物(wù)聯網守衛戰：企業如何應對僵屍網絡攻擊

 你知(zhī)道現在公司的網絡上連接了多少智能設備嗎(ma)?我(wǒ)曾經試着計算辦公室裏物(wù)聯網設備的數量，但是在數到第一(yī)百個之後，我(wǒ)就再也數不過來了。從打印機、Wi-Fi路由器到員(yuán)工(gōng)佩戴的可穿戴設備，物(wù)聯網無處不在。遍布各處的隐形傳感器和芯片一(yī)直在相互通信、傳輸和修改數據，這一(yī)切都是自組織的。聽(tīng)起是不是很棒!但是問題也随之而來，如果沒有恰當的安全措施，物(wù)聯網中(zhōng)的每一(yī)個部件都将成爲網絡犯罪分(fēn)子的犯罪切入點。誠然，公司在生(shēng)産線中(zhōng)添加多個物(wù)聯網部件可以提高生(shēng)産效率，實現流程自動化，同時提高利潤。但是，連接到網絡的内容越多，可攻擊的弱項就越多。

根據全球網絡安全領頭羊BeyondTrust公司的最新調查，物(wù)聯網設備将在2019年成爲惡意軟件攻擊的主要目标。這條消息不足爲怪，因爲弱點仍然存在于物(wù)聯網的核心。

易受攻擊體(tǐ)質

爲什麽絕大(dà)多數物(wù)聯網設備容易成爲黑客的獵物(wù)?首先，也是最重要的一(yī)點，物(wù)聯網設備在構建時并未考慮網絡安全性。制造商(shāng)爲了壓制競争對手，會盡量縮短産品上市時間，但往往以犧牲防禦措施爲代價。盡管設備存在安全漏洞，但企業仍不斷擴大(dà)物(wù)聯網在系統中(zhōng)的應用面。預計連接設備将在2017年到2020年期間增加一(yī)倍。然而，在2018年中(zhōng)計劃增加采用物(wù)聯網方案的公司中(zhōng)，隻有28%的公司看到了物(wù)聯網安全的優先性。

制造商(shāng)缺乏安全考慮，用戶也缺乏安全意識，所以智能設備很容易被黑客劫持。與計算機相比，智能設備似乎力量微弱，無法造成較大(dà)傷害，但如果憑借數量實現相互通信，就能形成僵屍網絡(受感染設備形成的網絡)。犯罪分(fēn)子使用易受攻擊的智能設備作爲啓動平台，進行服務器攻擊、網絡釣魚、點擊詐騙、間諜活動和其他非法活動。

主要威脅

最新的統計數據反映了物(wù)聯網安全的最大(dà)問題。比起2017年，去(qù)年前兩個季度分(fēn)布式拒絕服務(Distributed Denial of Service，DDoS)攻擊增加了29%。物(wù)聯網僵屍網絡助長了惡意網絡活動。目前，企業使用的4.96億台智能設備都面臨着DNS重綁定(DNS rebinding)攻擊。這種攻擊手段最早出現在2007年，它能讓詐騙網站控制用戶的浏覽器，從而控制連接到本地網絡的設備。最容易受到攻擊的設備包括網絡電(diàn)話(huà)、打印機、網絡設備、網絡攝像機和流媒體(tǐ)播放(fàng)器。黑客隻要抓住一(yī)個弱點，就能讓企業的敏感信息大(dà)規模洩露，阻止外(wài)部訪問，或者讓企業郵箱受到垃圾郵件的攻擊。然而，在員(yuán)工(gōng)數超過1000人的企業中(zhōng)，51% 的企業仍然不知(zhī)道有多少設備連接到了公司網絡。相較而言，中(zhōng)小(xiǎo)型企業則更加警惕，隻有30%的公司不清楚連接數量。

物(wù)聯網攻擊變得愈加頻(pín)繁而猛烈，企業也越來越容易受網絡犯罪的傷害，一(yī)旦發生(shēng)，企業将面臨經濟損失風險、失去(qù)客戶信任，最終走向破産。問題不在于企業會不會遭受攻擊，而在于遭受攻擊的時間和方式。盡快構建和保持高水平的網絡安全，就能最大(dà)限度地減少損失。物(wù)聯網是一(yī)個龐大(dà)而複雜(zá)的環境，包括設備固件和軟件、互聯網通信、雲平台和雲應用程序。想要制定強大(dà)的網絡安全策略，就要考慮物(wù)聯網中(zhōng)的每個部分(fēn)。以下(xià)是提高物(wù)聯網安全的一(yī)些基本做法：

1. 設備保護

• 更改默認設置，使用高強度密碼和唯一(yī)的用戶名。通常，制造商(shāng)會爲所有産品設置相同的默認用戶名和密碼。爲了幫助用戶進行設置，這些信息通常會公布在網上。讓設備保持出場設置則會給黑客提供巨大(dà)的便利，2016年發生(shēng)的分(fēn)布式拒絕服務攻擊就是一(yī)個教訓，當年Mirai僵屍網絡組建了一(yī)支大(dà)型的僵屍網絡軍隊，而其成員(yuán)正是61個使用了默認用戶名和密碼的設備。因此，在連接到網絡之前，最好使用難以破解的字符和字母組合來保護新設備。
• 更新軟件和固件。爲了修複安全缺陷，物(wù)聯網設備需要不斷升級和打補丁。确保連接的設備能夠自動更新，如若不然，請與設備制造商(shāng)聯系，以獲取固件和軟件更新的詳細信息。随時安裝新補丁，讓設備保持在最新狀态。
• 定期重啓。大(dà)多數惡意軟件會上傳并保存在存儲器内，而重啓設備能夠删除惡意軟件。
• 評估設備的安全功能。如上所述，許多物(wù)聯網部件缺乏按設計安全理念，也就無法進行修補。在購買新設備之前，請檢查它是否能更改密碼選項、是否有可更新的安全功能。如果設備還需配置雲服務，請盡量了解物(wù)聯網平台的安全策略、加密和數據保護解決方案。
• 在選擇物(wù)聯網内容時，請咨詢企業内負責網絡安全的員(yuán)工(gōng)。令人難以置信的是，在2/3的場合中(zhōng)，企業中(zhōng)負責網絡安全的專家并未參與物(wù)聯網部件的選擇和購買。

2. 網絡保護

• 找出并清點連接到公司網絡的所有物(wù)聯網設備。這裏的關鍵詞是“所有”。必須對所有的東西進行分(fēn)類，甚至是一(yī)台看似無礙的咖啡機。越了解企業所處的物(wù)聯網環境，就越能夠保護它。許多企業仍然利用人工(gōng)盤查房間、清點設備，但這樣太浪費(fèi)時間。現在已經開(kāi)發出免費(fèi)的工(gōng)具，可以自動識别連網設備，還能夠對設備進行分(fēn)類。
• 斷開(kāi)未授權和不使用的設備。一(yī)旦發現未知(zhī)設備，強烈建議禁用它。另外(wài)，還可以斷開(kāi)目前不使用的設備，移除沒用的舊(jiù)設備。如此一(yī)來，易受攻擊的弱項就減少了很多。
• 掃描網絡，檢查是否存在惡意活動。監視連接的設備并分(fēn)析它們的行爲，就能确定它們是否處于正常的工(gōng)作狀态。任何可疑活動都能表明設備可能已經遭受了黑客的攻擊。又(yòu)或許可疑設備隻是需要更新了或出現了一(yī)些漏洞。無論如何，應該禁用可疑設備，同時更仔細地檢查它。
• 使用強身份驗證。與設備類似，網絡也應當受到複雜(zá)密碼的保護。若要提高網絡安全，請添加雙重身份驗證，密碼級别将在第二重驗證時得到加強。
• 劃分(fēn)子網。将網絡劃分(fēn)爲多個子網，就能區分(fēn)内部員(yuán)工(gōng)和外(wài)部用戶所使用的網絡，清點出屬于員(yuán)工(gōng)的設備，也能爲Web服務器和數據庫創建單獨的網絡環境。

保持警惕

當然，提升物(wù)聯網安全性的方法并不局限于上述措施。這個問題比我(wǒ)們想象的更複雜(zá)，還是需要從設計階段開(kāi)始，層層向後解決。一(yī)些科技巨頭，如微軟、英特爾、ARM 和霍尼韋爾，已經開(kāi)始打造物(wù)聯網和工(gōng)業物(wù)聯網的安全解決方案(包含硬件及生(shēng)态)。然而，物(wù)聯網的發展速度過快，現有技術還不能保護設備及用戶的安全，因此在大(dà)多數情況下(xià)，網絡安全仍然掌握在用戶的手中(zhōng)。

一(yī)些公司認爲自身規模過小(xiǎo)，犯罪分(fēn)子不會對他們感興趣，但在分(fēn)布式拒絕服務攻擊下(xià)，黑客會利用一(yī)切不受保護的資(zī)源，讓那些設備成爲實現犯罪目标的工(gōng)具。如果不想被迫參與下(xià)一(yī)起僵屍網絡活動，那麽請先回答我(wǒ)一(yī)開(kāi)始提出的問題：你知(zhī)道現在公司的網絡上連接了多少智能設備嗎(ma)?