物聯網守衛戰：企業如何應對僵屍網絡攻擊

【獵雲網（微信號：ilieyun）】1月15日報導（編譯：楊卟咚）

獵雲網注：本文作者羅曼·薩琴科（Roman Sachenko)是DA-14公司的軟體工程師，對資訊技術安全和物聯網技術有著濃厚的興趣。

你知道現在公司的網絡上連接了多少智能設備嗎？我曾經試著計算辦公室裡物聯網設備的數量，但是在數到第一百個之後，我就再也數不過來了。從印表機、Wi-Fi路由器到員工佩戴的可穿戴設備，物聯網無處不在。遍布各處的隱形傳感器和芯片一直在相互通信、傳輸和修改數據，這一切都是自組織的。聽起是不是很棒！但是問題也隨之而來，如果沒有恰當的安全措施，物聯網中的每一個部件都將成為網絡犯罪分子的犯罪切入點。誠然，公司在生產線中添加多個物聯網部件可以提高生產效率，實現流程自動化，同時提高利潤。但是，連接到網絡的內容越多，可攻擊的弱項就越多。

根據全球網絡安全領頭羊BeyondTrust公司的最新調查，物聯網設備將在2019年成為惡意軟體攻擊的主要目標。這條消息不足為怪，因為弱點仍然存在於物聯網的核心。

易受攻擊體質

為什麽絕大多數物聯網設備容易成為黑客的獵物？首先，也是最重要的一點，物聯網設備在構建時並未考慮網絡安全性。製造商為了壓製競爭對手，會盡量縮短產品上市時間，但往往以犧牲防禦措施為代價。儘管設備存在安全漏洞，但企業仍不斷擴大物聯網在系統中的應用面。預計連接設備將在2017年到2020年期間增加一倍。然而，在2018年中計劃增加採用物聯網方案的公司中，只有28%的公司看到了物聯網安全的優先性。

製造商缺乏安全考慮，用戶也缺乏安全意識，所以智能設備很容易被黑客劫持。與電腦相比，智能設備似乎力量微弱，無法造成較大傷害，但如果憑借數量實現相互通信，就能形成僵屍網絡（受感染設備形成的網絡）。犯罪分子使用易受攻擊的智能設備作為啟動平台，進行伺服器攻擊、網絡釣魚、點擊詐騙、間諜活動和其他非法活動。

主要威脅

最新的統計數據反映了物聯網安全的最大問題。比起2017年，去年前兩個季度分布式拒絕服務（Distributed De年l of Service，DDoS）攻擊增加了29%。物聯網僵屍網絡助長了惡意網絡活動。目前，企業使用的4.96億台智能設備都面臨著DNS重綁定（DNS rebinding）攻擊。這種攻擊手段最早出現在2007年，它能讓詐騙網站控制用戶的瀏覽器，從而控制連接到本地網絡的設備。最容易受到攻擊的設備包括網絡電話、印表機、網絡設備、網絡攝影機和流媒體播放器。黑客只要抓住一個弱點，就能讓企業的敏感資訊大規模洩露，阻止外部訪問，或者讓企業郵箱受到垃圾郵件的攻擊。然而，在員工數超過1000人的企業中，51% 的企業仍然不知道有多少設備連接到了公司網絡。相較而言，中小型企業則更加警惕，只有30%的公司不清楚連接數量。

物聯網攻擊變得愈加頻繁而猛烈，企業也越來越容易受網絡犯罪的傷害，一旦發生，企業將面臨經濟損失風險、失去客戶信任，最終走向破產。問題不在於企業會不會遭受攻擊，而在於遭受攻擊的時間和方式。盡快構建和保持高水準的網絡安全，就能最大限度地減少損失。物聯網是一個龐大而複雜的環境，包括設備韌體和軟體、互聯網通信、雲平台和雲應用程式。想要制定強大的網絡安全策略，就要考慮物聯網中的每個部分。以下是提高物聯網安全的一些基本做法：

1.設備保護

1）更改默認設定，使用高強度密碼和唯一的用戶名。通常，製造商會為所有產品設定相同的默認用戶名和密碼。為了幫助用戶進行設定，這些資訊通常會公布在網上。讓設備保持出場設定則會給黑客提供巨大的便利，2016年發生的分布式拒絕服務攻擊就是一個教訓，當年Mirai僵屍網絡組建了一支大型的僵屍網絡軍隊，而其成員正是61個使用了默認用戶名和密碼的設備。因此，在連接到網絡之前，最好使用難以破解的字元和字母組合來保護新設備。

2）更新軟體和韌體。為了修複安全缺陷，物聯網設備需要不斷更新和打補丁。確保連接的設備能夠自動更新，如若不然，請與設備製造商聯繫，以獲取韌體和軟體更新的詳細資訊。隨時安裝新補丁，讓設備保持在最新狀態。

3）定期重啟。大多數惡意軟體會上傳並保存在記憶體內，而重啟設備能夠刪除惡意軟體。

4）評估設備的安全功能。如上所述，許多物聯網部件缺乏按設計安全理念，也就無法進行修補。在購買新設備之前，請檢查它是否能更改密碼選項、是否有可更新的安全功能。如果設備還需配置雲服務，請盡量了解物聯網平台的安全策略、加密和數據保護解決方案。

5）在選擇物聯網內容時，請谘詢企業內負責網絡安全的員工。令人難以置信的是，在2/3的場合中，企業中負責網絡安全的專家並未參與物聯網部件的選擇和購買。

2.網絡保護?

1）找出並清點連接到公司網絡的所有物聯網設備。這裡的關鍵詞是“所有”。必須對所有的東西進行分類，甚至是一台看似無礙的咖啡機。越了解企業所處的物聯網環境，就越能夠保護它。許多企業仍然利用人工盤查房間、清點設備，但這樣太浪費時間。現在已經開發出免費的工具，可以自動識別連網設備，還能夠對設備進行分類。

2）斷開未授權和不使用的設備。一旦發現未知設備，強烈建議禁用它。另外，還可以斷開目前不使用的設備，移除沒用的舊設備。如此一來，易受攻擊的弱項就減少了很多。

3）掃描網絡，檢查是否存在惡意活動。監視連接的設備並分析它們的行為，就能確定它們是否處於正常的工作狀態。任何可疑活動都能表明設備可能已經遭受了黑客的攻擊。又或許可疑設備只是需要更新了或出現了一些漏洞。無論如何，應該禁用可疑設備，同時更仔細地檢查它。

4）使用強身份驗證。與設備類似，網絡也應當受到複雜密碼的保護。若要提高網絡安全，請添加雙重身份驗證，密碼級別將在第二重驗證時得到加強。

5）劃分子網。將網絡劃分為多個子網，就能區分內部員工和外部用戶所使用的網絡，清點出屬於員工的設備，也能為Web伺服器和數據庫創建單獨的網絡環境。

保持警惕

當然，提升物聯網安全性的方法並不局限於上述措施。這個問題比我們想象的更複雜，還是需要從設計階段開始，層層向後解決。一些科技巨頭，如微軟、英特爾、ARM 和霍尼韋爾，已經開始打造物聯網和工業物聯網的安全解決方案（包含硬體及生態）。然而，物聯網的發展速度過快，現有技術還不能保護設備及用戶的安全，因此在大多數情況下，網絡安全仍然掌握在用戶的手中。

一些公司認為自身規模過小，犯罪分子不會對他們感興趣，但在分布式拒絕服務攻擊下，黑客會利用一切不受保護的資源，讓那些設備成為實現犯罪目標的工具。如果不想被迫參與下一起僵屍網絡活動，那麽請先回答我一開始提出的問題：你知道現在公司的網絡上連接了多少智能設備嗎？