2021 年 2 月一個普通的星期五早上，佛羅里達州奧茲馬市的居民從沉睡中醒來，發現他們的供水系統遭到了黑客入侵。黑客試圖增加水中氫氧化鈉（堿液）的濃度，毒害全城居民……幸運的是，市政工作人員及時發現并阻止了攻擊。事后，當地政府迅速回應安撫輿情，聲稱這件事證明了他們目前的安全措施是有效的。但事實真的如此嗎？

當今的黑客行為幾乎均為利益驅動，隨著物聯網用例的不斷增加，物聯網在攻擊者眼中愈發成為一塊誘人的蛋糕。在構建物聯網設備時，企業必須意識到這種不斷擴大的威脅形勢，并確保設備具有開箱即用的安全性，能夠幫助用戶抵御網絡攻擊，這一點比以往任何時候都重要。

Check Point安全專家將通過本文探討物聯網設備風險劇增的原因，同時紹在開發物聯網產品時引入多層防護措施的核心方法。

物聯網黑客攻擊：日益嚴峻的威脅形勢

哪些類型的產品最容易遭到物聯網攻擊？答案令人不寒而栗：所有類型的產品。Check Point通過其強大的威脅情報云對未來物聯網安全重點行業進行了預測：

• 汽車設備：曾經有一支安全專家隊伍設法入侵吉普 SUV，成功將其駛離了道路，這個實驗讓人們意識到，聯網汽車非常容易受到攻擊。麥肯錫的一份報告稱，“當今的汽車擁有多達 150 個 ECU（電子控制單元）和大約 1 億行代碼；許多觀察人士預計，到 2030 年，它們將擁有大約 3 億行軟件代碼”，比商用飛機還要復雜。
• 醫療設備：圣猶達醫療設備公司推出的植入式心臟設備存在一個漏洞，一旦遭到黑客利用，就會危及患者生命安全。雖然黑客不太可能真的剝奪患者的生命，但這很容易成為黑客索取高額贖金的目標。
• 關鍵基礎設施：破壞供暖和制冷系統的 DDoS 攻擊就屬于這種類型的攻擊。當前，物聯網控制著從車庫門到建筑安全，再到照明和投影系統的一切設備，黑客一旦入侵，后果將不堪設想。此外，物聯網設備作為進入公司網絡的后門，為黑客提供了 root 訪問權限，他們可以更改源代碼并在整個網絡中隨意移動，對敏感服務器和數據造成了巨大威脅。

多維攻擊

為何一些設備特別容易受到攻擊？Check Point安全專家總結出以下四個主要因素：

• 物聯網設備缺乏統一的標準和規范
• 不安全且“始終在線”的網絡訪問
• 第三方組件可能存在漏洞
• 難以部署基于軟件的安全策略

除了這些問題之外，大多數物聯網設備的默認密碼都較弱，而且網絡管理員很少執行更改默認密碼操作。如今黑客的目標已經不再只是路由器、醫療設備和工業控制器等技術設備。智能手表、網絡攝像頭、智能電視、吸塵器、打印機，甚至玩具都可能成為不法分子的犯罪渠道。

同時，黑客的攻擊可能屬于以下一種或多種類別：

• 蓄意毀壞：就像供熱和制冷系統一樣，隨著越來越多的生產線接入物聯網，黑客成功入侵系統的可能性大大增加，他們希望通過入侵對企業索要高額贖金。
• 數據泄露：黑客可能會攔截進出物聯網設備的數據，包括信用卡信息和實時健康更新、視頻圖像和生產線控制命令等，然后用來實施勒索或訪問其他系統。
• 滲透：攻擊者可以使用物聯網設備訪問內部網絡，然后再通過內部網絡潛入設備（通常沒有零信任或其他現代無信任框架保護）執行命令。

因此，無論哪個行業，用戶都需要保護物聯網設備，確保它不會被黑客用來攻擊企業以及企業的客戶、破壞公司聲譽。

多層防護措施

雖然黑客的攻擊日趨頻繁，但是通過物聯網制造商充分的安全規劃，幾乎所有類型的攻擊都可以被有效防范。

為確保物聯網設備處于最佳風險防范狀態，用戶首先要評估所有潛在的風險途徑，然后強化設備和管理策略。

以下是Check Point安全團隊總結的部分最佳安全實踐：

• 創建用戶可自行更新的身份驗證方法（例如用戶名和密碼），以此作為基本防線。
• 考慮添加無密碼/生物識別安全功能，以加強安全控制。
• 僅根據需要存儲和傳輸數據，以實現合法的商業目的或滿足用戶需求。
• 加密所有數據通信。（超過 90% 的物聯網數據通信都沒有加密。）
• 部署如Check Point Quantum IoT Protect Firmware 這樣的工具，提供設備運行時保護，從而輕松開發具有內置固件安全性的物聯網互聯設備，抵御最復雜的網絡攻擊。

固件安全：最有效的應對之策

在上述所有最佳實踐中，最為有效、同時最具性價比的防護策略是關注設備固件更新。

對于服務器、工作站、筆記本電腦、平板電腦及 Android 、 iOS 等主流設備，用戶可以依賴其軟件的安全性。然而，許多物聯網設備難以實施基于軟件的安全性，因為它們沒有統一的接口和通信標準。

由于制造物聯網產品的供應商有很多，物聯網環境的通信協議通常都是專有的：由特定供應商為特定行業中的特定設備創建。因此，物聯網環境的設備通信、統一安全策略管理以及適時進行應用補丁與升級十分復雜。這是物聯網設備經常出現配置錯誤、未打補丁和不安全的主要原因。

顯然，要想從一眾廠商中脫穎而出，并通過構建滿足嚴格安全標準的產品建立信任，企業需要為客戶提供更安全的體驗。Check Point Quantum IoT Protect Firmware 可為用戶提供設備運行保護、抵御零日網絡攻擊，為企業打造更安全的使用體驗。

Check Point Quantum IoT Protect Firmware 采用了上述最佳安全實踐中提到的管理策略：

• 評估：確定哪些風險可能危害產品安全。
• 強化：控制流完整性 (CFI) 保護功能可實時阻止攻擊，包括零日攻擊，且不會影響用戶體驗。
• 控制：通過開放的 API 控制通信，設置安全實踐，管理產品。

因此，Check Point能夠幫助用戶真正體驗開箱即用的安全物聯網設備，同時幫助用戶通過部署安全的物聯網，提升自身核心競爭力。