在過去,網(wǎng)絡(luò)靜態(tài)連接首先預(yù)留給有限數(shù)量的昂貴的計(jì)算機(jī),隨后網(wǎng)絡(luò)連接開始提供給企業(yè)、用戶家中、移動(dòng)設(shè)備,現(xiàn)在開始連接到大量IoT設(shè)備。
過去大量資源專門用于連接計(jì)算機(jī)到靜態(tài)網(wǎng)絡(luò),但在物聯(lián)網(wǎng)時(shí)代,這些資源已經(jīng)減少。而專用于連接這些設(shè)備到網(wǎng)絡(luò)的資源減少造成更少的資源來防止IoT安全威脅。
如果企業(yè)還沒有受到IoT攻擊,這應(yīng)該是企業(yè)計(jì)劃要處理的事情。IoT攻擊最終將會(huì)到來,所以企業(yè)要學(xué)會(huì)在為時(shí)已晚之前如何最有效地防止或低于它們。
日益增加的IoT安全威脅
如果制造商和工程師第一次添加新的技術(shù)功能來連接其設(shè)備到互聯(lián)網(wǎng),但還沒有學(xué)習(xí)到前輩開發(fā)人員的慘痛教訓(xùn),那么,他們?cè)谠O(shè)計(jì)產(chǎn)品時(shí)將不可避免地犯同樣的錯(cuò)誤—例如假定網(wǎng)絡(luò)是可信,而沒有為安全事故做計(jì)劃。
雖然企業(yè)很難阻止因設(shè)備制造問題而導(dǎo)致的安全風(fēng)險(xiǎn),但企業(yè)可以評(píng)估軟件開發(fā)做法,以了解信息安全是如何整合到制造商的軟件開發(fā)過程。如果制造商外包了設(shè)備聯(lián)網(wǎng)的部分工作,這可能是一個(gè)好跡象,因?yàn)檫@意味著經(jīng)驗(yàn)豐富的軟件開發(fā)人員正在幫助制造商部署正確的開發(fā)做法。
同樣需要注意的是,IoT設(shè)備與其他聯(lián)網(wǎng)設(shè)備一樣面臨著相同的攻擊,例如拒絕服務(wù)攻擊或者使用默認(rèn)賬號(hào)和默認(rèn)密碼,企業(yè)可能已經(jīng)遇到過這樣的問題。盡管IoT設(shè)備的攻擊面比傳統(tǒng)桌面或服務(wù)器要小,但當(dāng)考慮到IoT設(shè)備的數(shù)量時(shí),即使是很小的安全問題都可能帶來嚴(yán)重影響,這很像過去連接到互聯(lián)網(wǎng)的打印機(jī)或SCADA設(shè)備遇到的問題。
Akamai Technologies公司最近披露了重大IoT攻擊事件,該公司研究人員報(bào)告稱拒絕服務(wù)(DDoS)攻擊開始利用不安全的IoT設(shè)備配置。更具體地講,攻擊者發(fā)現(xiàn)可濫用簡單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)來放大惡意響應(yīng)到偽造的IP流量以加入DDoS攻擊。研究人員指出,攻擊者通過掃描來瞄準(zhǔn)網(wǎng)絡(luò)范圍,并發(fā)送SSDP搜索請(qǐng)求來確定IoT設(shè)備;然后響應(yīng)流量發(fā)送到目標(biāo)網(wǎng)絡(luò)作為DDoS攻擊的一部分。
如何抵御IoT安全威脅?
一方面,企業(yè)應(yīng)該確保SSDP的安全使用。SSDP使用應(yīng)該限于特定網(wǎng)絡(luò)以及速率限制,以最大限度地減少在攻擊中可產(chǎn)生的流量。企業(yè)可能還需要掃描其網(wǎng)絡(luò)(類似于Shadowserver Project掃描互聯(lián)網(wǎng))以尋找不安全配置的設(shè)備,如果發(fā)現(xiàn)這種設(shè)備,SSDP應(yīng)該要被禁用或者限制在受批準(zhǔn)的網(wǎng)絡(luò)。該設(shè)備可能還需要操作系統(tǒng)或軟件更新來修復(fù)任何SSDP漏洞。
在另一方面,企業(yè)還必須知道如何抵御基本的DDoS攻擊,企業(yè)需要在開發(fā)過程中或者生產(chǎn)環(huán)境中做好DDoS抵御計(jì)劃。
然而,抵御IoT相關(guān)的DDoS攻擊還需要額外的步驟。首先,強(qiáng)大的互聯(lián)網(wǎng)外圍保護(hù)必須只允許受批準(zhǔn)的入站網(wǎng)絡(luò)連接。如果IoT設(shè)備不能直接通過互聯(lián)網(wǎng)來連接,那么,攻擊者更難以讓它們參與DDoS攻擊。如果IoT設(shè)備需要通過互聯(lián)網(wǎng)來直接訪問,它應(yīng)該分隔在其自己的網(wǎng)絡(luò),并有網(wǎng)絡(luò)訪問限制。這個(gè)網(wǎng)絡(luò)分段應(yīng)該受到監(jiān)控以發(fā)現(xiàn)潛在的惡意流量,當(dāng)出現(xiàn)問題時(shí),應(yīng)立即采取行動(dòng)。
企業(yè)可以通過常規(guī)資產(chǎn)管理或漏洞掃描來檢測其網(wǎng)絡(luò)中的IoT設(shè)備。任何不匹配已知企業(yè)設(shè)備配置文件的新設(shè)備都應(yīng)該被隔離,并將其流量重定向到注冊(cè)門戶網(wǎng)站或者網(wǎng)絡(luò)管理系統(tǒng),以自動(dòng)檢查設(shè)備的安全性。這也可能讓這些設(shè)備部署在自己的網(wǎng)絡(luò)段。
IoT設(shè)備開發(fā)人員應(yīng)該投入更多資源來確保安全性,這包括在設(shè)備設(shè)計(jì)和配置中考慮更多安全性,因?yàn)檫@可能確保從供應(yīng)商發(fā)貨的設(shè)備在默認(rèn)情況下的安全性,并可能完全避免IoT DDoS安全問題。然而,對(duì)于開發(fā)人員來說,便利性、可用性和速度通常是比安全更重要的因素,實(shí)現(xiàn)這一目標(biāo)就像是一場白日夢(mèng)。
企業(yè)和互聯(lián)網(wǎng)服務(wù)提供商還倡導(dǎo)部署互聯(lián)網(wǎng)工程任務(wù)組的Best Current Practice 38,BCP 38專門用于減少欺騙性IP流量,這可以幫助防止不知情的設(shè)備參與DDoS攻擊。如果攻擊者不能發(fā)送偽造流量到設(shè)備,那么,設(shè)備就不能發(fā)送網(wǎng)絡(luò)流量用于DDoS攻擊。
IoT安全威脅的未來發(fā)展
物聯(lián)網(wǎng)給企業(yè)和個(gè)人提供了巨大的優(yōu)勢(shì),并且,物聯(lián)網(wǎng)的發(fā)展不太可能受到安全問題的影響,例如本文中所討論的安全問題。
很多通過IoT連接到網(wǎng)絡(luò)的設(shè)備并沒有使用傳統(tǒng)技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)連接。對(duì)于這些新設(shè)備,應(yīng)該會(huì)帶來新的默認(rèn)安全設(shè)計(jì),以及在默認(rèn)安全的操作系統(tǒng)的頂部建立配置,其中,只有設(shè)備的核心操作功能會(huì)啟用并受到保護(hù)。新的和現(xiàn)有的開發(fā)人員應(yīng)該在設(shè)計(jì)設(shè)備時(shí)解決這些安全挑戰(zhàn),以防止未來的安全事故。
不過,在實(shí)現(xiàn)這一點(diǎn)之前,用戶和企業(yè)需要采取必要的預(yù)防措施和適當(dāng)?shù)目刂苼頊p少潛在的IoT安全威脅。