物联网面临不断升级的网络威胁

在今年最重大的网络安全威胁中，物联网 ( IoT ) 带来的风险尤为显著，而且这些威胁正变得越来越复杂且有针对性。为应对构成物联网的数字与物理生态系统中日益增长的互联性所引发的漏洞问题，需要采取主动的网络安全防护措施。

物联网这一术语通常用来描述那些可以在线查找、识别、定位、读取和/或控制的硬件与小工具。随着数字世界与物理世界的融合，物联网应运而生。这其中包括可以相互通信的实体物体，无论是人与机器之间的交流还是机器与机器之间的互动。物联网涵盖了穿戴设备、汽车、边缘计算机、安防摄像头以及家用设备等。

如今，任何物理设备都可以连接到互联网，借此获得更多的处理能力和分析功能，从而使其变得“智能化”。预计未来几年内会有数十亿物理对象加入全球数字网络。对于任何国家而言，这既意味着机遇，也会带来对政府、企业、组织、学术机构乃至普通民众的风险。

研究公司 IDC 预测，今年连接的物联网设备将超过 800 亿个。此外，根据 IDC 的数据显示，具有互联网接入能力的设备（如构成物联网的计算机、传感器和摄像头）的数量正稳步增长。IDC 还指出，当 41.6 亿个物联网设备（“物品”）连接时，将产生 79.4 泽字节的数据，这其中包括了来自数万亿传感器的各项输出。物联网对企业和消费者均有深远的影响。受物联网影响的行业领域包括供应链与零售、通信、医疗及卫生、建筑与建设（智能建筑）、环境废物管理、水资源、工业应用、能源（智能电网）、交通以及教育（学习分析）。

在 Forescout 发布的第五份《2025 年最具风险连接设备报告》中指出，数字生态系统中漏洞日益增多的趋势愈加明显。研究显示，风险最严重的设备大多为路由器，该报告显示平均设备风险每年上升 15%。零售业平均所使用的设备风险最高，其次依次为制造业、金融服务、政府以及医疗行业。平均设备风险评分从 2024 年的 7.73 上升至 8.98，增幅达 15%，这凸显了日益严峻的威胁环境，影响着经济的各个领域。Forescout 的 2025 年报告还显示，IT、物联网、OT 以及物联网医疗技术 ( IoMT ) 设备中的漏洞均在激增。

网络安全与物联网

由于远程办公以及物联网设备相互连接导致的攻击面不断扩大，如今人人都成为潜在目标。当前全球已有超过 200 亿个互联设备。对黑客而言，每个设备都可能成为入侵的突破口。在未来十五到二十年内，这个数字将增长四倍。届时，地球上小工具的数量可能将超出人口数量，且每人拥有三到四个设备，而黑客则可以轻松利用这一点，自由选择入侵方式。

网络安全需深入理解物联网。借助嵌入式通信硬件、传感器和 CPU，这些设备能够被配置成收集、传输和处理环境数据。它们通过物联网网关（常位于云端）连接，该网关充当数据交换的中心枢纽。

由于物联网设备种类繁多，要保护如此广泛的目标免受入侵实属不易，尤其面对设备种类和安全要求的多样性。普遍的假设是，这数十亿个互联设备都可能被攻破。而许多物联网制造商往往将成本和易用性置于安全之上，导致设备固件过时、使用默认密码和存在未修补漏洞的情况时有发生，从而使问题雪上加霜。

缺乏可视性以及无法及时判定设备是否已被入侵且未按预期运行，这些问题使得物联网面临严峻的网络安全风险。随着终端集成日益增长以及一个未经管理、迅速扩展的攻击面，物联网正受到严重威胁。发现并保护这些已连接的物联网设备是一项极具挑战性的任务。

随着物联网攻击频率的上升，尤其是在远程办公与居家办公趋势下，认识并理解这一威胁显得尤为重要。每个物联网设备都可能存在漏洞，黑客可借此获取你的数据。请参阅我之前在 FORBES 发表的文章：《网络安全威胁：保护物联网的巨大挑战》。

物联网设备还面临着独有的挑战。相比之下，笔记本电脑和智能手机通常拥有比大多数物联网设备更强的处理和存储能力，因此使用防火墙、杀毒软件和其他安全工具来保护它们相对容易，而这对物联网设备来说则不然。此外，边缘计算通过巧妙地收集本地数据，也让技术更成熟的攻击者能更准确地把握风险。

AI 与物联网

攻击者正利用人工智能 ( AI ) 来优化网络钓鱼活动并规避检测。通过自动化网络钓鱼、暴力破解以及密码填充攻击，AI 提高了网络攻击的可扩展性。不安全的物联网设备泛滥，推动了由 AI 驱动的复杂恶意软件以及有针对性的勒索软件攻击的迅速传播。

虽然防御 AI 威胁并非易事，但已经可以采取一些措施。比如，借助机器学习驱动的异常检测系统，就是 AI 如何在物联网环境中转变威胁预防方式的一个典型例子。这些系统能够检测出网络数据中的异常行为，提示潜在的未授权访问或恶意活动。

物联网设备由于固有漏洞，是勒索软件攻击的理想目标。特别是在医疗领域内使用的物联网医疗设备，以及交通和制造领域中的设备，往往存在较大缺陷。许多物联网设备缺乏数据备份和恢复功能，使得一旦遭受勒索软件攻击则问题重重。

不过，由于物联网网络复杂且种类繁多，需要专门针对特定攻击向量的高端防护解决方案。传统网络安全中常采用的静态分析方法，可能不足以应对快速演变的动态威胁。此外，物联网已经占据企业网络终端的 30%。专家警告称，仅仅依赖过时的安全模型无法有效阻止当前的攻击。

安全团队的防护策略中应加入 AI 辅助检测等具备 AI 感知能力的防护措施，以应对新兴威胁和攻击者不断升级的能力。

物联网的僵尸网络威胁

物联网使供应链变得更为脆弱。物联网设备的指数级连接形成了一个不断扩大的网络与设备网格。随着终端集成的不断增加以及一个快速扩展、无人管理的攻击面，物联网正面临着严峻威胁。借助 AI 自动化，专为物联网设计的僵尸网络正被构建，用于自主发现并利用不安全的物联网设备。黑客可借助这些基于物联网终端的僵尸网络向网站发送大量流量请求，导致网站宕机。

由 Thales 发布的 2025 年《Imperva 坏机器人报告》（一份关于互联网自动化僵尸流量的全球调查）显示，这是第 12 年的年度研究。报告指出，生成式人工智能 ( AI ) 正在改变僵尸机器人的生产方式，使得技术水平较低的攻击者也能发起更频繁且规模更大的僵尸网络攻击。报告分析表明，网络犯罪分子正将目标指向处理重要数据的 API 端点。通过这些复杂僵尸网络攻击，恶意分子尤其将金融服务、医疗和电子商务领域作为重点，企图窃取敏感数据。2025 Bad Bot Report | Resource Library

安全公司 NetScout 称，黑客现在正将高性能企业服务器和路由器加入低功耗物联网僵尸网络，从而扩大了攻击的范围和影响。这些攻击通过 AI 驱动的自动化、基于代理的应用层洪水攻击以及市售的 DDoS-for-hire 服务（配备有侦察与编排工具）的结合，使得攻击变得比以往更加持久、可扩展且唾手可得。NETSCOUT 警告称，AI 驱动的 DDoS 攻击正威胁关键基础设施，并加剧网络安全风险——工业网络安全领域尤为显著。

针对物联网的网络攻击并非新鲜事。过去十年中，许多针对物联网的僵尸网络攻击事件层出不穷。2016 年大规模且颇具知名度的 Mirai 僵尸网络 DDoS 攻击就是一个典型例子。Mirai 僵尸网络由数十万受感染的物联网设备组成，对 Dyn（一家为多个知名在线平台提供域名系统服务的公司）发起了分布式拒绝服务 ( DDoS ) 攻击，通过向单一服务器发送数百万字节的数据，使该系统瘫痪。常见设备如受恶意软件感染的网络摄像头、数字路由器和视频录制装置，都曾被利用来发动针对 Dyn 的多起攻击。

2021 年 3 月，基于云的视频监控服务商 Verkada 遭到黑客入侵。攻击者不仅获取了 Verkada 软件客户的机密数据，还利用可能在网上泄露的真实管理员账户凭证，从安装在工业、医院、学校、监狱及其他场所的超过 150,000 台摄像头中获取实时视频流。

2018 年，GitHub 软件开发平台遭遇了一次大规模僵尸网络攻击，成为有史以来最大规模的 DDoS 攻击之一。数千个客户端摄像头被超过 100 名拥有“super admin”访问权限的工作人员监视，暴露了过多特权用户的风险。因该攻击，平台曾一度下线。近期，还有许多其他令人震惊的高调物联网僵尸网络攻击案例。

物联网与风险管理

企业必须采取主动的物联网安全措施，以应对物联网恶意软件威胁。通过全面的风险管理方法识别和解决与物联网相关的风险，可以大幅降低安全漏洞。了解物联网生态系统、掌握如何最佳保护最关键的设备，以及高效管理和消除安全事件和违规行为，都是物联网风险管理的重要组成部分。 * 利用成熟的物联网互联网安全框架，该框架整合了最佳实践和业界专业知识（包括 NIST 提供的指导）。 * 评估连接到网络的所有设备（无论是内部设备还是外部设备）的安全性。 * 制定安全事件发生时的应急响应计划。 * 减少物联网设备数量以降低攻击面。 * 在网络中采用数字围栏设备、容器和安全软件。 * 跟踪、监控和传播威胁情报，最好利用 AI 实现。 * 检查所有软件中的网络及应用漏洞。 * 修补和更新设备及网络的漏洞。 * 避免将默认密码及其他已知漏洞设备接入网络。 * 采用零信任策略，严格管理设备和应用的特权访问。 * 运用生物识别和强认证手段管理访问权限。 * 建立网络连接时使用设备认证。 * 对物联网通信进行加密，尤其在传输数据过程中。 * 部署稳固防火墙，确保 Wi-Fi 安全，以及使用受保护的路由器。 * 对所有敏感数据进行备份。 * 对全体员工开展安全意识培训。

规范物联网

规范物联网是一项重大挑战。物联网牵涉到连接大量设备和存储大量数据，因此，一旦系统故障，可能会对计算机网络及供应链中的敏感数据造成严重问题，涉及众多法律和监管因素。企业中不断增长的影子物联网设备以及物联网设备制造商安全规定的松懈，给跨国企业带来了巨大风险。

物联网缺乏统一的制造标准或安全法规，这一直是其主要争议之一。由此，许多设备是在全球各地制造后组装而成，通常没有足够的安全防护，同时用户也常常未更改设备默认密码。

政府、企业及各类组织已就如何保护物联网设备标准展开讨论，但由于制造商在设计组件和数据上缺乏共享，建立统一标准颇具挑战。

了解风险并制定有效的缓解措施至关重要。然而，技术的迅速进步和物联网设备的大范围普及带来了严峻的监管问题。物联网的全球性特点使得监管合规变得更加复杂——物联网设备收集的数据可能在多个国家进行处理和存储，而且这些设备往往跨国流动。因此，需要一个既考虑消费者保护、国际协调、隐私又兼顾安全的审慎监管方案，从而形成全球范围内协调一致的监管响应。

作为一个正朝着前所未有的指数级互联迈进的社会，我们正步入未知的数字领域。随着物联网的发展壮大，必然会面临新的威胁和未曾预见的问题。为应对物联网可能带来的风险，我们必须制定切实可行的标准、构建物联网安全风险管理框架，并利用 AI 推动创新解决方案，以预防和修复网络攻击。到 2025 年，物联网安全必须成为一种主动必需的措施，而不仅仅是一个优先事项。