物聯(lián)網(wǎng)安全之殤:如何規(guī)避風險?

責任編輯:editor004

2016-08-30 11:23:52

摘自:物聯(lián)網(wǎng)智庫

現(xiàn)如今,會議室的智能電視、智能化的加熱和空調系統(tǒng)、互聯(lián)網(wǎng)連接的電燈、智能設備控制的生產(chǎn)過程、智能手表和健身器材幾乎可以說是無處不在。

現(xiàn)如今,會議室的智能電視、智能化的加熱和空調系統(tǒng)、互聯(lián)網(wǎng)連接的電燈、智能設備控制的生產(chǎn)過程、智能手表和健身器材幾乎可以說是無處不在。而這些還僅僅只是現(xiàn)在企業(yè)物聯(lián)網(wǎng)(IoT)的非常小的一部分。在更大的部分,幾乎所有的物理對象都能夠被智能化的連接到網(wǎng)絡。當然,企業(yè)在享受到物聯(lián)網(wǎng)所帶來的便捷的同時,也要警惕黑客攻擊和數(shù)據(jù)泄露。

今年七月,物聯(lián)網(wǎng)的安全問題曾經(jīng)引起過人們的深切關注。彼時,兩名黑客遠程控制了一輛大切諾基,使其在高速公路上以每小時70英里的速度行駛。他們通過無線控制雨刷的開啟和關閉,把空調開到最大,并在行駛過程中切換到一個不同的電臺廣播,然后禁用傳輸功能,所以這輛吉普車行至州際公路時放緩了速度。

這兩名黑客是為了宣傳汽車所面臨的物聯(lián)網(wǎng)所帶來的安全風險,而其也的確產(chǎn)生了效果——最終導致140萬輛汽車被召回,不得不針對他們的系統(tǒng)打補丁。

不幸的是,面臨物聯(lián)網(wǎng)所帶來的安全問題,大部分企業(yè)并不能僅僅通過召回汽車和修補他們的計算系統(tǒng)就能夠輕易解決的。企業(yè)當前所面臨的最大問題是:鑒于物聯(lián)網(wǎng)設備已經(jīng)在整個企業(yè)范圍內得到廣泛的使用和傳播,企業(yè)的生產(chǎn)環(huán)境到底有多安全?而通過這些物聯(lián)網(wǎng)設備來入侵企業(yè)網(wǎng)絡有多容易?企業(yè)如何保護自身的安全?

在這篇文章中,我們將與大家分析有物聯(lián)網(wǎng)所帶來的相關安全風險,并確定哪些安全風險是最為重要的,以及如何防范提供一些針對性的建議。

物聯(lián)網(wǎng)安全之殤:如何規(guī)避風險?

  物聯(lián)網(wǎng)安全問題是否真的存在?

讓我們從最基本的問題開始:企業(yè)當前正面臨怎樣的物聯(lián)網(wǎng)相關的風險?

OpenDNS安全實驗室安全研究部門高級總監(jiān)Andrew Hay說:“我們所觀察到的最大問題是,對于面向消費者的網(wǎng)絡攝像頭和智能電視設備,當期在被廠商制造時,確實是進行了安全測試的,但只有當運行在一個非關鍵性的環(huán)境。他們沒有針對企業(yè)級的安全進行測試。這是相當令人震驚的,因為在現(xiàn)如今的企業(yè)中,這些設備越來越被頻繁的用于訪問企業(yè)網(wǎng)絡。他們能連接到企業(yè)網(wǎng)絡,但企業(yè)只是像玩具一樣對待他們。并沒有像針對其他移動設備一樣實施相同的安全BYOD管理策略。只被認為是一些玩具和小玩意兒。”

安全公司Bastille的創(chuàng)始人和首席執(zhí)行官克里斯·魯蘭補充說,通常情況下,企業(yè)甚至沒有針對在他們的辦公室和設施中使用的所有無線設備進行跟蹤記錄。

“我敢肯定,每家企業(yè)在他們的辦公環(huán)境中都有無線發(fā)射器,但他們卻并沒有意識到,這是相當不安全的。”他說。“問題就在于,對于物聯(lián)網(wǎng)設備而言,目前還沒有發(fā)生類似于1999年的梅麗莎病毒(Melissa virus)這樣的分水嶺事件。”在那一年,梅麗莎病毒的傳播是如此廣泛——包括微軟和英特爾網(wǎng)絡都慘遭不幸——其提高了人們對于保護企業(yè)計算機和網(wǎng)絡,免受病毒侵害的重要性的意識。

兩種類型的物聯(lián)網(wǎng)危險

在一般情況下,企業(yè)面臨著兩種主要的物聯(lián)網(wǎng)威脅——通過物聯(lián)網(wǎng)設備所帶來的專門針對企業(yè)的威脅,以及那些主要針對消費者的威脅。您可能會想到,消費類設備所構成的危險比那些專門針對企業(yè)的威脅更大。但許多安全專家表示說,情況并非如此。

思科安全業(yè)務部門產(chǎn)品營銷經(jīng)理Marc Blackmer解釋說,“現(xiàn)如今,圍繞著諸如Nest恒溫器或智能電視可能成為企業(yè)的安全隱患有太多太多的炒作了。”但更大的問題則是由企業(yè)級的物聯(lián)網(wǎng)設備的復雜性,及企業(yè)對于這些危險性的不完全的理解所帶來的。他認為:“我們太過關注于我們的冰箱在做什么。這可能使得我們可能會忽略了這樣一個事實,即目前的企業(yè)網(wǎng)絡中更多的路由協(xié)議。您甚至可以通過智能手機來自管理企業(yè)設備。”

為此,他列舉了2008年在土耳其的一個石油管道被攻擊的例子。該石油管道是通過IP連接的網(wǎng)絡監(jiān)控攝像頭所監(jiān)控的,旨在保護管道設施。但具有諷刺意味的是,攻擊者利用攝像頭的漏洞闖入網(wǎng)絡,控制了石油管道。然后他們植入惡意軟件并遠程獲得控制器在管道閥門站的控制權。之后,他們通過改變石油壓力炸毀了管道。他們還遠程關閉了管道的應急系統(tǒng),使管道的業(yè)主沒有立即意識到被攻擊。

另一個嚴重的問題是由外部承包商連接到企業(yè)網(wǎng)絡,但其并不具備與企業(yè)相同的安全系統(tǒng)和規(guī)則所導致的。他們的設備可能不安全,可能會對企業(yè)網(wǎng)絡造成安全風險。

比利里奧斯,云安全公司Qualys的威脅情報總監(jiān)比利·里奧斯告訴《紐約時報》的記者說,“遠程訪問這些(企業(yè))系統(tǒng)是很常見的,而集成商幾乎總是在企業(yè)網(wǎng)絡上。”由Qualys 公司所進行的一項研究發(fā)現(xiàn),有55000個采暖,通風,空調(HVAC)系統(tǒng)連接到互聯(lián)網(wǎng)。而在大多數(shù)情況下,這些系統(tǒng)包含了基本的安全漏洞,可能使得攻擊者能夠很容易的進入企業(yè)網(wǎng)絡。該公司表示。

約翰·佩斯卡托是一名安全專家,擁有漫長的職業(yè)生涯,曾就職于美國國家安全局和GTE,現(xiàn)在是SANS研究所新興安全趨勢主管。他表示,企業(yè)一般擅長管理電腦,移動設備和用戶級交換機的威脅——而這些通常被認為是IT部門的傳統(tǒng)領域。但是,當非IT設備和系統(tǒng)連接到他們的網(wǎng)絡時,他們就有問題了。

“一家企業(yè)搬遷到了一幢新的建筑,而且空調系統(tǒng)、電梯以及攝像機卻仍在原來的同一個網(wǎng)絡上,這些東西不一定是被保護的。如果您企業(yè)甚至無法檢測您自己的網(wǎng)絡,那么您甚至都無法保護自己。”

來自消費者物聯(lián)網(wǎng)的威脅

上述所有這一切并不意味著消費者的物聯(lián)網(wǎng)設備并不對企業(yè)網(wǎng)絡構成威脅。他們同樣也會構成安全威脅。有安全專家警告說,諸如電視機,照相機,可穿戴設備等智能設備的大量泛濫,更會對許多企業(yè)網(wǎng)絡造成嚴重的安全漏洞。

或許,針對這方面的安全威脅最廣泛全面的研究是由OpenDNS完成的。其題為《2015年企業(yè)物聯(lián)網(wǎng)》的報告分析了超過160個國家的約5000萬名個人和企業(yè)用戶的網(wǎng)絡流量,其調查結果令人擔憂。研究發(fā)現(xiàn),“在美國,亞洲和歐洲的消費設備,如Dropcam網(wǎng)絡視頻攝像頭、Fitbit穿戴式健身器材、西數(shù)公司的‘我的云’存儲設備、各種連接的醫(yī)療設備以及三星的智能電視都無時無刻不連接到服務器——即使在不使用時也是如此。” 調查發(fā)現(xiàn),智能電視似乎是通過不可信的安全證書與現(xiàn)有的基礎設施連接溝通的,而這種連接無疑是為大量知名的網(wǎng)絡攻擊打開了傳播途徑。

OpenDNS還發(fā)現(xiàn)了其他安全威脅,包括物聯(lián)網(wǎng)基礎設施與連接其的設備進行通信很容易受到攻擊,這包括“Heartbleed”安全漏洞和FREAK。(有關該報告的更多細節(jié),請參閱《兩項調查顯示物聯(lián)網(wǎng)安全危險在企業(yè)中普遍存在》)

關于物聯(lián)網(wǎng)的安全威脅,還有一個鮮為人知的方面。安全公司Pwnie Express的首席執(zhí)行官保羅·佩吉特警告說:內置Wi-Fi功能的小型廉價可編程處理器可以在一家企業(yè)留下“武器”來攻擊企業(yè)網(wǎng)絡。VoCore便是這樣的一個設備,用其制造商的話來形容就是:“一個具有Wi-Fi功能的硬幣大小的Linux電腦”,其售價僅為20美元。一份Pwnie Express的題為《邪惡的物聯(lián)網(wǎng)》的報告警告說,“只要稍稍具備一些如何正確利用其全部功能的相關知識,VoCore就可以被用來危及整個網(wǎng)絡。而且,即使是沒有經(jīng)驗的用戶,也可以通過簡單地將設備插入到以太網(wǎng)插孔,對網(wǎng)絡防御造成相當大的安全漏洞。”

對物聯(lián)網(wǎng)的安全建議

鑒于上述這一切,企業(yè)要如何處理物聯(lián)網(wǎng)的安全威脅呢?如下是一些專家的建議。

找到您企業(yè)網(wǎng)絡上的所有物聯(lián)網(wǎng)設備并關閉。這是最簡單的:您無法保護您根本不知道其存在的東西。找到所有連接到您企業(yè)網(wǎng)絡的設備,這不僅包括傳統(tǒng)的IT設備,而且還包括智能電視,恒溫器,員工的可穿戴設備,等等。但是,這僅僅只是一個開始。您還需要尋找并未連接到您網(wǎng)絡的Wi-Fi熱點,如可能是員工自己設置的熱點,以及諸如VoCore等設備。您企業(yè)還應該確定識別使用移動蜂窩數(shù)據(jù)的設備。

如果您企業(yè)沒有能力這樣做,有許多公司能夠提供這方面的服務。OpenDNS可以幫助您企業(yè)跟蹤網(wǎng)絡活動及網(wǎng)絡與這些網(wǎng)絡活動相關的個人設備上。SysAid公司能夠提供網(wǎng)絡發(fā)現(xiàn)工具,幫助您找到網(wǎng)絡上的所有設備。Pwnie Express和Bastille還能夠幫助您發(fā)現(xiàn)在辦公室的所有有線和無線設備,以及這些設備是否連接到網(wǎng)絡?;萜蘸退伎贫继峁┒喾N安全服務,從發(fā)現(xiàn)網(wǎng)絡上的設備開始,然后將其添加安全層。

檢查網(wǎng)絡身份驗證和訪問權限。哪些規(guī)則控制怎樣的設備可以連接到您企業(yè)的網(wǎng)絡,以及他們有什么樣的訪問權限?此前,在制定這些規(guī)則和訪問權限時,并為考慮到物聯(lián)網(wǎng)設備的因素,那么,現(xiàn)在是將眼光擴展到物聯(lián)網(wǎng)領域,針對這些規(guī)則進行審視的一個很好的機會。例如,員工的智能手表是否被允許連接到企業(yè)網(wǎng)絡,如果有,他們有什么樣的訪問權限?溫控器呢?電燈泡呢?暖通空調設備呢?

鎖定外部連接到您的網(wǎng)絡。什么樣的外部服務,網(wǎng)絡和承包商能夠連接到您的網(wǎng)絡?您企業(yè)的暖通空調承包商是否有權限連接到您企業(yè)網(wǎng)絡?您企業(yè)的設施部門與制造車間的連接狀況如何?他們有很多的設備可能會導致問題。思科安全解決方案的安全實踐經(jīng)理馬克·哈蒙德說,“一套全面的安全計劃的一部分是對第三方風險和供應商風險的管理。了解企業(yè)所有的供應商,畢竟,您企業(yè)的相關數(shù)據(jù)是在這些企業(yè)之間傳輸,并且要讓您企業(yè)的安全控制到位。” 因此企業(yè)必須進行詳細的審查,加強網(wǎng)絡安全連接,建立相關的規(guī)則,規(guī)定承包商是否可以訪問您企業(yè)的網(wǎng)絡,以及如何訪問。

對所有物聯(lián)網(wǎng)設備制定安全標準。SANS研究所的約翰·佩斯卡托建議說,從采購周期開始,您企業(yè)就需要考慮網(wǎng)絡安全了。這適用于任何連接到企業(yè)網(wǎng)絡的設備,而并不僅僅意味著IT設備?,F(xiàn)在,除了有智能恒溫器,已經(jīng)有智能冰箱和智能燈泡了。因此,安全標準需要針對一切會進入企業(yè)的設備來設置。除非相關設備符合這些標準,否則就不應該被允許訪問企業(yè)網(wǎng)絡。

重新反思IT在安全中的作用。專家認為,在物聯(lián)網(wǎng)世界中,企業(yè)需要做的最重要的事情之一是重新思考安全在整個企業(yè)的角色作用。一家企業(yè)通常都是按照職能所組織架構起來的,如設備部門負責采購和維護采暖和空調系統(tǒng)等設備;而生產(chǎn)部門則負責處理生產(chǎn)相關的設備,包括控制設備;而IT部門則負責電腦,BYOD設備以及網(wǎng)絡。但在物聯(lián)網(wǎng)的世界中,這可能會導致問題。

SysAid Technologies公司的首席執(zhí)行官Sarah Lahav說,“今天,如果您想要購買電腦或者想要帶上您自己的設備到公司,您需要與您企業(yè)的IT部門商量。但如果您是在設施部門,您想買一個溫控器,您不應該向IT部門或公司的首席安全官打招呼。在物聯(lián)網(wǎng)時代,這已經(jīng)發(fā)生了改變。必須企業(yè)級的廣泛的安全規(guī)則。”

不同的企業(yè)將以不同的方式來處理這些變化。有些企業(yè)可能會在IT部門的支持下,采用許多類型的設備,而其他企業(yè)可能會擴大首席安全官的作用,所以他們都會參與到對所有設備的采購和安全要求的制定中,而不僅僅只是IT部門。但無論如何,Lahav說,重組必須發(fā)生。

回歸基本層面。思科公司的Marc Blackmer說,“從我的角度來看,您不能忘記的基本層面。人們擔心,“冰箱智能化,我們該怎么辦?”但是這一切其實都要歸結為風險分析和風險管理。如果您真的把它分解到詳細的具體是什么的層面,其只是設備的連接。對此,我們一直在處理,而且已經(jīng)有很長一段時間了。解決方案是部署安全控制以減輕風險,然后重復循環(huán)該安全控制。如果您企業(yè)沒有這方面的認識,那么物聯(lián)網(wǎng)只是一個大的,可怕的空間,而您企業(yè)也只是在黑暗中摸索。”

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號