制造商越來越多地在他們的設(shè)備上增加連接,以利用互聯(lián)網(wǎng)所能提供的好處。近年來,不間斷電源(UPS)供應(yīng)商為UPS設(shè)備增加了物聯(lián)網(wǎng)功能,在電涌和停電期間提供電池備份電源。最近,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)與美國能源部(Department of Energy)發(fā)布聯(lián)合警告,要求各機構(gòu)保護聯(lián)網(wǎng)UPS設(shè)備免受持續(xù)攻擊。在CISA最近發(fā)出的警告中,網(wǎng)絡(luò)犯罪分子通過未改變的默認用戶名和密碼來攻擊這些聯(lián)網(wǎng)版本的UPS設(shè)備,以訪問它們所連接的網(wǎng)絡(luò)。如果攻擊者能夠遠程接管UPS設(shè)備,他們就可以對企業(yè)的內(nèi)部網(wǎng)絡(luò)造成嚴重破壞,竊取數(shù)據(jù),或者在更糟糕的情況下,切斷關(guān)鍵設(shè)備、設(shè)備或服務(wù)的電源。這里的問題是,物聯(lián)網(wǎng)設(shè)備經(jīng)常受到限制,在實施強大的安全策略時,制造商有時會做出權(quán)衡。通常,制造商使用出廠安裝的默認憑證,這些憑證在安裝后需要更新。在這些情況下,如果通用密鑰在數(shù)百萬臺設(shè)備上使用,那么如果發(fā)現(xiàn)該憑據(jù)并用于利用具有相同身份驗證的其他設(shè)備,就會出現(xiàn)單點故障。
我們在家庭中的物聯(lián)網(wǎng)設(shè)備上也看到了類似的問題,黑客能夠利用保留默認憑證的家庭路由器,因為消費者不知道或不更改默認憑證。我們還看到被入侵的物聯(lián)網(wǎng)設(shè)備被用于DDoS攻擊,這種攻擊可以消耗服務(wù)器或后端資源,或者改變物聯(lián)網(wǎng)設(shè)備本身的預(yù)期行為。
使用連接的 UPS 設(shè)備的最佳安全實踐隨著制造商繼續(xù)采用與設(shè)備的連接,以獲得互聯(lián)網(wǎng)的好處,用于保護離線設(shè)備的傳統(tǒng)安全方法將不夠。以下是一些制造商應(yīng)該遵循的最佳安全實踐,以安全地使用連接的UPS設(shè)備。
調(diào)試設(shè)備后立即更改默認密碼:連接的 UPS 設(shè)備中的漏洞通常是由于未能更新工廠安裝的默認憑據(jù)造成的。具有出廠安裝默認憑據(jù)的 UPS 設(shè)備必須在安裝后立即更新。在將設(shè)備重新部署到實際環(huán)境之前,管理員應(yīng)在新密碼中添加多層特殊和復(fù)雜的字符組合。實施多因素身份驗證 (MFA):需要強大的物聯(lián)網(wǎng)身份驗證,以便可以信任連接的物聯(lián)網(wǎng)設(shè)備和機器,以防止來自未經(jīng)授權(quán)的用戶或設(shè)備的控制命令。身份驗證還有助于防止攻擊者聲稱自己是物聯(lián)網(wǎng)設(shè)備,以期訪問服務(wù)器上的數(shù)據(jù),例如記錄的對話、圖像和其他潛在的敏感信息。大多數(shù)物聯(lián)網(wǎng)設(shè)備都可以選擇啟用了雙重因素或多因素身份驗證。這是一個兩步驗證過程,涉及通過第二個設(shè)備(例如電話)驗證您的身份。確保每臺設(shè)備都有唯一的憑證:發(fā)送受保護的數(shù)據(jù)是任何物聯(lián)網(wǎng)設(shè)備的基本功能。為了使此功能有效,用戶和制造商都需要相信他們收到的數(shù)據(jù)是真實的并且是為他們準備的。隨著越來越多的連接 UPS 設(shè)備出現(xiàn),每個設(shè)備都應(yīng)具有某種類型的唯一身份憑證以進行識別。如果可以實施,使用非對稱證書是保護對部署在制造商或最終用戶網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備的訪問的一種非??煽康姆椒?。許多物聯(lián)網(wǎng)設(shè)備使用對稱加密,其中使用單個密鑰來加密和解密數(shù)據(jù)。數(shù)據(jù)被加密的事實提供了一個安全的安全層,特別是與使用硬編碼或默認密碼相比,但共享和存儲加密密鑰會產(chǎn)生風(fēng)險。那是因為如果惡意方截獲了密鑰,它可以使用它來加密和解密數(shù)據(jù)。這意味著他們可以訪問整個系統(tǒng)并共享數(shù)據(jù),甚至可以在制造商或最終用戶不知情的情況下通過操縱數(shù)據(jù)來充當“中間人”。使用非對稱加密會生成唯一的公鑰和私鑰對。每個都有不同的用途(公鑰解密數(shù)據(jù)并可以公開共享,而私鑰加密數(shù)據(jù),必須受到保護),并有助于解決其中的一些挑戰(zhàn)。利用基于證書的身份驗證:如果 UPS 設(shè)備部署在可以利用額外安全層的網(wǎng)絡(luò)中,例如基于證書的身份驗證——它在授予網(wǎng)絡(luò)訪問權(quán)限之前使用數(shù)字證書來識別用戶、機器或設(shè)備– 這將在設(shè)備的內(nèi)置安全策略之上提供更強大的安全態(tài)勢。公鑰基礎(chǔ)設(shè)施 (PKI) 管理數(shù)字證書的頒發(fā),以為設(shè)備提供唯一的數(shù)字身份,并由維護受信任根證書列表的服務(wù)器和設(shè)備的樹狀結(jié)構(gòu)組成。使用基于證書的身份驗證,數(shù)字證書通常排列在證書鏈中,其中每個證書都由另一個受信任證書的私鑰簽名,并且該鏈必須返回到全局受信任的根證書。這種安排建立了從受信任的根證書頒發(fā)機構(gòu)到通過每個中間證書頒發(fā)機構(gòu)安裝在設(shè)備上的最終實體“葉”證書的委托信任鏈。持續(xù)監(jiān)控證書和密鑰:強大的安全性歸結(jié)為實施。確保正確部署和持續(xù)監(jiān)控作為信任根的密鑰對、數(shù)字證書和 PKI 至關(guān)重要。這是因為任何靜態(tài)系統(tǒng)本質(zhì)上都是不安全的。如果沒有持續(xù)的生命周期管理,使用中的數(shù)字證書、密鑰對和信任根將隨著時間的推移而減弱。正確的生命周期管理應(yīng)首先映射每臺設(shè)備,以便擁有所有使用中的唯一身份和身份驗證的準確清單。有了完整的清單,制造商就可以監(jiān)控所有證書和密鑰,以識別任何潛在威脅并進行相應(yīng)調(diào)整。當設(shè)備不再使用時,應(yīng)撤銷相關(guān)證書和密鑰。物聯(lián)網(wǎng)設(shè)備具有很大的積極變化潛力。但它們連接物體和共享信息的能力也使它們非常脆弱。那是因為存在的每個連接點都有被黑客入侵的風(fēng)險。優(yōu)先考慮物聯(lián)網(wǎng)設(shè)備安全的制造商將繼續(xù)將創(chuàng)新設(shè)備推向市場,所有設(shè)備都具有必要的安全級別,以與客戶建立信任并防止破壞性網(wǎng)絡(luò)攻擊。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 2024年運營商集采盤點:夯實5G基礎(chǔ)建設(shè),全力推進智能化進程
- 構(gòu)建四大能力優(yōu)勢:中國聯(lián)通5G專網(wǎng)產(chǎn)品體系4.0正式發(fā)布
- 我國5G用戶數(shù)突破10億大關(guān)
- Avanci:搭建智能網(wǎng)聯(lián)汽車專利橋梁 推動許可流程便捷高效
- 江蘇聯(lián)通普纜集采:3家中標,G.652D光纖最低17.7元/芯公里
- 將“耐用”刻進骨子里!OPPO A5 Pro發(fā)布,1999起售
- Counterpoint:59%的受訪者計劃在一年內(nèi)升級到Gen AI智能手機
- 最高獎項!中國移動,憑啥?
- 將“耐用”刻進骨子里!OPPO A5 Pro發(fā)布,1999起售
- 構(gòu)建強大的室內(nèi)數(shù)字基礎(chǔ)設(shè)施
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。