制造商越來越多地在他們的設(shè)備上增加連接，以利用互聯(lián)網(wǎng)所能提供的好處。近年來，不間斷電源(UPS)供應(yīng)商為UPS設(shè)備增加了物聯(lián)網(wǎng)功能，在電涌和停電期間提供電池備份電源。最近，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)與美國能源部)發(fā)布聯(lián)合警告，要求各機構(gòu)保護聯(lián)網(wǎng)UPS設(shè)備免受持續(xù)攻擊。
　　
　　在CISA最近發(fā)出的警告中，網(wǎng)絡(luò)犯罪分子通過未改變的默認(rèn)用戶名和密碼來攻擊這些聯(lián)網(wǎng)版本的UPS設(shè)備，以訪問它們所連接的網(wǎng)絡(luò)。如果攻擊者能夠遠程接管UPS設(shè)備，他們就可以對企業(yè)的內(nèi)部網(wǎng)絡(luò)造成嚴(yán)重破壞，竊取數(shù)據(jù)，或者在更糟糕的情況下，切斷關(guān)鍵設(shè)備、設(shè)備或服務(wù)的電源。
　　
　　這里的問題是，物聯(lián)網(wǎng)設(shè)備經(jīng)常受到限制，在實施強大的安全策略時，制造商有時會做出權(quán)衡。通常，制造商使用出廠安裝的默認(rèn)憑證，這些憑證在安裝后需要更新。在這些情況下，如果通用密鑰在數(shù)百萬臺設(shè)備上使用，那么如果發(fā)現(xiàn)該憑據(jù)并用于利用具有相同身份驗證的其他設(shè)備，就會出現(xiàn)單點故障。
　　
　　我們在家庭中的物聯(lián)網(wǎng)設(shè)備上也看到了類似的問題，黑客能夠利用保留默認(rèn)憑證的家庭路由器，因為消費者不知道或不更改默認(rèn)憑證。我們還看到被入侵的物聯(lián)網(wǎng)設(shè)備被用于DDoS攻擊，這種攻擊可以消耗服務(wù)器或后端資源，或者改變物聯(lián)網(wǎng)設(shè)備本身的預(yù)期行為。
　　
　　使用連接的UPS設(shè)備的最佳安全實踐
　　
　　隨著制造商繼續(xù)采用與設(shè)備的連接，以獲得互聯(lián)網(wǎng)的好處，用于保護離線設(shè)備的傳統(tǒng)安全方法將不夠。以下是一些制造商應(yīng)該遵循的最佳安全實踐，以安全地使用連接的UPS設(shè)備。
　　
　　調(diào)試設(shè)備后立即更改默認(rèn)密碼：連接的UPS設(shè)備中的漏洞通常是由于未能更新工廠安裝的默認(rèn)憑據(jù)造成的。具有出廠安裝默認(rèn)憑據(jù)的UPS設(shè)備必須在安裝后立即更新。在將設(shè)備重新部署到實際環(huán)境之前，管理員應(yīng)在新密碼中添加多層特殊和復(fù)雜的字符組合。
　　
　　實施多因素身份驗證(MFA)：需要強大的物聯(lián)網(wǎng)身份驗證，以便可以信任連接的物聯(lián)網(wǎng)設(shè)備和機器，以防止來自未經(jīng)授權(quán)的用戶或設(shè)備的控制命令。身份驗證還有助于防止攻擊者聲稱自己是物聯(lián)網(wǎng)設(shè)備，以期訪問服務(wù)器上的數(shù)據(jù)，例如記錄的對話、圖像和其他潛在的敏感信息。大多數(shù)物聯(lián)網(wǎng)設(shè)備都可以選擇啟用了雙重因素或多因素身份驗證。這是一個兩步驗證過程，涉及通過第二個設(shè)備（例如電話）驗證您的身份。
　　
　　確保每臺設(shè)備都有唯一的憑證：發(fā)送受保護的數(shù)據(jù)是任何物聯(lián)網(wǎng)設(shè)備的基本功能。為了使此功能有效，用戶和制造商都需要相信他們收到的數(shù)據(jù)是真實的并且是為他們準(zhǔn)備的。隨著越來越多的連接UPS設(shè)備出現(xiàn)，每個設(shè)備都應(yīng)具有某種類型的唯一身份憑證以進行識別。如果可以實施，使用非對稱證書是保護對部署在制造商或最終用戶網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備的訪問的一種非?？煽康姆椒āＴS多物聯(lián)網(wǎng)設(shè)備使用對稱加密，其中使用單個密鑰來加密和解密數(shù)據(jù)。數(shù)據(jù)被加密的事實提供了一個安全的安全層，特別是與使用硬編碼或默認(rèn)密碼相比，但共享和存儲加密密鑰會產(chǎn)生風(fēng)險。那是因為如果惡意方截獲了密鑰，它可以使用它來加密和解密數(shù)據(jù)。這意味著他們可以訪問整個系統(tǒng)并共享數(shù)據(jù)，甚至可以在制造商或最終用戶不知情的情況下通過操縱數(shù)據(jù)來充當(dāng)“中間人”。使用非對稱加密會生成唯一的公鑰和私鑰對。每個都有不同的用途（公鑰解密數(shù)據(jù)并可以公開共享，而私鑰加密數(shù)據(jù)，必須受到保護），并有助于解決其中的一些挑戰(zhàn)。
　　
　　利用基于證書的身份驗證：如果UPS設(shè)備部署在可以利用額外安全層的網(wǎng)絡(luò)中，例如基于證書的身份驗證——它在授予網(wǎng)絡(luò)訪問權(quán)限之前使用數(shù)字證書來識別用戶、機器或設(shè)備–這將在設(shè)備的內(nèi)置安全策略之上提供更強大的安全態(tài)勢。公鑰基礎(chǔ)設(shè)施(PKI)管理數(shù)字證書的頒發(fā)，以為設(shè)備提供唯一的數(shù)字身份，并由維護受信任根證書列表的服務(wù)器和設(shè)備的樹狀結(jié)構(gòu)組成。使用基于證書的身份驗證，數(shù)字證書通常排列在證書鏈中，其中每個證書都由另一個受信任證書的私鑰簽名，并且該鏈必須返回到全局受信任的根證書。這種安排建立了從受信任的根證書頒發(fā)機構(gòu)到通過每個中間證書頒發(fā)機構(gòu)安裝在設(shè)備上的最終實體“葉”證書的委托信任鏈。
　　
　　持續(xù)監(jiān)控證書和密鑰：強大的安全性歸結(jié)為實施。確保正確部署和持續(xù)監(jiān)控作為信任根的密鑰對、數(shù)字證書和PKI至關(guān)重要。這是因為任何靜態(tài)系統(tǒng)本質(zhì)上都是不安全的。如果沒有持續(xù)的生命周期管理，使用中的數(shù)字證書、密鑰對和信任根將隨著時間的推移而減弱。正確的生命周期管理應(yīng)首先映射每臺設(shè)備，以便擁有所有使用中的唯一身份和身份驗證的準(zhǔn)確清單。有了完整的清單，制造商就可以監(jiān)控所有證書和密鑰，以識別任何潛在威脅并進行相應(yīng)調(diào)整。當(dāng)設(shè)備不再使用時，應(yīng)撤銷相關(guān)證書和密鑰。
　　
　　物聯(lián)網(wǎng)設(shè)備具有很大的積極變化潛力。但它們連接物體和共享信息的能力也使它們非常脆弱。那是因為存在的每個連接點都有被黑客入侵的風(fēng)險。優(yōu)先考慮物聯(lián)網(wǎng)設(shè)備安全的制造商將繼續(xù)將創(chuàng)新設(shè)備推向市場，所有設(shè)備都具有必要的安全級別，以與客戶建立信任并防止破壞性網(wǎng)絡(luò)攻擊。