你的設(shè)備還在“保質(zhì)期”嗎？

　　辦公室的路由器依然閃爍，客廳里的攝像頭仍在轉(zhuǎn)動(dòng)，這些陪伴我們多年的設(shè)備，或許早已過了廠商支持的“保質(zhì)期”，處于無人維護(hù)的狀態(tài)。安全生命周期和設(shè)備生命周期的脫節(jié)，使得原設(shè)備中尚未修復(fù)的漏洞暴露，風(fēng)險(xiǎn)隱患也潛滋暗長(zhǎng)。

　　無售后的網(wǎng)絡(luò)“靶場(chǎng)”

　　停產(chǎn)設(shè)備因廠商終止技術(shù)支持服務(wù)導(dǎo)致其無法修復(fù)自身存在的安全缺陷，其固件、協(xié)議棧及應(yīng)用程序中積累的漏洞永久暴露，如同一個(gè)不設(shè)防的“靶場(chǎng)”，輕易就能被黑客突破，因此成為境外間諜情報(bào)機(jī)關(guān)重點(diǎn)關(guān)注的目標(biāo)。攻擊者可通過自動(dòng)化掃描工具識(shí)別開放端口及服務(wù)，利用已知漏洞發(fā)起定向攻擊，直接獲取設(shè)備控制權(quán)。

　　搖身一變成“幫兇”

　　當(dāng)境外間諜情報(bào)機(jī)關(guān)利用漏洞入侵成功后，這些設(shè)備便不再是單純的“受害者”，反而成了他們的“幫兇”。入侵者會(huì)以被控制的設(shè)備作為隱匿行動(dòng)的中轉(zhuǎn)據(jù)點(diǎn)，向外部網(wǎng)站或企業(yè)服務(wù)器發(fā)起攻擊；還會(huì)悄悄掃描內(nèi)網(wǎng)中的其他聯(lián)網(wǎng)設(shè)備，竊取照片、文件、賬號(hào)密碼等敏感信息。

　　“小漏洞”演變成“大風(fēng)險(xiǎn)”

　　單一設(shè)備漏洞被突破后，威脅將隨攻擊深化呈指數(shù)級(jí)擴(kuò)散，產(chǎn)生連鎖反應(yīng)。攻擊者通過竊取設(shè)備存儲(chǔ)的敏感數(shù)據(jù)、劫持設(shè)備網(wǎng)絡(luò)權(quán)限等方式，進(jìn)一步挖掘內(nèi)網(wǎng)其他系統(tǒng)的薄弱環(huán)節(jié)，威脅范圍從單臺(tái)設(shè)備逐步蔓延至關(guān)聯(lián)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)，甚至影響跨領(lǐng)域基礎(chǔ)設(shè)施。最終，原本孤立的技術(shù)漏洞可能演變?yōu)閿?shù)據(jù)泄露、服務(wù)癱瘓、生產(chǎn)中斷的復(fù)合型安全事件，造成難以控制的系統(tǒng)性風(fēng)險(xiǎn)。

　　國(guó)家安全機(jī)關(guān)提示

　　面對(duì)電子設(shè)備“過保”存在的潛在風(fēng)險(xiǎn)，我們要增強(qiáng)安全防護(hù)意識(shí)，掌握科學(xué)防護(hù)方法，筑牢國(guó)家安全防線。

　　——給老設(shè)備“拆炸彈”，除患清源筑牢根基。定期通過設(shè)備官方網(wǎng)站查詢路由器、攝像頭、網(wǎng)關(guān)等聯(lián)網(wǎng)設(shè)備生命周期，若設(shè)備已停產(chǎn)且長(zhǎng)時(shí)間未更新固件，有條件可選用安全性更高的新設(shè)備進(jìn)行替換，切實(shí)消除因漏洞暴露形成的“定時(shí)炸彈”。

　　——給舊設(shè)備“拉閘門”，斷鏈阻敵嚴(yán)守邊界。若暫時(shí)未更換設(shè)備，要實(shí)施網(wǎng)絡(luò)訪問最小化原則，配置嚴(yán)格的訪問控制權(quán)限，盡量使用本地存儲(chǔ)替代云端同步，僅開放必要的服務(wù)端口，關(guān)閉遠(yuǎn)程連接等敏感服務(wù)，阻止設(shè)備訪問核心業(yè)務(wù)網(wǎng)絡(luò)或互聯(lián)網(wǎng)，有效阻斷其成為攻擊跳板的可能路徑。

　　——給“活”設(shè)備“打補(bǔ)丁”，補(bǔ)漏堵缺固若金湯。即便設(shè)備未完全停產(chǎn)，也需持續(xù)關(guān)注廠商發(fā)布的固件更新和安全補(bǔ)丁，定期檢查更新。對(duì)于仍在安全生命周期內(nèi)但存在漏洞的設(shè)備，及時(shí)下載并安裝修復(fù)程序，為設(shè)備穿上“防護(hù)衣”，防止安全威脅像“滾雪球”般擴(kuò)散。

　　來源：國(guó)家安全部微信公眾號(hào)