由于攻擊者的目標是不斷增長的物聯網攻擊面，企業可以通過以下六種最佳安全實踐降低風險。
　　物聯網是一個每天都在擴大的巨大攻擊面，這些設備通常充滿了基本的安全問題和高風險漏洞，它們正越來越頻繁地成為網絡犯罪分子的目標。

　　長期以來，許多人都將物聯網攻擊、分布式拒絕服務和加密挖掘僵尸網絡等低級威脅聯系在一起。但事實上，越來越多的勒索軟件、間諜和數據盜竊攻擊利用物聯網作為進入更大IT網絡，包括云在內的初始接入點。高級的威脅行為者也在使用物聯網設備在這些網絡中實現持久性，同時逃避檢測。

　　在我們自己對部署在企業環境中的數百萬物聯網設備的分析中，我們發現高風險和關鍵漏洞都很普遍。一半的物聯網設備存在至少為8分的漏洞，20%的設備存在CVSS評分為9-10分的嚴重漏洞。與此同時，這些設備在密碼保護和固件管理方面也存在一些基本的安全故障。

　　雖然物聯網風險不能完全消除，但可以降低。以下是企業應該采取的幾個步驟。

　　創建全面、最新的資產清單

　　在我們的研究中，我們發現80%的企業安全團隊甚至無法識別其網絡上的大多數物聯網設備。這是一個驚人的數字，它表明了問題的嚴重性。如果一家企業甚至不知道其網絡上有哪些設備，那么在成功的物聯網攻擊后，它如何能夠保護這些設備免受攻擊?又將如何保護其it網絡免受橫向移動?

　　然而，物聯網盤點并不容易。傳統的IT發現工具從來都不是為物聯網設計的。網絡行為異常檢測系統監聽跨端口上的流量，但大多數物聯網流量都是加密的，即使沒有加密，傳輸的信息也沒有足夠的識別細節。

　　如果沒有任何細節，僅僅知道某臺打印機是不夠的，尤其是如果它存在需要修復的漏洞。傳統漏洞掃描器可以提供幫助，但它們通過發送格式錯誤的數據包進行操作，這對物聯網識別來說不太好，甚至會使物聯網設備離線。

　　更好的方法是通過查詢設備的母語來發現物聯網設備。這將允許企業創建一份包含物聯網設備詳細信息的清單，如設備版本、型號、固件版本、序列號、運行服務、證書和憑據。這使得企業能夠真正地補救這些風險，而不僅僅是發現它們。這也使他們能夠移除任何被美國政府認為高風險的設備，如華為、中興、海康威視、大華。

　　密碼安全至關重要

　　針對物聯網設備的攻擊很容易實施，因為許多物聯網設備仍然有默認密碼。我們發現，在大約50%的物聯網設備中都是如此，在特定類別的設備中，這一比例甚至更高。

　　例如，95%的音視頻設備物聯網設備都有默認密碼。即使設備不使用默認密碼，它們中的大多數在長達10年的時間里只修改過一次密碼。

　　理想情況下，物聯網設備應該有唯一的、復雜的密碼，每30天、60天或90天輪換一次。然而，并非所有設備都支持復雜密碼。一些較老的物聯網設備只能處理4位的pin碼，而其他設備只允許10個字符，還有一些不接受特殊字符。

　　重要的是要了解物聯網設備的所有細節和功能，這樣才能使用有效的密碼，并安全地進行更改。對于密碼參數較弱或無法提供任何級別的身份驗證的舊設備，請考慮使用更現代的產品替換這些設備，以實現更好的安全實踐。

　　管理設備的固件

　　大多數物聯網設備運行在過時的固件上，由于漏洞非常普遍，這會帶來嚴重的安全風險。固件漏洞使設備容易受到攻擊，包括商用惡意軟件、復雜的植入、遠程訪問攻擊、數據盜竊、勒索軟件、間諜活動，甚至物理破壞。而設備固件的平均壽命是6年，大約四分之一的設備已經報廢，不再由供應商提供支持。

　　物聯網設備應使用供應商提供的最新固件版本和安全補丁進行更新。不可否認，這可能是一個挑戰，特別是在大型企業中，實際上有數十萬到數百萬個這樣的設備。但無論如何，必須采取措施來保證網絡的安全。企業物聯網安全平臺可以大規模自動化這一和其他安全流程。

　　然而，有時設備固件應該降級，而不是更新。當漏洞被廣泛利用，并且由于物聯網供應商通常比傳統IT設備制造商需要更長的時間來發布補丁，因此沒有可用的補丁時，建議暫時將設備降級到不包含漏洞的早期固件版本。

　　關閉外部連接并限制網絡訪問

　　物聯網設備通常很容易被發現，并且默認啟用了太多連接功能，如有線和無線連接、藍牙、其他協議、安全外殼和遠程登錄。這種混雜的訪問使得它們很容易成為外部攻擊者的目標。

　　對企業來說，像對It網絡一樣對物聯網進行系統加固非常重要。物聯網設備加固包括關閉這些無關的端口和不必要的功能。一些例子是運行安全外殼協議但不遠程登錄，使用有線以太網但不使用Wi-Fi，以及關閉藍牙。

　　企業也應該限制其在網絡之外進行通信的能力。這可以通過網絡防火墻、單向二極管、訪問控制列表和虛擬局域網在第2層和第3層完成。限制物聯網設備的互聯網接入將減輕依賴于安裝命令和控制惡意軟件，如勒索軟件和數據盜竊的攻擊。

　　確保證書有效

　　確保安全授權、加密和數據完整性的物聯網數字證書經常過時，管理不善。這個問題甚至發生在關鍵的網絡設備上，比如無線接入點，這意味著即使是網絡的初始接入點也沒有得到適當的保護。

　　驗證這些證書的狀態并將其與證書管理解決方案集成非常重要，以便糾正可能發生的任何風險，如安全傳輸層協議、過期日期和自簽名。

　　注意環境漂移

　　一旦物聯網設備被安全加固，確保它們保持這種狀態是很重要的。由于固件更新、錯誤和人為干擾，設備設置和配置可能會隨著時間的推移而改變，因此環境漂移是一種常見現象。

　　需要注意的關鍵設備更改是重置為默認值的密碼或非PAM的其他憑證修改、固件降級以及突然重新打開的不安全服務。