企业界见证了物联网设备爆炸式增长这一幕。如今,我们看到边缘端更多的连接选择,需要将计算资源置于尽可能靠近数据的地方,以获得宝贵的业务洞察力。物联网设备和联网智能设备因此遍地开花。
尽管在边缘端使用物联网设备有其优点和效率,但从安全角度来看,这可能成为众多组织的一大盲点。企业如何使用物联网,如何保护它?我们将考虑重要的安全最佳实践以及安全密码策略对设备安全而言的重要性。
通常来说,物联网是指拥有嵌入式软件、传感器、网络连接及和其他技术的设备,因此它们可以与连接到互联网的其他设备交换数据。物联网设备种类繁多,从家用电器(冰箱、恒温器、烤箱、微波炉及其他电器),到工业工具、传感器及生产设施中的机器,不一而足。这些联网“物件”可以收集和交换多种类型的数据。
图1. 物联网设备将物理世界与数字世界连接起来
随着宽带网络连接、无线网络以及如今偏远地区的5G移动网络日渐普及,现在可以将任何设备连接到网络,包括物联网设备。因此,传统上的“非智能”设备现正在向能够联网的“智能设备”转变。
如今物联网设备在医疗保健和制造行业尤为常见,关键业务流程和数据通过显示器、平板电脑、扫描仪及更多联网设备来运作或传输。
如果您考虑一下物联网设备的功能以及收集和交换数据的可能性,它无异于为企业充分利用收集的数据提供了众多的新机会。
借助物联网设备,我们置身的这个世界变得“超级互联”,因此周围的一切都可以收集数据并传输这些数据以供分析。对于企业而言,这意味着数据收集和分析传感器可能无处不在,为大数据平台的分析提供实时反馈数据。
企业意识到物联网设备带来的好处和价值,包括如下:
• 企业可以利用从与物联网连接的设备获得的洞察力,提高生产力和效率。
• 公司可以收集数据驱动的宝贵信息,帮助做出业务决策。
• 帮助企业充分发挥创造收入的潜力,并开拓新的收入模式。
• 可以轻松地将物理世界与数字世界连接起来,这有助于推动创新、增强敏捷性、提高效率以及对数据模型有新的理解。
物联网设备与现代机器学习算法协同运行,可以非常快速地分析大量收集的数据,从而使企业能够推断出智能业务信息。此外,分析的数据便于深入了解统计数据、关键绩效指标(KPI)及其他指标。这些可用于识别设备性能异常或根据配置的各个阈值发送警报。
物联网系统的架构是什么?它又包括哪些硬件、服务和应用程序?如今的现代物联网系统包括以下组合:
• 无线网络——无线网络是物联网系统的连接平台,使物联网智能设备和传感器能够放置在无线网络可以覆盖的任何地方。
• 云或私有数据中心数据库位置——云或私有数据中心数据库位置可存储物联网设备生成、捕获和传输的大量信息和遥测数据。
• 硬件传感器——视设备、用例及其他方面而定,硬件传感器从一系列广泛的系统收集数据。
• 智能设备——智能设备传统上是执行各种任务的“非智能”设备,如今嵌入了智能传感器,能够连接到无线网络以传输收集到的数据。
• 计算引擎——计算引擎的目的是从物联网设备和硬件传感器收集的原始数据来分析和提供宝贵信息。
虽然物联网是一种功能非常强大的技术,用户可以从中受益,但企业最好考虑物联网的安全影响,因为这与它们的整体安全状况密切相关。实施物联网设备的企业目前又面临哪些安全挑战?
• 配置错误和密码管理不善
• 漏洞和补丁管理
• DDoS攻击
• 缺少物理安全
• 不安全的协议
1. 配置错误和密码管理不善
实施物联网设备的主要难题之一是配置错误和密码管理不善。许多物联网设备和传感器可能默认采用“开放式”的不安全的开箱即用配置。它常常包括在同一型号/供应商的所有物联网设备之间共享的一个非常弱的“默认”密码。它还可能包括默认使用不安全的通信协议,或默认打开的危险的连接选项,比如telnet和FTP 等。
组织必须确保自己正确地将“默认值”重新配置为更安全的设备配置。将物联网设备与LDAP身份验证集成起来,可提供安全得多的配置,允许物联网设备身份验证与企业Active Directory密码策略保持一致,并进行集中控制。管理员应该将默认密码改为不重复的本地设备强密码,或完全禁用默认密码。
2. 漏洞和补丁管理
漏洞带来了与物联网设备有关的另一个难题。与结合使用软硬件的其他技术系统一样,漏洞可能因遗留软件、固件安全和零日攻击而出现。
如果更新颖的软件补丁导致遗留系统之间出现互操作性问题,IT 安全团队需要为各种物联网设备或部署的其他补偿控制措施制定一份例行补丁时间表,以降低运行过时软件带来的风险。
3. DDoS 攻击
物联网设备带来的一大安全问题是它们被用于放大DDoS攻击。DDoS即分布式拒绝服务攻击使用大批量受感染的系统,让网络安全防御系统(比如边界防火墙)不堪重负,从而干扰或“拒绝”流量。
由于众所周知的不安全“默认值”,包括默认密码,物联网设备很容易被恶意攻击者接管,这些攻击者利用物联网设备用发动基于僵尸网络的大规模DDoS攻击。据诺基亚的一份报告声称,分析从全球互联网服务提供商(ISP)收集的10000多起DDoS攻击后发现,DDoS攻击流量超过了4 Tbps。
4. 缺少物理安全
物联网设备常常位于可能缺少物理安全的区域(比如生产设施、仓库、车间和医院走廊等)。假设攻击者能够获得物联网设备的物理访问权。在这种情况下,他们可能会绕过设备的内置安全机制、危害设备以及往系统中植入恶意软件或其他后门。
组织必须考虑物联网设备的物理安全,并通过加密及其他最佳实践来加强数据安全,以实现卓有成效的“分层”安全方法。
5. 不安全的协议
可能给企业带来安全风险的默认设置之一是不安全的协议。与默认弱密码一样,默认弱协议(比如HTTP而不是HTTPS)让攻击者可以拦截流量或执行网络“窥视”,轻松查看通过网络传输的敏感数据。
公司必须确保他们禁用默认弱协议,并且只启用和使用安全协议用于物联网设备之间的通信。
物联网设备正在给企业带来令人兴奋的功能和好处,使企业能够从边缘收集的实时数据捕获、处理和获得宝贵信息。然而,组织最好考虑物联网设备的安全隐患,包括默认配置的弱密码。
将物联网设备与Active Directory集成起来可以为保护物联网基础架构带来诸多好处,包括集中式Active Directory密码策略。然而,企业必须首先确保Active Directory密码受到保护,免受现代密码安全威胁,比如泄露的密码。
参考及来源:https://www.bleepingcomputer.com/news/security/securing-your-iot-devices-against-cyber-attacks-in-5-steps/