IoT 设备安全

什么是 IoT 设备安全

IoT (物联网) 设备安全是指保护联网的智能家电、传感器、摄像头、可穿戴设备等设备免受未授权访问和数据泄露的全面措施。

与传统 PC 和智能手机相比，IoT 设备存在更多安全挑战，是攻击者的理想目标。2016 年的 Mirai 僵尸网络劫持了数十万台使用默认密码的 IoT 设备，发动了大规模 DDoS 攻击。这一事件让全世界认识到了 IoT 安全的重要性。

家中的智能音箱、网络摄像头、智能门锁、扫地机器人等也是 IoT 设备，与智能家居隐私密切相关。

IoT 设备的安全弱点

• 默认凭据：许多 IoT 设备出厂时设置了「admin/admin」或「admin/password」等通用密码，且经常未被更改就投入使用。攻击者使用默认凭据数据库对大量设备进行自动登录尝试。
• 缺乏固件更新：与 PC 和智能手机不同，IoT 设备通常没有自动更新功能，或制造商的支持过早结束。即使发现漏洞也可能不提供补丁，设备将永久面临风险。
• 加密不足：为降低成本而处理能力有限的 IoT 设备可能省略通信加密或使用弱加密算法。许多设备也未实现设备加密。
• 攻击面广：不必要的端口开放、调试接口残留、Telnet 和 FTP 等旧协议启用等，都导致攻击面广泛。
• 物理访问：IoT 设备可能安装在室外或共享空间，在某些情况下物理篡改或固件提取很容易。

IoT 安全实践对策

请实施以下措施来加强 IoT 设备安全。

• 立即更改默认密码：设备安装后首先更改密码。尽可能设置长而复杂的密码，每台设备使用不同的密码。
• 网络分段：将 IoT 设备隔离在与 PC 和智能手机不同的网络 (VLAN 或访客 Wi-Fi) 中。即使 IoT 设备被入侵，也无法访问主网络上的敏感数据。家用路由器也可以利用访客网络功能。
• 定期更新固件：在制造商网站或应用中确认更新通知并及时应用。如有自动更新功能则启用。
• 禁用不必要的功能：禁用 UPnP (通用即插即用)、远程访问和未使用的协议。UPnP 可能在防火墙上打开漏洞。
• 购买时的选择标准：选择公布安全更新支持期限的制造商产品。极其廉价的无名制造商产品往往安全措施不足。

企业中的 IoT 安全管理

企业环境中运行的 IoT 设备比家庭更多，管理复杂度增加。

• 资产管理：掌握网络上所有 IoT 设备并进行台账管理。「影子 IoT」(IT 部门未掌握的设备) 是重大风险。使用网络扫描工具定期检测未知设备。
• 零信任应用：对来自 IoT 设备的访问也不信任，严格应用设备认证和访问控制。基于设备证书的认证是理想方案。
• 监控与日志：监控 IoT 设备的通信模式，检测异常通信 (大量数据发送、连接未知外部服务器)。与 SIEM 集成很有效。

工业 IoT (IIoT) 包括工厂控制系统和医疗设备等，入侵可能导致物理损害的设备。这些设备应完全与互联网隔离，或应用严格的访问控制。

常见误解

IoT 设备太小不会被攻击者盯上

攻击者不是针对单个设备，而是一次性瞄准大量设备。像 Mirai 僵尸网络那样劫持数十万台脆弱 IoT 设备作为 DDoS 攻击和垃圾邮件发送的跳板，这样的案例确实发生过。

在家庭网络内 IoT 设备就是安全的

即使在路由器内侧，只要 IoT 设备连接互联网就存在风险。利用设备漏洞的攻击以及来自同一网络其他设备的横向移动攻击都是可能的。

相关术语