐浖?yīng)商提供此類修補(bǔ)程序。惡意軟件創(chuàng)建者會(huì)跟蹤軟件供應(yīng)商的補(bǔ)丁公告,因?yàn)檫@些公告描述了惡意軟件創(chuàng)建者可以利用的漏洞。WannaCry勒索軟件攻擊就是一個(gè)很好例子。
▲通過使用最新的防病毒和防惡意軟件功能來防御惡意活動(dòng)。
▲使用強(qiáng)身份驗(yàn)證進(jìn)行操作。
▲更改所有出廠默認(rèn)的用戶名和密碼。這些憑證廣為人知,因?yàn)樗形锫?lián)網(wǎng)設(shè)備都附帶有這些憑證,以便于設(shè)置。
▲摒棄“如果它沒有壞,就不要修復(fù)它”的態(tài)度,這種態(tài)度會(huì)讓漏洞持續(xù)存在。
▲保護(hù)物聯(lián)網(wǎng)設(shè)備免受未經(jīng)授權(quán)的物理訪問。
▲不要購買缺乏修補(bǔ)功能的物聯(lián)網(wǎng)設(shè)備。
▲關(guān)閉遠(yuǎn)程登錄端口。