在2021年度RSA大会上对物联网骇客的心理剖析中，安全专家 Itzik Feiglevitch 和 Justin Sowder 提出了各种物联网设备易受攻击的问题，以及企业网络安全工作中另类的处理问题。通过一些惊人的案例，展现出企业的物联网安全现状。

很少会有网络安全专家对企业的物联网设备进行跟踪调查。通常情况下，智能电梯、各种传感器、交互式网络电视（IPTV）、打印机、监控探头等设备，只不过是一些零散设备随意组合到一起，每个设备都采用独立的操作系统及专有协议，许多设备都缺少一种合理的控制接口。这点您应该理解，在您的企业中可能就存在数千个案例。

█物联网设备为何会引入额外的网络安全风险

物联网设备往往并不被看作是相关基础设施。尽管大家会将网络打印机视为网络设备，却不会把智能建筑组件甚至IP电话系统看作网络设备。很明显，这类设备常常会和企业的工作站连接在同一个网络中。

企业员工的流动或许会让情况更加复杂。网络安全和信息技术的人事变动越频繁，新员工就越有可能对连接到网络的物联网集群的状况一无所知。

或许，最坏的状况在于部分物联网设备是可以从外界访问的。外人可以以合法手段从外界访问，比如供应商对设备某些方面的控制，远程办公的实现，以及维护行为。然而一边把设备接入企业网络，同时又将设备长期连接到互联网，这种做法风险极高。

虽然听起来有些矛盾，但是现代电子产品功能的愈发强大，已成为又一个风险因素。一些物联网设备的使用寿命非常长，其运行环境中的安全状况早已比其出厂时要复杂得多。

举个例子，某些设备上运行着早已过时且易受攻击的操作系统，这类操作系统不再更新。即便可以更新，大概也需要通过物理方式更新，而且操作困难到几乎无法实现。部分功能无法更改密码，还有那些在调试时不小心留在最终版固件中的后门，以及其他一些给IT安全工作添枝加叶的“惊喜”。

█攻击者为什么对物联网设备感兴趣

网络犯罪分子对物联网设备感兴趣的原因有几个，包括对主机企业和其他企业的攻击。受攻击的智能设备通常会被用于：

为DDoS攻击建立僵尸网络；

加密货币挖矿；

盗取机密信息；

实施破坏；

作为进一步攻击和网络横向移动的跳板。

█案例研究

研究人员讲述了几个非常荒谬的案例，都涉及连接到互联网的标准设备，以及高度专业的设备。有两个突出案例是关于使用Zigbee协议的超声波机器和设备的。

超声机

现代医疗保健行业组织广泛使用物联网医疗设备。为了对此类设备的安全性进行测试，研究人员购买了超声波机器，并试图对其实施破解。只需五分钟，就能完成破解。该设备使用不再支持更新的Windows 2000的一个系统版本。除此之外，他们不仅能获得对设备的控制，还能访问前任机主未删除的患者数据。

医生往往会在不更新、不升级的情况下，使用医疗设备数年甚至数十年之久。这可以理解，如果机器不出问题就不用管。然而此类设备往往并不会在自己的第一个主人手下工作较长时间，它们会被转卖，随后继续服役。

Zigbee协议

Zigbee网络协议是于2003年，为提高设备间无线通讯的能效而开发的通信协议。企业使用Zigbee网络协议构建Mesh网络，以满足智能建筑中各种组件的日常连接。这样一来，在办公室某处设置的网关就可以控制几十种不同的设备，比如智能照明系统。

一些研究人员表示，网络犯罪分子可以在普通笔记本上轻易模拟Zigbee设备，连接到网关，并安装恶意程序。不法分子只需位于Zigbee网络的覆盖范围内，比如办公室大厅，一旦控制网关，就能以多种方式实施破坏。比如，可以关闭建筑物中的所有智能灯。

█如何为企业网络提供保护

安全经理经常拿不准，是应该保护企业网络中的物联网设备，还是保护企业网络免受物联网设备发起的攻击。实际上，这两种问题都需要解决。这里要注意的是，要保证网络上的每个项目和行为都是可见的。建立企业安全，需要首先识别每一个连接到网络中的设备，对其进行正确分类，理想情况下要分析相关风险。

当然，下一步就是根据分析结果进行网络分段。如果某个设备必要且无法取代，但存在无法修复的漏洞，就要配置网络以拒绝易受攻击的设备连接到互联网，并在其他网段中移除其访问权限。理想情况下，要使用零信任安全理念进行细分。

监视网络流量以了解相关网段中的异常状况，同样有助于提高监测能力，发现受攻击的物联网设备实施的DDoS攻击以及挖矿行为。

最后，如果您想要获取早期监测能力，监测在网络中以物联网设备作为跳板以攻击其他系统的高级攻击，请使用端点检测和响应解决方案。