酒店IoT安全使用手册，万物互联如何避免“万物互不安全”？

According to Juniper Research, some 38.5 billion IoT-enabled smart devices will be connected to the Internet by 2020. However, much of the embedded firmware that runs on these devices remains unsecured. Here, experts share strategies for minimizing the risks inherent in an age of connected devices：1.Learn how hackers harness unsecured IoT devices; 2.Exercise care when choosing IoT devices, vendors; 3.Adopt a multi-layered, multi-faceted approach to security; 4.Take additional precautions; 5.Test, test, and test some more;6.Don’t “set it and forget it”

（CHTA编译）不知从何时起，物联网（IoT）已经从流行词落地为实实在在的业务战略。据英国专业级的市调研究机构Juniper Research数据，到2020年，全球约有385亿物联网智能设备，而在2015年，这个数据才只有134亿。所以我们不无意外的发现，越来越多的酒店在部署物联网设备，如智能恒温器、智能照明、布帘、电子门锁和娱乐系统等，以改善客户体验，同时提高运营效率，控制成本。

但不可否认的是，在这些设备上运行的大部分嵌入式固件存在极大的不安全性，可能使酒店更容易遭受已困扰他们许久的针对关键数据的网络攻击。

鉴于此，今天我们想为大家分享一些

来自业内专家的应对策略，

希望以此帮助酒店行业在万物互联时代

最大程度降低物联网带来的安全风险。

1

了解黑客如何利用

不安全的物联网设备

来自安全研究和咨询公司Independent Security Evaluators的执行合伙人Ted Harrington先生指出，在某些情况下，犯罪分子可以通过有安全隐患的设备所连接的网络直接进入设备。通过连接在同一网络上的其他设备上的后门，黑客可以很容易地访问数据并将其传输到选定的地方。

有几位消息人士重申了曾发生在北美一家赌场的此类事件。据安全公司Darktrace报道，犯罪分子通过一个正在被网络监控的不安全的超大型智能鱼缸入侵赌场网络，进入后，再通过数据扫描，找到其他漏洞。紧接着，长驱直入，顺利访问包含多种数据的系统，最后将其转移到芬兰的一个设备上。

在其他情况下，不安全设备还会被大规模劫持，从而导致网络拥堵和物联网设备活动停滞。这种情况下，运营商会被拒绝访问数据和系统，直到黑客的要求得到满足。奥地利四星级酒店 Romantik Seehotel Jaegerwirt遇到的就是这种情况，他们的电子客房门锁系统和前台电脑最近被勒索软件渗透并冻结。前台工作人员无法正常工作，也无法将匙卡发放给客人，这种情况一直延续到酒店经理汇出1,800比特币，这场DDoS攻击才终止。值得一提的是，当2017年1月份，这次攻击事件发生时，一个比特币的价值约为1000美元。但到2017年11月，一个比特币的价值约为7500美元。

据LG Electronics USA介绍，其他情况下，黑客试图通过物联网设备向制造商托管的外部网站访问数据。甚至还有一些情况是，黑客直接冒充客人住店，然后把他们自己的设备插入大厅或其他公共区域不安全的物联网设备中，从而侵入酒店的数据库。

2

选择物联网设备和供应商，

需小心谨慎

在网络安全咨询和服务公司Stronghold Cyber Security的首席执行官Jason McNew看来，只购买用于商业的物联网设备是必须的。因为在McNew和其他业内人看来，与安装在家中的物联网设备相比，商业IoT设备通常具有更多的安全功能。

来自Oak Ridge National Laboratory（由美国能源部运营）的网络安全研究员Jared Smith建议审查物联网供应商，并避开任何在其记录中出现多次妥协事件的供应商。史密斯说，我们应该避开这些不愿意提升设备安全性的供应商。

3

采取多层次，多方面的安全措施

与多数运营商所坚信的情况不同，其实，提升物联网设备的安全性并不仅仅是在网络端点上安装防火墙。一个多层次，多方面的安全策略才是确保安全的必要条件。

Mushroom Networks建议，除了安装防火墙以屏蔽物联网设备上的传感器之外，酒店还可使用软件定义结构和多WAN防火墙将客户网络流量与业务网络流量分开，或者探索其他方式为物联网设备建立连接。这种做法是至关重要的，因为如果网络保持统一，如果客人无意中将受感染的手机、笔记本电脑或其他设备连接到酒店基础设施，黑客就很容易攻击。如果这个选项不可行，那么运营商是时候计算管理两个完全分开的物理网络而不是一个物理网络所需的预算了。因为考虑到这样可以避免单网络配置的高风险，这笔费用还是很值得的。

许多供应商已经开发出专门用于支持使用软件定义网络的解决方案，以及为支持IoT的设备建立连接的替代方法。其中，FatPipe Networks名列前茅，而Hologram则宣城拥有了一个物联网连接平台。

此外，Harrington认为酒店应采用某种形式的物联网遏制，因为在单一的融合网络中还存在虚拟的，彼此隔离的“细分市场”。在这种配置中，类似的设备被组合在一起，并被允许仅与选定的一组用户和服务器（IoT平台）对接。

最近，喜达屋酒店及度假村实施了物联网设备遏制措施，确保“在访问控制的分段区域时，行政网络之外辅助设备的安全”，喜达屋酒店及度假村北美IT总监Edward C.（“Ted”）Hopcroft如是说。Hopcroft指出喜达屋的电子门锁系统就是这类设备的一个例子。Hopcroft告诉我们，遏制措施使得我们更容易限制对物联网设备的未授权访问。不仅如此，遏制措施还支持更高级别的安全性。因为即使黑客渗透到隔离区，也无法将物联网设备用作网络入口，更无法借此入侵感兴趣的数据。

当然，多管齐下确保物联网安全，意味着保护通过互联网与其他设备连接的所有设备，而不仅仅是明显的设备（例如IoT房间锁、室内能源管理控制、布帘和娱乐系统等）。具有IP功能的视频监控摄像机和数字标牌系统属于这一类。在上文讲到的智能鱼缸黑客事件中，犯罪分子在被发现之前，已经窃取了10GB的数据。安全专家和供应商声称，如果物联网安全首先扩展到鱼缸，攻击就不会发生。

McNew说：“酒店运营商应该考虑如何去寻找一种解决方案，它可以在发现问题时找出其位置并切断功能，从而防止物联网设备成为酒店基础架构其他部分的媒介。例如，当发现安装在客房或会议室，控制照明、温度或布帘等功能的平板电脑，正有意或无意地移动时，可以自动禁用该平板电脑，从而避免可能的安全攻击。

4

采取额外的预防措施

万物互联时代，即使是多层次的，多方面的安全举措，也不足以完全防范物联网设备的攻击和其他类型的妥协。Smith指出，在所有设备上重新设置默认密码是必要的，但创建的密码不仅要将符号与数字和大小写字母组合在一起，还要超过26个字符的长度。

Absolute Software建议酒店经营者问问自己，他们是否真的了解在他们的网络上，哪些协议和端口是互通的。基本原理：有一些旧的协议，如KNX，不可以在无线配置中使用，并且不能防止嗅探和其他攻击。Convergint，建议客户使用端口阻塞技术。据该公司介绍，许多物联网设备也具有通用的即插即用（UPnP）端口，这些端口应该断开连接。因为它们可以自动在路由器的屏蔽下“戳洞”，导致设备可以在互联网上被发现，并容易受到恶意软件感染。

McNew指出，认证设备和加密数据应该是标准程序。三星提供了一个旨在简化流程的物联网管理平台，被称为ARTIK，该平台使用双重身份验证来验证给定网络上的每个物联网设备; 任何不能被正确认证的设备都会被同一网络上的其他任何设备“隔离”，它还利用双重加密作为数据保护。

政策和程序也是预防措施方程式的一部分，包括喜达屋酒店及度假村在内的部分酒店不允许员工将自己的移动设备用于工作目的。Hopcroft表示：“通过这种方式，我们可以确保连接到安全网络的内容得到妥善管理、修补和保护。“对我们来说，这是唯一的方法。”

至于其他的政策和程序，业内专家主张盘点所有的物联网设备，并根据手头的清单制定政策。根据时间、地点和角色/职责，限制对单个设备和网络的访问。Harrington建议，应该使用网络访问管理软件来管理任何访问。

5

测试，测试，再一次测试

一些专家提倡在上线之前在单独的环境中构建和测试物联网解决方案，从而确保没有安全问题，并且能够主动而不是被动地处理网络问题。据报道，三星的许多酒店客户在进行网络整合项目之前，会建立“demo rooms”或试验中心，通过新的物联网方案在“生活环境”中的应用，发现因安全或其他原因而导致的问题。

6

持续监控

Harrington说，物联网设备需要持续监控才能阻止黑客入侵，包括Aruba Networks和ZingBox在内的多家厂商已经推出了用户和实体行为分析（UEBA）解决方案，利用机器学习和人工智能在物联网设备开始异常行为时触发警报（例如HVAC系统突然开始大量向酒店外部传输数据）。一些解决方案与网络访问控制系统协同工作，在发现攻击时采取自动防御行动，如阻止、隔离或断开网络中所有受到影响的物联网设备，直到修复完成。

最后，酒店运营商必须了解固件更新和新补丁的可用性。

McNew建议说：“尽可能使用这些设备，同时哪怕在拥有世界上所有的物联网安全性之时，也必须在漏洞面前保持领先。“

来源：HOSPTTALITY TECHNOLOGY

原标题：Securing the IoT: What Hoteliers Need to Know

By Julie Ritzer Ross, Contributing Editor

登陆CHTA官网，立即加入我們！

更多独家内幕、

行业痛点深度解读，