更强的物联网设备安全从密码补丁开始

精英安全总监埃德威廉姆斯(Ed Williams)表示，去年，SpiderLabs在寻找和帮助解决物联网相关漏洞方面的安全测试服务请求数量呈指数级增长。主持安全服务公司Trustwave的团队。

他说，威廉姆斯之所以在晚上工作，是因为获取联网设备的访问权限有多容易——例如，因为用户没有更改设备上的默认密码。威廉姆斯说，对于一个复杂的黑客来说，攻破单个设备并将其作为复杂企业环境的跳板几乎是微不足道的。

“我们看到的是，物联网市场渴望上市。威廉姆斯说：“人们把东西从市场上拿走，并说，‘我们应该考虑安全性。他们不是从0级开始关注安全问题的。“这不仅包括设备制造商本身，还包括购买和部署这些设备的企业。最近由芝加哥Trustwave委托、行业分析公司Osterman Research进行的一项调查清楚地表明了这一点。

《物联网网络安全准备》报告显示，在接受调查的137名受访者中，超过80%的人知道和/或在他们的组织中负责物联网安全，他们表示目前正在或在2018年底前将使用物联网技术。”但只有28%的人认为他们的物联网安全策略对组织“非常重要”，超过三分之一的受访者认为物联网设备安全只是“有点”或“不”重要。

该报告的作者将这些反应归因于物联网实施本身不够成熟。不到一半的调查受访者表示不会或不知道是否会增加物联网的部署。作者的结论是，由于缺乏商业案例，物联网的安全性可能会被降低到远低于其应有的优先级。反过来，安全本身的不确定性可能是进一步深化物联网部署的限制因素。

“对物联网安全的关注度较低，相当比例的组织发生过安全事件，并且认为未来的安全事件确实存在，这使得决策者对能够抵御与物联网相关的安全事件缺乏信心，”该报告的作者写道。然而，威廉姆斯说，设备制造商和实施组织可以采取具体措施来保护设备和部署。“这都是最基本的，”威廉姆斯说。“物联网的安全是每个人的责任。”

他说，首先要充分了解项目是什么，要做什么，围绕项目建立威胁模型，建立安全的开发生命周期。Williams说，对于实施IOT设备的企业，一旦安装了这些设备，默认密码将被更改为唯一的复杂密码。Williams说，国家标准和技术研究所(NIST)去年发布的新密码指南——建议重复使用强密码，而不是频繁更换密码——是有帮助的。

Trustwave还建议实施敏捷方法来快速修复物联网的漏洞，以确保任何使用有缺陷设备的攻击都被阻止或最小化。相反，组织应该进行持续和主动的威胁搜索，以搜索可能通过易受攻击的物联网设备进入网络的高级持续威胁。Trustwave还建议限制合作伙伴对网络的访问，以最大限度地降低来自物联网威胁的可能性。

威廉姆斯表示，一旦在内部部署，托管安全服务可以定期扫描设备并修复问题——这一点至关重要，因为首席信息官甚至可能不知道物联网设备存在于企业环境中，并连接到企业网络。威廉姆斯说：“安全不应该成为障碍，而应该成为推动因素。”