保護物聯網裝置遠離網路攻擊的五個步驟

語言: CN / TW / HK

企業界見證了物聯網裝置爆炸式增長這一幕。如今,我們看到邊緣端更多的連線選擇,需要將計算資源置於儘可能靠近資料的地方,以獲得寶貴的業務洞察力。物聯網裝置和聯網智慧裝置因此遍地開花。

儘管在邊緣端使用物聯網裝置有其優點和效率,但從安全形度來看,這可能成為眾多組織的一大盲點。企業如何使用物聯網,如何保護它?我們將考慮重要的安全最佳實踐以及安全密碼策略對裝置安全而言的重要性。

物聯網裝置是什麼東東?

通常來說,物聯網是指擁有嵌入式軟體、感測器、網路連線及和其他技術的裝置,因此它們可以與連線到網際網路的其他裝置交換資料。物聯網裝置種類繁多,從家用電器(冰箱、恆溫器、烤箱、微波爐及其他電器),到工業工具、感測器及生產設施中的機器,不一而足。這些聯網“物件”可以收集和交換多種型別的資料。

圖1. 物聯網裝置將物理世界與數字世界連線起來

隨著寬頻網路連線、無線網路以及如今偏遠地區的5G行動網路日漸普及,現在可以將任何裝置連線到網路,包括物聯網裝置。因此,傳統上的“非智慧”裝置現正在向能夠聯網的“智慧裝置”轉變。

如今物聯網裝置在醫療保健和製造行業尤為常見,關鍵業務流程和資料通過顯示器、平板電腦、掃描器及更多聯網裝置來運作或傳輸。

為什麼物聯網會徹底改變企業的資料收集?

如果您考慮一下物聯網裝置的功能以及收集和交換資料的可能性,它無異於為企業充分利用收集的資料提供了眾多的新機會。

藉助物聯網裝置,我們置身的這個世界變得“超級互聯”,因此周圍的一切都可以收集資料並傳輸這些資料以供分析。對於企業而言,這意味著資料收集和分析感測器可能無處不在,為大資料平臺的分析提供實時反饋資料。

企業意識到物聯網裝置帶來的好處和價值,包括如下:

• 企業可以利用從與物聯網連線的裝置獲得的洞察力,提高生產力和效率。

• 公司可以收集資料驅動的寶貴資訊,幫助做出業務決策。

• 幫助企業充分發揮創造收入的潛力,並開拓新的收入模式。

• 可以輕鬆地將物理世界與數字世界連線起來,這有助於推動創新、增強敏捷性、提高效率以及對資料模型有新的理解。

物聯網裝置與現代機器學習演算法協同執行,可以非常快速地分析大量收集的資料,從而使企業能夠推斷出智慧業務資訊。此外,分析的資料便於深入瞭解統計資料、關鍵績效指標(KPI)及其他指標。這些可用於識別裝置效能異常或根據配置的各個閾值傳送警報。

物聯網架構

物聯網系統的架構是什麼?它又包括哪些硬體、服務和應用程式?如今的現代物聯網系統包括以下組合:

• 無線網路——無線網路是物聯網系統的連線平臺,使物聯網智慧裝置和感測器能夠放置在無線網路可以覆蓋的任何地方。

• 雲或私有資料中心資料庫位置——雲或私有資料中心資料庫位置可儲存物聯網裝置生成、捕獲和傳輸的大量資訊和遙測資料。

• 硬體感測器——視裝置、用例及其他方面而定,硬體感測器從一系列廣泛的系統收集資料。

• 智慧裝置——智慧裝置傳統上是執行各種任務的“非智慧”裝置,如今嵌入了智慧感測器,能夠連線到無線網路以傳輸收集到的資料。

• 計算引擎——計算引擎的目的是從物聯網裝置和硬體感測器收集的原始資料來分析和提供寶貴資訊。

物聯網的安全影響

雖然物聯網是一種功能非常強大的技術,使用者可以從中受益,但企業最好考慮物聯網的安全影響,因為這與它們的整體安全狀況密切相關。實施物聯網裝置的企業目前又面臨哪些安全挑戰?

• 配置錯誤和密碼管理不善

• 漏洞和補丁管理

• DDoS攻擊

• 缺少物理安全

• 不安全的協議

1. 配置錯誤和密碼管理不善

實施物聯網裝置的主要難題之一是配置錯誤和密碼管理不善。許多物聯網裝置和感測器可能預設採用“開放式”的不安全的開箱即用配置。它常常包括在同一型號/供應商的所有物聯網裝置之間共享的一個非常弱的“預設”密碼。它還可能包括預設使用不安全的通訊協議,或預設開啟的危險的連線選項,比如telnet和FTP 等。

組織必須確保自己正確地將“預設值”重新配置為更安全的裝置配置。將物聯網裝置與LDAP身份驗證整合起來,可提供安全得多的配置,允許物聯網裝置身份驗證與企業Active Directory密碼策略保持一致,並進行集中控制。管理員應該將預設密碼改為不重複的本地裝置強密碼,或完全禁用預設密碼。

2. 漏洞和補丁管理

漏洞帶來了與物聯網裝置有關的另一個難題。與結合使用軟硬體的其他技術系統一樣,漏洞可能因遺留軟體、韌體安全和零日攻擊而出現。

如果更新穎的軟體補丁導致遺留系統之間出現互操作性問題,IT 安全團隊需要為各種物聯網裝置或部署的其他補償控制措施制定一份例行補丁時間表,以降低執行過時軟體帶來的風險。

3. DDoS 攻擊

物聯網裝置帶來的一大安全問題是它們被用於放大DDoS攻擊。DDoS即分散式拒絕服務攻擊使用大批量受感染的系統,讓網路安全防禦系統(比如邊界防火牆)不堪重負,從而干擾或“拒絕”流量。

由於眾所周知的不安全“預設值”,包括預設密碼,物聯網裝置很容易被惡意攻擊者接管,這些攻擊者利用物聯網裝置用發動基於僵屍網路的大規模DDoS攻擊。據諾基亞的一份報告聲稱,分析從全球網際網路服務提供商(ISP)收集的10000多起DDoS攻擊後發現,DDoS攻擊流量超過了4 Tbps。

4. 缺少物理安全

物聯網裝置常常位於可能缺少物理安全的區域(比如生產設施、倉庫、車間和醫院走廊等)。假設攻擊者能夠獲得物聯網裝置的物理訪問權。在這種情況下,他們可能會繞過裝置的內建安全機制、危害裝置以及往系統中植入惡意軟體或其他後門。

組織必須考慮物聯網裝置的物理安全,並通過加密及其他最佳實踐來加強資料安全,以實現卓有成效的“分層”安全方法。

5. 不安全的協議

可能給企業帶來安全風險的預設設定之一是不安全的協議。與預設弱密碼一樣,預設弱協議(比如HTTP而不是HTTPS)讓攻擊者可以攔截流量或執行網路“窺視”,輕鬆檢視通過網路傳輸的敏感資料。

公司必須確保他們禁用預設弱協議,並且只啟用和使用安全協議用於物聯網裝置之間的通訊。

結語

物聯網裝置正在給企業帶來令人興奮的功能和好處,使企業能夠從邊緣收集的實時資料捕獲、處理和獲得寶貴資訊。然而,組織最好考慮物聯網裝置的安全隱患,包括預設配置的弱密碼。

將物聯網裝置與Active Directory整合起來可以為保護物聯網基礎架構帶來諸多好處,包括集中式Active Directory密碼策略。然而,企業必須首先確保Active Directory密碼受到保護,免受現代密碼安全威脅,比如洩露的密碼。