2021 年 2 月一個普通的星期五早上，佛羅里達(dá)州奧茲馬市的居民從沉睡中醒來，發(fā)現(xiàn)他們的供水系統(tǒng)遭到了黑客入侵。黑客試圖增加水中氫氧化鈉（堿液）的濃度，毒害全城居民……幸運的是，市政工作人員及時發(fā)現(xiàn)并阻止了攻擊。事后，當(dāng)?shù)卣�府迅速回�?yīng)安撫輿情，聲稱這件事證明了他們目前的安全措施是有效的。但事實真的如此嗎？

當(dāng)今的黑客行為幾乎均為利益驅(qū)動，隨著物聯(lián)網(wǎng)用例的不斷增加，物聯(lián)網(wǎng)在攻擊者眼中愈發(fā)成為一塊誘人的蛋糕。在構(gòu)建物聯(lián)網(wǎng)設(shè)備時，企業(yè)必須意識到這種不斷擴大的威脅形勢，并確保設(shè)備具有開箱即用的安全性，能夠幫助用戶抵御網(wǎng)絡(luò)攻擊，這一點比以往任何時候都重要。

Check Point安全專家將通過本文探討物聯(lián)網(wǎng)設(shè)備風(fēng)險劇增的原因，同時紹在開發(fā)物聯(lián)網(wǎng)產(chǎn)品時引入多層防護(hù)措施的核心方法。

物聯(lián)網(wǎng)黑客攻擊：日益嚴(yán)峻的威脅形勢

哪些類型的產(chǎn)品最容易遭到物聯(lián)網(wǎng)攻擊？答案令人不寒而栗：所有類型的產(chǎn)品。Check Point通過其強大的威脅情報云對未來物聯(lián)網(wǎng)安全重點行業(yè)進(jìn)行了預(yù)測：

汽車設(shè)備：曾經(jīng)有一支安全專家隊伍設(shè)法入侵吉普 SUV，成功將其駛離了道路，這個實驗讓人們意識到，聯(lián)網(wǎng)汽車非常容易受到攻擊。麥肯錫的一份報告稱，“當(dāng)今的汽車擁有多達(dá) 150 個 ECU（電子控制單元）和大約 1 億行代碼；許多觀察人士預(yù)計，到 2030 年，它們將擁有大約 3 億行軟件代碼”，比商用飛機還要復(fù)雜。

醫(yī)療設(shè)備：圣猶達(dá)醫(yī)療設(shè)備公司推出的植入式心臟設(shè)備存在一個漏洞，一旦遭到黑客利用，就會危及患者生命安全。雖然黑客不太可能真的剝奪患者的生命，但這很容易成為黑客索取高額贖金的目標(biāo)。

關(guān)鍵基礎(chǔ)設(shè)施：破壞供暖和制冷系統(tǒng)的 DDoS 攻擊就屬于這種類型的攻擊。當(dāng)前，物聯(lián)網(wǎng)控制著從車庫門到建筑安全，再到照明和投影系統(tǒng)的一切設(shè)備，黑客一旦入侵，后果將不堪設(shè)想。此外，物聯(lián)網(wǎng)設(shè)備作為進(jìn)入公司網(wǎng)絡(luò)的后門，為黑客提供了 root 訪問權(quán)限，他們可以更改源代碼并在整個網(wǎng)絡(luò)中隨意移動，對敏感服務(wù)器和數(shù)據(jù)造成了巨大威脅。

多維攻擊

為何一些設(shè)備特別容易受到攻擊？Check Point安全專家總結(jié)出以下四個主要因素：

物聯(lián)網(wǎng)設(shè)備缺乏統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范

不安全且“始終在線”的網(wǎng)絡(luò)訪問

第三方組件可能存在漏洞

難以部署基于軟件的安全策略

除了這些問題之外，大多數(shù)物聯(lián)網(wǎng)設(shè)備的默認(rèn)密碼都較弱，而且網(wǎng)絡(luò)管理員很少執(zhí)行更改默認(rèn)密碼操作。如今黑客的目標(biāo)已經(jīng)不再只是路由器、醫(yī)療設(shè)備和工業(yè)控制器等技術(shù)設(shè)備。智能手表、網(wǎng)絡(luò)攝像頭、智能電視、吸塵器、打印機，甚至玩具都可能成為不法分子的犯罪渠道。

同時，黑客的攻擊可能屬于以下一種或多種類別：

蓄意毀壞：就像供熱和制冷系統(tǒng)一樣，隨著越來越多的生產(chǎn)線接入物聯(lián)網(wǎng)，黑客成功入侵系統(tǒng)的可能性大大增加，他們希望通過入侵對企業(yè)索要高額贖金。

數(shù)據(jù)泄露：黑客可能會攔截進(jìn)出物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)，包括信用卡信息和實時健康更新、視頻圖像和生產(chǎn)線控制命令等，然后用來實施勒索或訪問其他系統(tǒng)。

滲透：攻擊者可以使用物聯(lián)網(wǎng)設(shè)備訪問內(nèi)部網(wǎng)絡(luò)，然后再通過內(nèi)部網(wǎng)絡(luò)潛入設(shè)備（通常沒有零信任或其他現(xiàn)代無信任框架保護(hù)）執(zhí)行命令。

因此，無論哪個行業(yè)，用戶都需要保護(hù)物聯(lián)網(wǎng)設(shè)備，確保它不會被黑客用來攻擊企業(yè)以及企業(yè)的客戶、破壞公司聲譽。

多層防護(hù)措施

雖然黑客的攻擊日趨頻繁，但是通過物聯(lián)網(wǎng)制造商充分的安全規(guī)劃，幾乎所有類型的攻擊都可以被有效防范。

為確保物聯(lián)網(wǎng)設(shè)備處于最佳風(fēng)險防范狀態(tài)，用戶首先要評估所有潛在的風(fēng)險途徑，然后強化設(shè)備和管理策略。

以下是Check Point安全團(tuán)隊總結(jié)的部分最佳安全實踐：

創(chuàng)建用戶可自行更新的身份驗證方法（例如用戶名和密碼），以此作為基本防線。

考慮添加無密碼／生物識別安全功能，以加強安全控制。

僅根據(jù)需要存儲和傳輸數(shù)據(jù)，以實現(xiàn)合法的商業(yè)目的或滿足用戶需求。

加密所有數(shù)據(jù)通信。（超過 90％ 的物聯(lián)網(wǎng)數(shù)據(jù)通信都沒有加密。）

部署如Check Point Quantum IoT Protect Firmware 這樣的工具，提供設(shè)備運行時保護(hù)，從而輕松開發(fā)具有內(nèi)置固件安全性的物聯(lián)網(wǎng)互聯(lián)設(shè)備，抵御最復(fù)雜的網(wǎng)絡(luò)攻擊。

固件安全：最有效的應(yīng)對之策

在上述所有最佳實踐中，最為有效、同時最具性價比的防護(hù)策略是關(guān)注設(shè)備固件更新。

對于服務(wù)器、工作站、筆記本電腦、平板電腦及 Android 、 iOS 等主流設(shè)備，用戶可以依賴其軟件的安全性。然而，許多物聯(lián)網(wǎng)設(shè)備難以實施基于軟件的安全性，因為它們沒有統(tǒng)一的接口和通信標(biāo)準(zhǔn)。

由于制造物聯(lián)網(wǎng)產(chǎn)品的供應(yīng)商有很多，物聯(lián)網(wǎng)環(huán)境的通信協(xié)議通常都是專有的：由特定供應(yīng)商為特定行業(yè)中的特定設(shè)備創(chuàng)建。因此，物聯(lián)網(wǎng)環(huán)境的設(shè)備通信、統(tǒng)一安全策略管理以及適時進(jìn)行應(yīng)用補丁與升級十分復(fù)雜。這是物聯(lián)網(wǎng)設(shè)備經(jīng)常出現(xiàn)配置錯誤、未打補丁和不安全的主要原因。

顯然，要想從一眾廠商中脫穎而出，并通過構(gòu)建滿足嚴(yán)格安全標(biāo)準(zhǔn)的產(chǎn)品建立信任，企業(yè)需要為客戶提供更安全的體驗。Check Point Quantum IoT Protect Firmware 可為用戶提供設(shè)備運行保護(hù)、抵御零日網(wǎng)絡(luò)攻擊，為企業(yè)打造更安全的使用體驗。

Check Point Quantum IoT Protect Firmware 采用了上述最佳安全實踐中提到的管理策略：

評估：確定哪些風(fēng)險可能危害產(chǎn)品安全。

強化：控制流完整性 （CFI） 保護(hù)功能可實時阻止攻擊，包括零日攻擊，且不會影響用戶體驗。

控制：通過開放的 API 控制通信，設(shè)置安全實踐，管理產(chǎn)品。

因此，Check Point能夠幫助用戶真正體驗開箱即用的安全物聯(lián)網(wǎng)設(shè)備，同時幫助用戶通過部署安全的物聯(lián)網(wǎng)，提升自身核心競爭力。