借助联网 UPS 设备的优秀安全实践

发布时间：2022-07-27 15:13:56 所属栏目：交互来源：互联网

导读：制造商越来越多地在他们的设备上增加连接，以利用互联网所能提供的好处。近年来，不间断电源(UPS)供应商为UPS设备增加了物联网功能，在电涌和停电期间提供电池备份电源。最近，美国网络安全与基础设施安全局(CISA)与美国能源部(Department of Energy)发布联

　　制造商越来越多地在他们的设备上增加连接，以利用互联网所能提供的好处。近年来，不间断电源(UPS)供应商为UPS设备增加了物联网功能，在电涌和停电期间提供电池备份电源。最近，美国网络安全与基础设施安全局(CISA)与美国能源部(Department of Energy)发布联合警告，要求各机构保护联网UPS设备免受持续攻击。

　　这里的问题是，物联网设备经常受到限制，在实施强大的安全策略时，制造商有时会做出权衡。通常，制造商使用出厂安装的默认凭证，这些凭证在安装后需要更新。在这些情况下，如果通用密钥在数百万台设备上使用，那么如果发现该凭据并用于利用具有相同身份验证的其他设备，就会出现单点故障。

　　1. 调试设备后立即更改默认密码
　　连接的 UPS 设备中的漏洞通常是由于未能更新工厂安装的默认凭据造成的。具有出厂安装默认凭据的 UPS 设备必须在安装后立即更新。在将设备重新部署到实际环境之前，管理员应在新密码中添加多层特殊和复杂的字符组合。

　　2. 实施多因素身份验证 (MFA)
　　需要强大的物联网身份验证，以便可以信任连接的物联网设备和机器，以防止来自未经授权的用户或设备的控制命令。身份验证还有助于防止攻击者声称自己是物联网设备，以期访问服务器上的数据，例如记录的对话、图像和其他潜在的敏感信息。

　　大多数物联网设备都可以选择启用了双重因素或多因素身份验证。这是一个两步验证过程，涉及通过第二个设备（例如电话）验证您的身份。

　　3. 确保每台设备都有唯一的凭证
　　发送受保护的数据是任何物联网设备的基本功能。为了使此功能有效，用户和制造商都需要相信他们收到的数据是真实的并且是为他们准备的。随着越来越多的连接 UPS 设备出现，每个设备都应具有某种类型的唯一身份凭证以进行识别。如果可以实施，使用非对称证书是保护对部署在制造商或最终用户网络中的物联网设备的访问的一种非常可靠的方法。

　　许多物联网设备使用对称加密，其中使用单个密钥来加密和解密数据。数据被加密的事实提供了一个安全的安全层，特别是与使用硬编码或默认密码相比，但共享和存储加密密钥会产生风险。那是因为如果恶意方截获了密钥，它可以使用它来加密和解密数据。这意味着他们可以访问整个系统并共享数据，甚至可以在制造商或最终用户不知情的情况下通过操纵数据来充当“中间人”。

　　使用非对称加密会生成唯一的公钥和私钥对。每个都有不同的用途（公钥解密数据并可以公开共享，而私钥加密数据，必须受到保护），并有助于解决其中的一些挑战。

　　4. 利用基于证书的身份验证
　　如果 UPS 设备部署在可以利用额外安全层的网络中，例如基于证书的身份验证——它在授予网络访问权限之前使用数字证书来识别用户、机器或设备– 这将在设备的内置安全策略之上提供更强大的安全态势。公钥基础设施 (PKI) 管理数字证书的颁发，以为设备提供唯一的数字身份，并由维护受信任根证书列表的服务器和设备的树状结构组成。

　　5. 持续监控证书和密钥
　　强大的安全性归结为实施。确保正确部署和持续监控作为信任根的密钥对、数字证书和 PKI 至关重要。这是因为任何静态系统本质上都是不安全的。如果没有持续的生命周期管理，使用中的数字证书、密钥对和信任根将随着时间的推移而减弱。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!