Check Point: 物联网设备安全刻不容缓

2021 年 2 月一个普通的星期五早上，佛罗里达州奥兹马市的居民从沉睡中醒来，发现他们的供水系统遭到了黑客入侵。黑客试图增加水中氢氧化钠（碱液）的浓度，毒害全城居民……幸运的是，市政工作人员及时发现并阻止了攻击。事后，当地政府迅速回应安抚舆情，声称这件事证明了他们目前的安全措施是有效的。但事实真的如此吗？

当今的黑客行为几乎均为利益驱动，随着物联网用例的不断增加，物联网在攻击者眼中愈发成为一块诱人的蛋糕。在构建物联网设备时，企业必须意识到这种不断扩大的威胁形势，并确保设备具有开箱即用的安全性，能够帮助用户抵御网络攻击，这一点比以往任何时候都重要。

Check Point安全专家将通过本文探讨物联网设备风险剧增的原因，同时绍在开发物联网产品时引入多层防护措施的核心方法。

物联网黑客攻击：日益严峻的威胁形势

哪些类型的产品最容易遭到物联网攻击？答案令人不寒而栗：所有类型的产品。Check Point通过其强大的威胁情报云对未来物联网安全重点行业进行了预测：

• 汽车设备：曾经有一支安全专家队伍设法入侵吉普 SUV，成功将其驶离了道路，这个实验让人们意识到，联网汽车非常容易受到攻击。麦肯锡的一份报告称，“当今的汽车拥有多达 150 个 ECU（电子控制单元）和大约 1 亿行代码；许多观察人士预计，到 2030 年，它们将拥有大约 3 亿行软件代码”，比商用飞机还要复杂。
• 医疗设备：圣犹达医疗设备公司推出的植入式心脏设备存在一个漏洞，一旦遭到黑客利用，就会危及患者生命安全。虽然黑客不太可能真的剥夺患者的生命，但这很容易成为黑客索取高额赎金的目标。
• 关键基础设施：破坏供暖和制冷系统的 DDoS 攻击就属于这种类型的攻击。当前，物联网控制着从车库门到建筑安全，再到照明和投影系统的一切设备，黑客一旦入侵，后果将不堪设想。此外，物联网设备作为进入公司网络的后门，为黑客提供了 root 访问权限，他们可以更改源代码并在整个网络中随意移动，对敏感服务器和数据造成了巨大威胁。

多维攻击

为何一些设备特别容易受到攻击？Check Point安全专家总结出以下四个主要因素：

• 物联网设备缺乏统一的标准和规范
• 不安全且“始终在线”的网络访问
• 第三方组件可能存在漏洞
• 难以部署基于软件的安全策略

除了这些问题之外，大多数物联网设备的默认密码都较弱，而且网络管理员很少执行更改默认密码操作。如今黑客的目标已经不再只是路由器、医疗设备和工业控制器等技术设备。智能手表、网络摄像头、智能电视、吸尘器、打印机，甚至玩具都可能成为不法分子的犯罪渠道。

同时，黑客的攻击可能属于以下一种或多种类别：

• 蓄意毁坏：就像供热和制冷系统一样，随着越来越多的生产线接入物联网，黑客成功入侵系统的可能性大大增加，他们希望通过入侵对企业索要高额赎金。
• 数据泄露：黑客可能会拦截进出物联网设备的数据，包括信用卡信息和实时健康更新、视频图像和生产线控制命令等，然后用来实施勒索或访问其他系统。
• 渗透：攻击者可以使用物联网设备访问内部网络，然后再通过内部网络潜入设备（通常没有零信任或其他现代无信任框架保护）执行命令。

因此，无论哪个行业，用户都需要保护物联网设备，确保它不会被黑客用来攻击企业以及企业的客户、破坏公司声誉。

多层防护措施

虽然黑客的攻击日趋频繁，但是通过物联网制造商充分的安全规划，几乎所有类型的攻击都可以被有效防范。

为确保物联网设备处于最佳风险防范状态，用户首先要评估所有潜在的风险途径，然后强化设备和管理策略。

以下是Check Point安全团队总结的部分最佳安全实践：

• 创建用户可自行更新的身份验证方法（例如用户名和密码），以此作为基本防线。
• 考虑添加无密码/生物识别安全功能，以加强安全控制。
• 仅根据需要存储和传输数据，以实现合法的商业目的或满足用户需求。
• 加密所有数据通信。（超过 90% 的物联网数据通信都没有加密。）
• 部署如Check Point Quantum IoT Protect Firmware 这样的工具，提供设备运行时保护，从而轻松开发具有内置固件安全性的物联网互联设备，抵御最复杂的网络攻击。

固件安全：最有效的应对之策

在上述所有最佳实践中，最为有效、同时最具性价比的防护策略是关注设备固件更新。

对于服务器、工作站、笔记本电脑、平板电脑及 Android 、 iOS 等主流设备，用户可以依赖其软件的安全性。然而，许多物联网设备难以实施基于软件的安全性，因为它们没有统一的接口和通信标准。

由于制造物联网产品的供应商有很多，物联网环境的通信协议通常都是专有的：由特定供应商为特定行业中的特定设备创建。因此，物联网环境的设备通信、统一安全策略管理以及适时进行应用补丁与升级十分复杂。这是物联网设备经常出现配置错误、未打补丁和不安全的主要原因。

显然，要想从一众厂商中脱颖而出，并通过构建满足严格安全标准的产品建立信任，企业需要为客户提供更安全的体验。Check Point Quantum IoT Protect Firmware 可为用户提供设备运行保护、抵御零日网络攻击，为企业打造更安全的使用体验。

Check Point Quantum IoT Protect Firmware 采用了上述最佳安全实践中提到的管理策略：

• 评估：确定哪些风险可能危害产品安全。
• 强化：控制流完整性 (CFI) 保护功能可实时阻止攻击，包括零日攻击，且不会影响用户体验。
• 控制：通过开放的 API 控制通信，设置安全实践，管理产品。

因此，Check Point能够帮助用户真正体验开箱即用的安全物联网设备，同时帮助用户通过部署安全的物联网，提升自身核心竞争力。