前情提要

　　Zscaler 发布了一项研究，调查了企业被迫迁移到远程工作环境期间留在企业网络上的物联网设备的状态。

　　具体内容

　　该报告分析了在 2020 年 12 月的两周内阻止的超过 5.75 亿次设备交易和 300,000 次特定于物联网的恶意软件攻击——与疫情前的调查结果相比增加了 700%。这些攻击针对 553 种不同类型的设备，包括打印机、数字标牌和智能电视，所有这些设备都连接到企业 IT 网络并与之通信，而许多员工在疫情期间远程工作。

　　研究团队确定了最脆弱的物联网设备、最常见的攻击来源和目的地，以及负责大部分恶意流量的恶意软件家族，以更好地帮助企业保护其宝贵数据。

　　“一年多来，由于员工在疫情期间继续远程工作，大多数公司办公室大多被废弃。然而，我们的服务团队注意到，尽管缺乏员工，企业网络仍然因物联网活动而嗡嗡作响，” Zscaler 的CISO Deepen Desai说。

　　“连接到企业网络的物联网设备的数量和种类非常庞大，包括从音乐灯到 IP 摄像机的所有内容。我们的团队发现，这些设备中有 76% 仍在未加密的纯文本通道上进行通信，这意味着大多数物联网交易对业务构成了巨大风险。”

　　哪些物联网设备最容易受到恶意软件的威胁？

　　在超过 50 亿的物联网设备交易中，确定了来自 212 家制造商的 553 种不同设备，其中 65% 分为三类：机顶盒（29%）、智能电视（20%）和智能手表（15%） 。

　　家庭娱乐和自动化类别拥有最多种类的独特设备，但与制造、企业和医疗保健设备相比，它们的交易数量最少。

　　大多数流量来自制造和零售行业的设备——59% 的交易来自该行业的设备，包括 3D 打印机、地理定位跟踪器、汽车多媒体系统、数据收集终端（如条码阅读器）和支付终端。

　　企业设备位居第二，占交易的 28%，医疗设备紧随其后，占流量的近 8%。

　　还发现了许多连接到云的意外设备，包括仍在通过企业网络发送流量的智能冰箱和音乐灯。

　　谁对此负责？

　　该团队还密切关注特定于在云中跟踪的 IoT 恶意软件的活动。在数量方面，在 15 天的时间范围内总共观察到 18,000 个独特的主机和大约 900 个独特的有效载荷的交付。

　　恶意软件家族 Gafgyt 和 Mirai 是 ThreatLabz 遇到的两个最常见的家族，占 900 个独特有效载荷的 97%。这两个家族以劫持设备以创建僵尸网络而闻名——大型私人计算机网络可以作为一个组进行控制，以传播恶意软件、使基础设施过载或发送垃圾邮件。

　　谁是目标？

　　物联网攻击目标的前三个国家是爱尔兰（48%）、美国（32%）和中国（14%）。

　　大多数受感染的物联网设备（近 90%）被观察到将数据发送回三个国家/地区之一的服务器：中国（56%）、美国（19%）或印度（14%）。

　　如何保护自己？

　　随着世界上“智能”设备的列表每天都在增加，几乎不可能阻止它们进入您的组织。IT 团队不应试图消除影子 IT，而应制定访问策略，防止这些设备成为通往最敏感业务数据和应用程序的大门。无论 IT 团队（或其他员工）是否在本地，都可以采用这些策略。

　　以下是减轻物联网恶意软件威胁的一些技巧，无论是在托管设备还是 BYOD 设备上：

　　01 了解您的所有网络设备

　　部署能够查看和分析网络日志的解决方案，以了解通过网络进行通信的所有设备及其功能。

　　02 更改所有默认密码

　　密码控制可能并不总是可行，但部署企业自有物联网设备的基本第一步应该是更新密码和部署双因素身份验证。

　　03 定期更新和修补

　　许多行业（尤其是制造业和医疗保健行业）的日常工作流程都依赖于物联网设备。确保您随时了解发现的任何新漏洞，并通过最新补丁使设备安全保持最新状态。

　　04 隔离物联网网络

　　在自己的孤立网络上安装 IoT 设备以防止横向移动，并限制入站和出站网络流量。同样，通过只允许与相关 IP 和 ASN 通信，阻止外部访问不必要的端口，尽可能限制来自外部网络的访问。

　　05 实施零信任架构

　　阻止影子物联网设备对企业网络构成威胁的唯一方法是消除隐式信任策略并使用基于身份的动态身份验证（也称为零信任）严格控制对敏感数据的访问。