企業(yè)界見證了物聯(lián)網(wǎng)設備爆炸式增長這一幕���。如今,我們看到邊緣端更多的連接選擇����,需要將計算資源置于盡可能靠近數(shù)據(jù)的地方,以獲得寶貴的業(yè)務洞察力���。物聯(lián)網(wǎng)設備和聯(lián)網(wǎng)智能設備因此遍地開花���。
盡管在邊緣端使用物聯(lián)網(wǎng)設備有其優(yōu)點和效率,但從安全角度來看��,這可能成為眾多組織的一大盲點��。企業(yè)如何使用物聯(lián)網(wǎng)���,如何保護它?我們將考慮重要的安全最佳實踐以及安全密碼策略對設備安全而言的重要性���。
物聯(lián)網(wǎng)設備是什么東東?
通常來說����,物聯(lián)網(wǎng)是指擁有嵌入式軟件�、傳感器、網(wǎng)絡連接及和其他技術的設備�����,因此它們可以與連接到互聯(lián)網(wǎng)的其他設備交換數(shù)據(jù)�����。物聯(lián)網(wǎng)設備種類繁多����,從家用電器(冰箱���、恒溫器���、烤箱、微波爐及其他電器)���,到工業(yè)工具����、傳感器及生產(chǎn)設施中的機器,不一而足�。這些聯(lián)網(wǎng)“物件”可以收集和交換多種類型的數(shù)據(jù)。
圖1. 物聯(lián)網(wǎng)設備將物理世界與數(shù)字世界連接起來
隨著寬帶網(wǎng)絡連接�、無線網(wǎng)絡以及如今偏遠地區(qū)的5G移動網(wǎng)絡日漸普及,現(xiàn)在可以將任何設備連接到網(wǎng)絡���,包括物聯(lián)網(wǎng)設備��。因此���,傳統(tǒng)上的“非智能”設備現(xiàn)正在向能夠聯(lián)網(wǎng)的“智能設備”轉(zhuǎn)變。
如今物聯(lián)網(wǎng)設備在醫(yī)療保健和制造行業(yè)尤為常見�����,關鍵業(yè)務流程和數(shù)據(jù)通過顯示器�����、平板電腦����、掃描儀及更多聯(lián)網(wǎng)設備來運作或傳輸��。
為什么物聯(lián)網(wǎng)會徹底改變企業(yè)的數(shù)據(jù)收集?
如果您考慮一下物聯(lián)網(wǎng)設備的功能以及收集和交換數(shù)據(jù)的可能性�����,它無異于為企業(yè)充分利用收集的數(shù)據(jù)提供了眾多的新機會���。
借助物聯(lián)網(wǎng)設備,我們置身的這個世界變得“超級互聯(lián)”����,因此周圍的一切都可以收集數(shù)據(jù)并傳輸這些數(shù)據(jù)以供分析。對于企業(yè)而言�����,這意味著數(shù)據(jù)收集和分析傳感器可能無處不在���,為大數(shù)據(jù)平臺的分析提供實時反饋數(shù)據(jù)。
企業(yè)意識到物聯(lián)網(wǎng)設備帶來的好處和價值��,包括如下:
• 企業(yè)可以利用從與物聯(lián)網(wǎng)連接的設備獲得的洞察力���,提高生產(chǎn)力和效率��。
• 公司可以收集數(shù)據(jù)驅(qū)動的寶貴信息��,幫助做出業(yè)務決策�。
• 幫助企業(yè)充分發(fā)揮創(chuàng)造收入的潛力,并開拓新的收入模式��。
• 可以輕松地將物理世界與數(shù)字世界連接起來��,這有助于推動創(chuàng)新���、增強敏捷性���、提高效率以及對數(shù)據(jù)模型有新的理解。
物聯(lián)網(wǎng)設備與現(xiàn)代機器學習算法協(xié)同運行��,可以非??焖俚胤治龃罅渴占臄?shù)據(jù),從而使企業(yè)能夠推斷出智能業(yè)務信息�����。此外�,分析的數(shù)據(jù)便于深入了解統(tǒng)計數(shù)據(jù)�����、關鍵績效指標(KPI)及其他指標�����。這些可用于識別設備性能異?��;蚋鶕?jù)配置的各個閾值發(fā)送警報。
物聯(lián)網(wǎng)架構(gòu)
物聯(lián)網(wǎng)系統(tǒng)的架構(gòu)是什么?它又包括哪些硬件���、服務和應用程序?如今的現(xiàn)代物聯(lián)網(wǎng)系統(tǒng)包括以下組合:
• 無線網(wǎng)絡——無線網(wǎng)絡是物聯(lián)網(wǎng)系統(tǒng)的連接平臺�,使物聯(lián)網(wǎng)智能設備和傳感器能夠放置在無線網(wǎng)絡可以覆蓋的任何地方�。
• 云或私有數(shù)據(jù)中心數(shù)據(jù)庫位置——云或私有數(shù)據(jù)中心數(shù)據(jù)庫位置可存儲物聯(lián)網(wǎng)設備生成、捕獲和傳輸?shù)拇罅啃畔⒑瓦b測數(shù)據(jù)���。
• 硬件傳感器——視設備、用例及其他方面而定����,硬件傳感器從一系列廣泛的系統(tǒng)收集數(shù)據(jù)。
• 智能設備——智能設備傳統(tǒng)上是執(zhí)行各種任務的“非智能”設備��,如今嵌入了智能傳感器,能夠連接到無線網(wǎng)絡以傳輸收集到的數(shù)據(jù)���。
• 計算引擎——計算引擎的目的是從物聯(lián)網(wǎng)設備和硬件傳感器收集的原始數(shù)據(jù)來分析和提供寶貴信息�。
物聯(lián)網(wǎng)的安全影響
雖然物聯(lián)網(wǎng)是一種功能非常強大的技術��,用戶可以從中受益����,但企業(yè)最好考慮物聯(lián)網(wǎng)的安全影響,因為這與它們的整體安全狀況密切相關��。實施物聯(lián)網(wǎng)設備的企業(yè)目前又面臨哪些安全挑戰(zhàn)?
• 配置錯誤和密碼管理不善
• 漏洞和補丁管理
• DDoS攻擊
• 缺少物理安全
• 不安全的協(xié)議
1. 配置錯誤和密碼管理不善
實施物聯(lián)網(wǎng)設備的主要難題之一是配置錯誤和密碼管理不善�。許多物聯(lián)網(wǎng)設備和傳感器可能默認采用“開放式”的不安全的開箱即用配置。它常常包括在同一型號/供應商的所有物聯(lián)網(wǎng)設備之間共享的一個非常弱的“默認”密碼����。它還可能包括默認使用不安全的通信協(xié)議,或默認打開的危險的連接選項���,比如telnet和FTP 等����。
組織必須確保自己正確地將“默認值”重新配置為更安全的設備配置�。將物聯(lián)網(wǎng)設備與LDAP身份驗證集成起來��,可提供安全得多的配置��,允許物聯(lián)網(wǎng)設備身份驗證與企業(yè)Active Directory密碼策略保持一致�,并進行集中控制��。管理員應該將默認密碼改為不重復的本地設備強密碼�,或完全禁用默認密碼。
2. 漏洞和補丁管理
漏洞帶來了與物聯(lián)網(wǎng)設備有關的另一個難題��。與結(jié)合使用軟硬件的其他技術系統(tǒng)一樣�����,漏洞可能因遺留軟件���、固件安全和零日攻擊而出現(xiàn)���。
如果更新穎的軟件補丁導致遺留系統(tǒng)之間出現(xiàn)互操作性問題,IT 安全團隊需要為各種物聯(lián)網(wǎng)設備或部署的其他補償控制措施制定一份例行補丁時間表��,以降低運行過時軟件帶來的風險��。
3. DDoS 攻擊
物聯(lián)網(wǎng)設備帶來的一大安全問題是它們被用于放大DDoS攻擊����。DDoS即分布式拒絕服務攻擊使用大批量受感染的系統(tǒng),讓網(wǎng)絡安全防御系統(tǒng)(比如邊界防火墻)不堪重負��,從而干擾或“拒絕”流量���。
由于眾所周知的不安全“默認值”����,包括默認密碼�����,物聯(lián)網(wǎng)設備很容易被惡意攻擊者接管����,這些攻擊者利用物聯(lián)網(wǎng)設備用發(fā)動基于僵尸網(wǎng)絡的大規(guī)模DDoS攻擊。據(jù)諾基亞的一份報告聲稱����,分析從全球互聯(lián)網(wǎng)服務提供商(ISP)收集的10000多起DDoS攻擊后發(fā)現(xiàn),DDoS攻擊流量超過了4 Tbps����。
4. 缺少物理安全
物聯(lián)網(wǎng)設備常常位于可能缺少物理安全的區(qū)域(比如生產(chǎn)設施�、倉庫��、車間和醫(yī)院走廊等)�。假設攻擊者能夠獲得物聯(lián)網(wǎng)設備的物理訪問權。在這種情況下���,他們可能會繞過設備的內(nèi)置安全機制��、危害設備以及往系統(tǒng)中植入惡意軟件或其他后門���。
組織必須考慮物聯(lián)網(wǎng)設備的物理安全,并通過加密及其他最佳實踐來加強數(shù)據(jù)安全�,以實現(xiàn)卓有成效的“分層”安全方法。
5. 不安全的協(xié)議
可能給企業(yè)帶來安全風險的默認設置之一是不安全的協(xié)議�����。與默認弱密碼一樣�����,默認弱協(xié)議(比如HTTP而不是HTTPS)讓攻擊者可以攔截流量或執(zhí)行網(wǎng)絡“窺視”�����,輕松查看通過網(wǎng)絡傳輸?shù)拿舾袛?shù)據(jù)。
公司必須確保他們禁用默認弱協(xié)議�,并且只啟用和使用安全協(xié)議用于物聯(lián)網(wǎng)設備之間的通信��。
結(jié)語
物聯(lián)網(wǎng)設備正在給企業(yè)帶來令人興奮的功能和好處�,使企業(yè)能夠從邊緣收集的實時數(shù)據(jù)捕獲、處理和獲得寶貴信息�。然而,組織最好考慮物聯(lián)網(wǎng)設備的安全隱患����,包括默認配置的弱密碼。
將物聯(lián)網(wǎng)設備與Active Directory集成起來可以為保護物聯(lián)網(wǎng)基礎架構(gòu)帶來諸多好處���,包括集中式Active Directory密碼策略���。然而,企業(yè)必須首先確保Active Directory密碼受到保護�,免受現(xiàn)代密碼安全威脅,比如泄露的密碼�����。
參考及來源:https://www.bleepingcomputer.com/news/security/securing-your-iot-devices-against-cyber-attacks-in-5-steps/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761