制造商越來越多地在他們的設備上增加連接�����,以利用互聯網所能提供的好處�。近幾年���,不間斷電源(UPS)供應商為UPS設備增加了物聯網功能��,在電涌和停電期間提供電池備份電源�。最近���,美國網絡安全與基礎設施安全局(CISA)與美國能源部(Department of Energy)發(fā)布聯合警告�,要求各機構保護聯網UPS設備免受持續(xù)攻擊����。
在CISA最近發(fā)出的警告中,網絡犯罪分子通過未改變的默認用戶名和密碼來攻擊這些聯網版本的UPS設備�,以訪問它們所連接的網絡。如果攻擊者能夠遠程接管UPS設備��,他們就可以對企業(yè)的內部網絡造成嚴重破壞,竊取數據��,或者在更糟糕的情況下�����,切斷關鍵設備�、設備或服務的電源。
這里的問題是��,物聯網設備經常受到限制�����,在實施強大的安全策略時����,制造商有時會做出權衡。通常���,制造商使用出廠安裝的默認憑證,這些憑證在安裝后需要更新�����。在這些情況下,如果通用密鑰在數百萬臺設備上使用��,那么如果發(fā)現該憑據并用于利用具有相同身份驗證的其他設備����,就會出現單點故障。
我們在家庭中的物聯網設備上也看到了類似的問題���,黑客能夠利用保留默認憑證的家庭路由器��,因為消費者不知道或不更改默認憑證����。我們還看到被入侵的物聯網設備被用于DDoS攻擊��,這種攻擊可以消耗服務器或后端資源����,或者改變物聯網設備本身的預期行為。
使用連接的UPS設備的優(yōu)秀安全實踐
隨著制造商繼續(xù)采用與設備的連接�,以獲得互聯網的好處,用于保護離線設備的傳統安全方法將不夠�����。以下是一些制造商應該遵循的最佳安全實踐,以安全地使用連接的UPS設備���。
1.調試設備后立即更改默認密碼
連接的UPS設備中的漏洞通常是由于未能更新工廠安裝的默認憑據造成的�����。具有出廠安裝默認憑據的UPS設備必須在安裝后立即更新�����。在將設備重新部署到實際環(huán)境之前��,管理員應在新密碼中添加多層特殊和復雜的字符組合��。
2.實施多因素身份驗證(MFA)
需要強大的物聯網身份驗證�����,以便可以信任連接的物聯網設備和機器���,以防止來自未經授權的用戶或設備的控制命令。身份驗證還有助于防止攻擊者聲稱自己是物聯網設備���,以期訪問服務器上的數據����,例如記錄的對話���、圖像和其他潛在的敏感信息���。
大多數物聯網設備都可以選擇啟用了雙重因素或多因素身份驗證。這是一個兩步驗證過程���,涉及通過第二個設備(例如電話)驗證您的身份����。
3.確保每臺設備都有唯一的憑證
發(fā)送受保護的數據是任何物聯網設備的基本功能�。為了使此功能有效,用戶和制造商都需要相信他們收到的數據是真實的并且是為他們準備的�����。隨著越來越多的連接UPS設備出現��,每個設備都應具有某種類型的唯一身份憑證以進行識別��。如果可以實施,使用非對稱證書是保護對部署在制造商或最終用戶網絡中的物聯網設備的訪問的一種非?���?煽康姆椒ā?/p>
許多物聯網設備使用對稱加密�����,其中使用單個密鑰來加密和解密數據�。數據被加密的事實提供了一個安全的安全層,特別是與使用硬編碼或默認密碼相比�����,但共享和存儲加密密鑰會產生風險�。那是因為如果惡意方截獲了密鑰,它可以使用它來加密和解密數據��。這意味著他們可以訪問整個系統并共享數據����,甚至可以在制造商或最終用戶不知情的情況下通過操縱數據來充當“中間人”。
使用非對稱加密會生成唯一的公鑰和私鑰對��。每個都有不同的用途(公鑰解密數據并可以公開共享����,而私鑰加密數據�����,必須受到保護),并有助于解決其中的一些挑戰(zhàn)��。
4.利用基于證書的身份驗證
如果UPS設備部署在可以利用額外安全層的網絡中��,例如基于證書的身份驗證——它在授予網絡訪問權限之前使用數字證書來識別用戶��、機器或設備–這將在設備的內置安全策略之上提供更強大的安全態(tài)勢��。 公鑰基礎設施(PKI)管理數字證書的頒發(fā)��,以為設備提供唯一的數字身份���,并由維護受信任根證書列表的服務器和設備的樹狀結構組成���。
使用基于證書的身份驗證,數字證書通常排列在證書鏈中����,其中每個證書都由另一個受信任證書的私鑰簽名,并且該鏈必須返回到全局受信任的根證書。這種安排建立了從受信任的根證書頒發(fā)機構到通過每個中間證書頒發(fā)機構安裝在設備上的最終實體“葉”證書的委托信任鏈���。
5.持續(xù)監(jiān)控證書和密鑰
強大的安全性歸結為實施��。確保正確部署和持續(xù)監(jiān)控作為信任根的密鑰對����、數字證書和PKI至關重要����。這是因為任何靜態(tài)系統本質上都是不安全的。如果沒有持續(xù)的生命周期管理����,使用中的數字證書、密鑰對和信任根將隨著時間的推移而減弱�。
正確的生命周期管理應首先映射每臺設備,以便擁有所有使用中的唯一身份和身份驗證的準確清單��。有了完整的清單����,制造商就可以監(jiān)控所有證書和密鑰,以識別任何潛在威脅并進行相應調整����。當設備不再使用時�����,應撤銷相關證書和密鑰����。
物聯網設備具有很大的積極變化潛力��。但它們連接物體和共享信息的能力也使它們非常脆弱����。那是因為存在的每個連接點都有被黑客入侵的風險�����。優(yōu)先考慮物聯網設備安全的制造商將繼續(xù)將創(chuàng)新設備推向市場�,所有設備都具有必要的安全級別,以與客戶建立信任并防止破壞性網絡攻擊�����。
沃卡惠
