物联网成2022年黑客主要攻击目标，企业组织如何应对IoT安全威胁？

事实表明，物联网在数字化转型中发挥着关键作用。但是在许多情况下，很多企业意识到，他们多年来部署和管理的大量物联网设备，许多设计并未考虑到安全性。

企业对于采用物联网设备最担忧的问题之一是管理与日益增加的风险。物联网相关的信息安全和隐私问题已经引起全球关注，因为这些设备肩负与物理世界交互的任务。物联网漏洞不断出现，使得制造商在设计上强调物联网安全至关重要。

许多行业组织都发现并披露了物联网漏洞，这些漏洞威胁到敏感数据和人身安全。毫无疑问，物联网是黑客在2022年的主要目标，任何生产或使用这些设备的组织都需要做好准备。

常见的物联网安全威胁

（1）物联网僵尸网络

物联网设备对僵尸网络构建者来说是很有吸引力的目标——这些黑客攻击数百万台设备，并将连接到可用于犯罪活动的网络。物联网设备是僵尸网络的理想设备，因为它们的安全性较差，并且还存在大量几乎相同的设备，网络攻击者可以使用同样的策略进行攻击。

网络攻击者可以使用未受保护的端口或网络钓鱼诈骗手段使用恶意软件感染物联网设备，并将它们纳入可用于发起大规模网络攻击的僵尸网络。黑客可以使用现成的攻击工具包来检测敏感设备、渗透它们并避免检测。然后，工具包中的另一个模块指示设备代表僵尸网络所有者发起攻击或窃取信息。威胁行为者经常在分布式拒绝服务(DDoS)攻击期间利用物联网僵尸网络。

（2）数据泄露

当黑客使用恶意软件感染物联网设备时，他们所做的不仅仅是将设备加入僵尸网络。例如，网络攻击者可以访问设备数据并窃取其中存储的敏感信息，他们还利用物联网从设备固件中获取凭据。使用这些凭据，网络攻击者可以访问企业网络或其他存储敏感数据的系统。这样，对这些设备的攻击可能会变成全面的数据泄露。

（3）影子物联网

影子物联网的出现是因为IT管理员并不总是能够控制连接到网络的设备。具有IP地址的设备（例如数字助理、智能手表或打印机）经常连接到企业网络，并不总是符合安全标准。

如果不了解影子物联网设备，IT管理员无法确保硬件和软件具有基本安全功能，并且很难监控设备上的恶意流量。当黑客入侵这些设备时，他们可以利用与企业网络的连接并提升权限来访问其敏感信息。

需要警惕的物联网安全事件

自从物联网的概念在上世纪末诞生以来，安全专家警告说，连接到互联网的设备将对社会构成风险。从那时起，全球各地公布了许多大规模的网络攻击事件，其中网络攻击者破坏了大量物联网设备，并对公共安全和企业安全造成了真正的威胁。

（1）Stuxnet攻击

2010年，研究人员发现一种名为Stuxnet的病毒对伊朗的核原料离心机造成了物理性损坏。该攻击始于2006年，2009年是该活动的初级阶段。恶意软件操纵了从可编程逻辑控制器(PLC)发送的命令。Stuxnet通常被认为是一种物联网攻击，是最早针对工业环境中使用的监控和数据采集(SCADA)系统的攻击之一。

（2）首个物联网僵尸网络

2013年，Proofpoint公司研究人员发现了“首个物联网僵尸网络”，25%以上的僵尸网络由智能电视、家用电器和婴儿监视器等非计算机设备组成。从那时起，Crash Override、VPN Filter和Triton等恶意软件已被广泛用于破坏工业物联网系统。

（3）远程控制汽车

2015年，两名安全研究人员通过部署在车内的克莱斯勒Uconnect系统远程入侵了一辆吉普车，并执行了远程操作，例如更改收音机频道、打开雨刷和空调。研究人员表示，他们可以禁用刹车，导致发动机失速、减速或完全熄火。

（4）Mirai僵尸网络

2016年，有史以来发现的规模最大的物联网僵尸网络Mirai攻击了欧洲托管数据中心服务商OVH公司的网站。这些攻击规模巨大，其带宽高达630Gbps到1.1Tbps。随后，该僵尸网络被用于攻击大型DNS提供商Dyn以及Twitter、亚马逊、Netflix和纽约时报等知名公司的网站。攻击者使用路由器和IP监控摄像头等物联网设备构建了僵尸网络。

（5）St.Jude心脏设备漏洞

2017年，美国食品和药物管理局(FDA)发出警告，St.Jude Medical公司制造的植入式心脏设备容易受到攻击，其中包括植入患者体内的起搏器。出席黑帽会议的安全研究人员Billy Rios和Jonathan Butts证明了他们可以侵入并关闭心脏起搏器，如果遭到黑客入侵，就会对患者造成生命危险。

物联网安全最佳实践

当企业考虑制定物联网安全策略时，以下是一些可以改善其安全状况的最佳实践。

（1）使用物联网安全分析

安全分析基础设施可以显著减少与物联网相关的漏洞和安全问题。这需要收集、编译和分析来自多个物联网来源的数据，将其与威胁情报相结合，并将其发送到安全运营中心（SOC）。

当物联网数据与来自其他安全系统的数据相结合时，安全团队就有更好的机会识别和响应潜在威胁。安全分析系统可以关联数据源，并识别可能代表可疑行为的异常。安全团队然后可以调查并响应异常情况，防止攻击者破坏企业物联网设备。

（2）网络分段

网络分段是一种能够将特定组件与其他组件隔离以提高安全性的技术。在物联网的应用中，分段可以帮助防止网络攻击者或恶意内部人员连接到物联网设备，或者可以防止受感染的设备感染网络的其他部分。企业可以将这一技术应用到安全策略中或使用网络安全解决方案。

在开始进行网络分段工作时，需要创建当前使用的物联网设备的综合列表、它们的连接方法（VLAN或LAN）、它们传输数据的方式和类型，以及每个设备需要连接到网络上的其他设备。特别是，检查每个类别的设备是否需要访问互联网，如果不需要，则禁用它。

网络分段的一个建议是指定特定的设备类别，例如数据收集、基础设施或个人员工拥有的设备。企业可以根据每个物联网端点的连接要求创建分段策略，并采取措施隔离或阻止网络访问真正不需要的端点。

（3）启用设备身份验证

降低物联网设备易受攻击性的另一种方法是在所有设备上强制执行完全身份验证。无论物联网设备是否具有简单的密码身份验证，还是数字证书、生物识别或多因素身份验证(MFA)等更高级的措施，需要使用设备上可用的最安全的身份验证，并确保从不使用出厂默认密码。

（4）用于物联网安全的人工智能和机器学习

不断扩大的物联网设备网络会产生大量数据，如果没有适当的分析，这些数据将毫无用处。借助人工智能和机器学习对海量数据集进行分析，使机器能够自学、保留所学知识，从而提高物联网系统的能力。

作为最近的物联网趋势之一，基于人工智能的入侵检测系统(IDS)持续监控网络，收集和分析来自先前遭遇网络攻击的信息。它们可以根据历史数据预测攻击，并提出应对威胁的解决方案。即使出现新的黑客技术，它们仍然可能包括以前使用的模式，这些模式可以通过机器学习算法实时识别。

一般来说，有两种基于机器学习的入侵检测系统（IDS）。

· 异常IDS根据记录的正常行为检测攻击，将当前实时流量与之前记录的正常实时流量进行比较。这些系统能够检测到一种新型攻击，尽管存在大量误报警报，但仍被广泛使用。
· 误用IDS或签名IDS滥用或签名入侵检测系统（IDS），比较当前实时流量中识别的模式与已知的各种类型的先前攻击模式之间的相似性。它显示少量误报，但新型攻击可能未被发现。

而线性判别分析(LDA)、分类和回归树(CART)和随机森林等机器学习算法可用于攻击识别和分类。