物聯(lián)網(wǎng) (IoT) 在數(shù)字化轉(zhuǎn)型中發(fā)揮著關(guān)鍵作用。 但是，在許多情況下，組織意識(shí)到他們已經(jīng)擁有大量已在多年來(lái)逐步部署的傳統(tǒng) IoT 設(shè)備。 其中許多設(shè)備的設(shè)計(jì)可能并未考慮到安全性。

物聯(lián)網(wǎng)最大的擔(dān)憂之一是管理與越來(lái)越多的物聯(lián)網(wǎng)設(shè)備相關(guān)的風(fēng)險(xiǎn)。 與物聯(lián)網(wǎng)設(shè)備相關(guān)的信息安全和隱私問(wèn)題已引起全球關(guān)注，因?yàn)檫@些設(shè)備具有與物理世界交互的能力。 物聯(lián)網(wǎng)漏洞不斷出現(xiàn)，這使得制造商在設(shè)計(jì)上強(qiáng)調(diào)物聯(lián)網(wǎng)安全至關(guān)重要。

許多行業(yè)都發(fā)現(xiàn)并暴露了 IoT 漏洞。 這些漏洞威脅到敏感數(shù)據(jù)以及人身安全。 毫無(wú)疑問(wèn)，物聯(lián)網(wǎng)是 2022 年黑客的主要目標(biāo)，任何生產(chǎn)或使用這些設(shè)備的組織都需要做好準(zhǔn)備。

物聯(lián)網(wǎng)安全威脅

下面我們簡(jiǎn)要回顧一下物聯(lián)網(wǎng)設(shè)備促成的一些常見(jiàn)網(wǎng)絡(luò)安全威脅。

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

物聯(lián)網(wǎng)設(shè)備是僵尸網(wǎng)絡(luò)構(gòu)建者的有吸引力的目標(biāo)——這些黑客會(huì)破壞數(shù)百萬(wàn)臺(tái)設(shè)備，將它們連接到可用于犯罪活動(dòng)的網(wǎng)絡(luò)。物聯(lián)網(wǎng)設(shè)備是僵尸網(wǎng)絡(luò)的一個(gè)很好的候選者，因?yàn)樗鼈兊陌踩院苋?，并且有大量幾乎相同的設(shè)備，攻擊者可以使用相同的策略來(lái)破壞這些設(shè)備。

攻擊者可以使用未受保護(hù)的端口或網(wǎng)絡(luò)釣魚詐騙來(lái)用惡意軟件感染物聯(lián)網(wǎng)設(shè)備，并將它們納入可用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊的僵尸網(wǎng)絡(luò)。黑客可以使用現(xiàn)成的攻擊工具包，能夠檢測(cè)到敏感設(shè)備、穿透它們并避免檢測(cè)。然后，工具包中的另一個(gè)模塊指示設(shè)備代表僵尸網(wǎng)絡(luò)所有者發(fā)起攻擊或竊取信息。

威脅行為者經(jīng)常在分布式拒絕服務(wù) (DDoS) 攻擊期間利用物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò);請(qǐng)參閱下面的示例攻擊部分。

數(shù)據(jù)泄露

當(dāng)黑客使用惡意軟件感染物聯(lián)網(wǎng)設(shè)備時(shí)，他們可以做的不僅僅是將設(shè)備加入僵尸網(wǎng)絡(luò)。例如，攻擊者可以訪問(wèn)設(shè)備數(shù)據(jù)并竊取其中存儲(chǔ)的任何敏感信息。攻擊者還利用物聯(lián)網(wǎng)從設(shè)備固件中獲取憑據(jù)。使用這些憑據(jù)，攻擊者可以訪問(wèn)公司網(wǎng)絡(luò)或其他存儲(chǔ)敏感數(shù)據(jù)的系統(tǒng)。這樣，對(duì)看似無(wú)辜的設(shè)備的攻擊可能會(huì)變成全面的數(shù)據(jù)泄露。

影子物聯(lián)網(wǎng)

影子物聯(lián)網(wǎng)的出現(xiàn)是因?yàn)?IT 管理員并不總是能夠控制連接到網(wǎng)絡(luò)的設(shè)備。具有 IP 地址的設(shè)備(例如數(shù)字助理、智能手表或打印機(jī))經(jīng)常連接到公司網(wǎng)絡(luò)，并不總是符合安全標(biāo)準(zhǔn)。

在不了解影子物聯(lián)網(wǎng)設(shè)備的情況下，IT 管理員無(wú)法確保硬件和軟件具有基本的安全功能，并且難以監(jiān)控設(shè)備上的惡意流量。當(dāng)黑客入侵這些設(shè)備時(shí)，他們可以利用與公司網(wǎng)絡(luò)的連接并提升權(quán)限來(lái)訪問(wèn)公司網(wǎng)絡(luò)上的敏感信息。

值得注意的物聯(lián)網(wǎng)安全漏洞和黑客攻擊

自從物聯(lián)網(wǎng)的概念誕生于二十世紀(jì)后期以來(lái)，安全專家就警告說(shuō)，連接到互聯(lián)網(wǎng)的設(shè)備將對(duì)社會(huì)構(gòu)成風(fēng)險(xiǎn)。從那時(shí)起，已經(jīng)公布了許多大規(guī)模的攻擊，其中攻擊者破壞了物聯(lián)網(wǎng)設(shè)備，并對(duì)公共安全和企業(yè)安全造成了真正的威脅。這里有一些例子。

超級(jí)工廠病毒

2010年，研究人員發(fā)現(xiàn)一種名為Stuxnet的病毒對(duì)伊朗的核離心機(jī)造成了物理?yè)p害。襲擊開(kāi)始于2006年，2009年是戰(zhàn)役的初級(jí)階段。惡意軟件操縱了從可編程邏輯控制器(PLC)發(fā)出的命令。Stuxnet通常被認(rèn)為是一種物聯(lián)網(wǎng)攻擊，是工業(yè)環(huán)境中最早針對(duì)監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)的攻擊之一。

第一個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)

2013年，Proofpoint的研究人員發(fā)現(xiàn)了現(xiàn)在被認(rèn)為是“第一個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)”的東西。超過(guò)25%的僵尸網(wǎng)絡(luò)是由智能電視、家用電器、嬰兒監(jiān)視器等非計(jì)算機(jī)設(shè)備組成的。此后，CrashOverride、VPNFilter和Triton等惡意軟件被廣泛用于破壞工業(yè)物聯(lián)網(wǎng)系統(tǒng)。

破壞吉普車

2015 年，兩名安全研究人員通過(guò)部署在車內(nèi)的克萊斯勒 Uconnect 系統(tǒng)無(wú)線入侵了一輛吉普車，并執(zhí)行了遠(yuǎn)程操作，例如更改收音機(jī)頻道、打開(kāi)雨刷和空調(diào)。研究人員表示，他們可以禁用休息時(shí)間，導(dǎo)致發(fā)動(dòng)機(jī)熄火、減速或完全關(guān)閉。

Mirai 僵尸網(wǎng)絡(luò)

2016 年，有史以來(lái)發(fā)現(xiàn)的最大的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)之一 Mirai 通過(guò)攻擊安全研究員 Brian Krebs 和歐洲托管公司 OVH 的網(wǎng)站開(kāi)始其活動(dòng)。這些攻擊規(guī)模巨大——630 Gbps 和 1.1 Tbps。隨后，該僵尸網(wǎng)絡(luò)被用于攻擊大型 DNS 提供商 Dyn 以及 Twitter、亞馬遜、Netflix 和紐約時(shí)報(bào)等知名網(wǎng)站。攻擊者使用路由器和 IP 監(jiān)控?cái)z像頭等物聯(lián)網(wǎng)設(shè)備構(gòu)建網(wǎng)絡(luò)。

St. Jude 心臟設(shè)備漏洞

2017 年，美國(guó)食品和藥物管理局 (FDA) 宣布 St. Jude Medical 制造的植入式心臟設(shè)備，包括植入活體患者體內(nèi)的起搏器，容易受到攻擊。出席黑帽會(huì)議的安全研究人員 Billy Rios 和 Jonathan Butts 證明了他們侵入心臟起搏器并關(guān)閉它的能力，如果黑客這樣做了，就會(huì)殺死病人。

物聯(lián)網(wǎng)安全最佳實(shí)踐

當(dāng)您開(kāi)始為您的組織考慮物聯(lián)網(wǎng)安全策略時(shí)，這里有一些可以改善您的安全狀況的最佳實(shí)踐。

使用物聯(lián)網(wǎng)安全分析

安全分析基礎(chǔ)架構(gòu)可以顯著減少與物聯(lián)網(wǎng)相關(guān)的漏洞和安全問(wèn)題。這需要收集、編譯和分析來(lái)自多個(gè) IoT 源的數(shù)據(jù)，將其與威脅情報(bào)相結(jié)合，并將其發(fā)送到安全運(yùn)營(yíng)中心 (SOC)。

當(dāng)物聯(lián)網(wǎng)數(shù)據(jù)與來(lái)自其他安全系統(tǒng)的數(shù)據(jù)相結(jié)合時(shí)，安全團(tuán)隊(duì)就有更好的機(jī)會(huì)識(shí)別和響應(yīng)潛在威脅。安全分析系統(tǒng)可以關(guān)聯(lián)數(shù)據(jù)源并識(shí)別可能代表可疑行為的異常。然后，安全團(tuán)隊(duì)可以調(diào)查并響應(yīng)異常情況，防止攻擊者破壞企業(yè)物聯(lián)網(wǎng)設(shè)備。

網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是一種能夠?qū)⑻囟ńM件與其他組件隔離以提高安全性的技術(shù)。在物聯(lián)網(wǎng)的情況下，分段可以幫助防止攻擊者或惡意內(nèi)部人員連接到物聯(lián)網(wǎng)設(shè)備，或者可以防止受感染的設(shè)備感染網(wǎng)絡(luò)的其他部分。您可以將此技術(shù)實(shí)施到您的策略中或使用網(wǎng)絡(luò)安全解決方案。

要開(kāi)始分段工作，請(qǐng)創(chuàng)建當(dāng)前使用的 IoT 設(shè)備的綜合列表、它們的連接方法(VLAN 或 LAN)、它們傳輸數(shù)據(jù)的方式和類型，以及每個(gè)設(shè)備真正需要連接的網(wǎng)絡(luò)上的其他設(shè)備。特別是，檢查每個(gè)類別的設(shè)備是否需要訪問(wèn) Internet，如果沒(méi)有，請(qǐng)禁用它。

一種細(xì)分建議是指定特定的設(shè)備類別，例如數(shù)據(jù)收集、基礎(chǔ)設(shè)施或個(gè)人員工擁有的設(shè)備。您可以根據(jù)每個(gè) IoT 端點(diǎn)的連接要求創(chuàng)建分段策略，并采取措施隔離或阻止對(duì)真正不需要它的端點(diǎn)的網(wǎng)絡(luò)訪問(wèn)。

啟用設(shè)備身份驗(yàn)證

減少物聯(lián)網(wǎng)設(shè)備易受攻擊的另一種方法是在所有設(shè)備上強(qiáng)制執(zhí)行完全身份驗(yàn)證。無(wú)論您的物聯(lián)網(wǎng)設(shè)備具有簡(jiǎn)單的密碼身份驗(yàn)證，還是數(shù)字證書、生物識(shí)別或多因素身份驗(yàn)證 (MFA) 等更高級(jí)的措施，請(qǐng)使用設(shè)備上可用的最安全的身份驗(yàn)證，并確保您從不使用出廠默認(rèn)密碼。

用于物聯(lián)網(wǎng)安全的 AI 和 ML

不斷擴(kuò)大的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)會(huì)產(chǎn)生大量數(shù)據(jù)，如果沒(méi)有適當(dāng)?shù)姆治?，這些數(shù)據(jù)將毫無(wú)用處。借助人工智能 (AI) 和機(jī)器學(xué)習(xí)對(duì)海量數(shù)據(jù)集進(jìn)行分析，使機(jī)器能夠自學(xué)、保留所學(xué)知識(shí)，從而提高物聯(lián)網(wǎng)系統(tǒng)的能力。

作為最近的物聯(lián)網(wǎng)趨勢(shì)之一，基于人工智能的入侵檢測(cè)系統(tǒng) (IDS) 持續(xù)監(jiān)控網(wǎng)絡(luò)，收集和分析來(lái)自先前攻擊的信息。他們可以根據(jù)歷史數(shù)據(jù)預(yù)測(cè)攻擊，并提出應(yīng)對(duì)威脅的解決方案。即使發(fā)明了新的黑客技術(shù)，它們?nèi)匀豢赡馨郧笆褂玫哪Ｊ剑@些模式可以通過(guò) ML 算法實(shí)時(shí)識(shí)別。

一般來(lái)說(shuō)，有兩種基于 ML 的 IDS。

Anomaly IDS 根據(jù)記錄的正常行為檢測(cè)攻擊，將當(dāng)前實(shí)時(shí)流量與之前記錄的正常實(shí)時(shí)流量進(jìn)行比較。這些系統(tǒng)能夠檢測(cè)到一種新型攻擊，即使出現(xiàn)大量誤報(bào)，也得到了廣泛的應(yīng)用。

濫用或簽名 IDS 比較當(dāng)前實(shí)時(shí)流量中識(shí)別的模式與以前各種類型攻擊的已知模式之間的相似性。它顯示了較少的誤報(bào)警報(bào)，但同時(shí)，新型攻擊可以通過(guò)而不被發(fā)現(xiàn)。

線性判別分析 (LDA)、分類和回歸樹 (CART) 和隨機(jī)森林等 ML 算法可用于攻擊識(shí)別和分類。