2021 年 2 月一個(gè)普通的星期五早上，佛羅里達(dá)州奧茲馬市的居民從沉睡中醒來(lái)，發(fā)現(xiàn)他們的供水系統(tǒng)遭到了黑客入侵。黑客試圖增加水中氫氧化鈉（堿液）的濃度，毒害全城居民……幸運(yùn)的是，市政工作人員及時(shí)發(fā)現(xiàn)并阻止了攻擊。事后，當(dāng)?shù)卣�府迅速回�?yīng)安撫輿情，聲稱這件事證明了他們目前的安全措施是有效的。但事實(shí)真的如此嗎？

當(dāng)今的黑客行為幾乎均為利益驅(qū)動(dòng)，隨著物聯(lián)網(wǎng)用例的不斷增加，物聯(lián)網(wǎng)在攻擊者眼中愈發(fā)成為一塊誘人的蛋糕。在構(gòu)建物聯(lián)網(wǎng)設(shè)備時(shí)，企業(yè)必須意識(shí)到這種不斷擴(kuò)大的威脅形勢(shì)，并確保設(shè)備具有開(kāi)箱即用的安全性，能夠幫助用戶抵御網(wǎng)絡(luò)攻擊，這一點(diǎn)比以往任何時(shí)候都重要。

Check Point安全專家將通過(guò)本文探討物聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)劇增的原因，同時(shí)紹在開(kāi)發(fā)物聯(lián)網(wǎng)產(chǎn)品時(shí)引入多層防護(hù)措施的核心方法。

物聯(lián)網(wǎng)黑客攻擊：日益嚴(yán)峻的威脅形勢(shì)

哪些類型的產(chǎn)品最容易遭到物聯(lián)網(wǎng)攻擊？答案令人不寒而栗：所有類型的產(chǎn)品。Check Point通過(guò)其強(qiáng)大的威脅情報(bào)云對(duì)未來(lái)物聯(lián)網(wǎng)安全重點(diǎn)行業(yè)進(jìn)行了預(yù)測(cè)：

汽車設(shè)備：曾經(jīng)有一支安全專家隊(duì)伍設(shè)法入侵吉普 SUV，成功將其駛離了道路，這個(gè)實(shí)驗(yàn)讓人們意識(shí)到，聯(lián)網(wǎng)汽車非常容易受到攻擊。麥肯錫的一份報(bào)告稱，“當(dāng)今的汽車擁有多達(dá) 150 個(gè) ECU（電子控制單元）和大約 1 億行代碼；許多觀察人士預(yù)計(jì)，到 2030 年，它們將擁有大約 3 億行軟件代碼”，比商用飛機(jī)還要復(fù)雜。

醫(yī)療設(shè)備：圣猶達(dá)醫(yī)療設(shè)備公司推出的植入式心臟設(shè)備存在一個(gè)漏洞，一旦遭到黑客利用，就會(huì)危及患者生命安全。雖然黑客不太可能真的剝奪患者的生命，但這很容易成為黑客索取高額贖金的目標(biāo)。

關(guān)鍵基礎(chǔ)設(shè)施：破壞供暖和制冷系統(tǒng)的 DDoS 攻擊就屬于這種類型的攻擊。當(dāng)前，物聯(lián)網(wǎng)控制著從車庫(kù)門到建筑安全，再到照明和投影系統(tǒng)的一切設(shè)備，黑客一旦入侵，后果將不堪設(shè)想。此外，物聯(lián)網(wǎng)設(shè)備作為進(jìn)入公司網(wǎng)絡(luò)的后門，為黑客提供了 root 訪問(wèn)權(quán)限，他們可以更改源代碼并在整個(gè)網(wǎng)絡(luò)中隨意移動(dòng)，對(duì)敏感服務(wù)器和數(shù)據(jù)造成了巨大威脅。

多維攻擊

為何一些設(shè)備特別容易受到攻擊？Check Point安全專家總結(jié)出以下四個(gè)主要因素：

物聯(lián)網(wǎng)設(shè)備缺乏統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范

不安全且“始終在線”的網(wǎng)絡(luò)訪問(wèn)

第三方組件可能存在漏洞

難以部署基于軟件的安全策略

除了這些問(wèn)題之外，大多數(shù)物聯(lián)網(wǎng)設(shè)備的默認(rèn)密碼都較弱，而且網(wǎng)絡(luò)管理員很少執(zhí)行更改默認(rèn)密碼操作。如今黑客的目標(biāo)已經(jīng)不再只是路由器、醫(yī)療設(shè)備和工業(yè)控制器等技術(shù)設(shè)備。智能手表、網(wǎng)絡(luò)攝像頭、智能電視、吸塵器、打印機(jī)，甚至玩具都可能成為不法分子的犯罪渠道。

同時(shí)，黑客的攻擊可能屬于以下一種或多種類別：

蓄意毀壞：就像供熱和制冷系統(tǒng)一樣，隨著越來(lái)越多的生產(chǎn)線接入物聯(lián)網(wǎng)，黑客成功入侵系統(tǒng)的可能性大大增加，他們希望通過(guò)入侵對(duì)企業(yè)索要高額贖金。

數(shù)據(jù)泄露：黑客可能會(huì)攔截進(jìn)出物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)，包括信用卡信息和實(shí)時(shí)健康更新、視頻圖像和生產(chǎn)線控制命令等，然后用來(lái)實(shí)施勒索或訪問(wèn)其他系統(tǒng)。

滲透：攻擊者可以使用物聯(lián)網(wǎng)設(shè)備訪問(wèn)內(nèi)部網(wǎng)絡(luò)，然后再通過(guò)內(nèi)部網(wǎng)絡(luò)潛入設(shè)備（通常沒(méi)有零信任或其他現(xiàn)代無(wú)信任框架保護(hù)）執(zhí)行命令。

因此，無(wú)論哪個(gè)行業(yè)，用戶都需要保護(hù)物聯(lián)網(wǎng)設(shè)備，確保它不會(huì)被黑客用來(lái)攻擊企業(yè)以及企業(yè)的客戶、破壞公司聲譽(yù)。

多層防護(hù)措施

雖然黑客的攻擊日趨頻繁，但是通過(guò)物聯(lián)網(wǎng)制造商充分的安全規(guī)劃，幾乎所有類型的攻擊都可以被有效防范。

為確保物聯(lián)網(wǎng)設(shè)備處于最佳風(fēng)險(xiǎn)防范狀態(tài)，用戶首先要評(píng)估所有潛在的風(fēng)險(xiǎn)途徑，然后強(qiáng)化設(shè)備和管理策略。

以下是Check Point安全團(tuán)隊(duì)總結(jié)的部分最佳安全實(shí)踐：

創(chuàng)建用戶可自行更新的身份驗(yàn)證方法（例如用戶名和密碼），以此作為基本防線。

考慮添加無(wú)密碼／生物識(shí)別安全功能，以加強(qiáng)安全控制。

僅根據(jù)需要存儲(chǔ)和傳輸數(shù)據(jù)，以實(shí)現(xiàn)合法的商業(yè)目的或滿足用戶需求。

加密所有數(shù)據(jù)通信。（超過(guò) 90％ 的物聯(lián)網(wǎng)數(shù)據(jù)通信都沒(méi)有加密。）

部署如Check Point Quantum IoT Protect Firmware 這樣的工具，提供設(shè)備運(yùn)行時(shí)保護(hù)，從而輕松開(kāi)發(fā)具有內(nèi)置固件安全性的物聯(lián)網(wǎng)互聯(lián)設(shè)備，抵御最復(fù)雜的網(wǎng)絡(luò)攻擊。

固件安全：最有效的應(yīng)對(duì)之策

在上述所有最佳實(shí)踐中，最為有效、同時(shí)最具性價(jià)比的防護(hù)策略是關(guān)注設(shè)備固件更新。

對(duì)于服務(wù)器、工作站、筆記本電腦、平板電腦及 Android 、 iOS 等主流設(shè)備，用戶可以依賴其軟件的安全性。然而，許多物聯(lián)網(wǎng)設(shè)備難以實(shí)施基于軟件的安全性，因?yàn)樗鼈儧](méi)有統(tǒng)一的接口和通信標(biāo)準(zhǔn)。

由于制造物聯(lián)網(wǎng)產(chǎn)品的供應(yīng)商有很多，物聯(lián)網(wǎng)環(huán)境的通信協(xié)議通常都是專有的：由特定供應(yīng)商為特定行業(yè)中的特定設(shè)備創(chuàng)建。因此，物聯(lián)網(wǎng)環(huán)境的設(shè)備通信、統(tǒng)一安全策略管理以及適時(shí)進(jìn)行應(yīng)用補(bǔ)丁與升級(jí)十分復(fù)雜。這是物聯(lián)網(wǎng)設(shè)備經(jīng)常出現(xiàn)配置錯(cuò)誤、未打補(bǔ)丁和不安全的主要原因。

顯然，要想從一眾廠商中脫穎而出，并通過(guò)構(gòu)建滿足嚴(yán)格安全標(biāo)準(zhǔn)的產(chǎn)品建立信任，企業(yè)需要為客戶提供更安全的體驗(yàn)。Check Point Quantum IoT Protect Firmware 可為用戶提供設(shè)備運(yùn)行保護(hù)、抵御零日網(wǎng)絡(luò)攻擊，為企業(yè)打造更安全的使用體驗(yàn)。

Check Point Quantum IoT Protect Firmware 采用了上述最佳安全實(shí)踐中提到的管理策略：

評(píng)估：確定哪些風(fēng)險(xiǎn)可能危害產(chǎn)品安全。

強(qiáng)化：控制流完整性 （CFI） 保護(hù)功能可實(shí)時(shí)阻止攻擊，包括零日攻擊，且不會(huì)影響用戶體驗(yàn)。

控制：通過(guò)開(kāi)放的 API 控制通信，設(shè)置安全實(shí)踐，管理產(chǎn)品。

因此，Check Point能夠幫助用戶真正體驗(yàn)開(kāi)箱即用的安全物聯(lián)網(wǎng)設(shè)備，同時(shí)幫助用戶通過(guò)部署安全的物聯(lián)網(wǎng)，提升自身核心競(jìng)爭(zhēng)力。