成千上万的联网设备正在造成一场安全灾难

我们采访了有关安全的东西世界的互联网国家高技术专家的主机，并发现了好的，坏的，和十分难看。

过去几周发生了一些有记录以来最大规模的DDoS攻击——它们来自一些奇怪的地方。一个法国的网络主机受到了僵尸网络流量激增的攻击遭黑客入侵的数码录像机似乎是同一组人KrebsOnSecurity也曾短暂下线。

被黑客入侵的相机是一个IOT装置的一个很好的例子：一个小工具，互联网能，并成立了框的右侧出来，然后忘记了，离开它一个诱人的目标为黑客。

第一个问题:许多物联网设备，比如摄像头，都是面向消费者的，这意味着它们的所有者没有一个安全意识很强的IT部门。“个人没有大公司的购买力，”约翰·迪克森说，p的rincipal牛仔布组“因此，他们不能像大公司那样要求产品或软件供应商提供安全功能或隐私保护。”

PC进站网络安全副总裁多迪•格伦(Dodi Glenn)指出，许多物联网购买者忽视了基本的安全措施，未能改变密码的默认设置。即使他们真的想保护他们的设备，他们所能做的也是有限的:“你不能用杀毒软件保护这些设备。”

由于物联网是一个新的领域，它是由不具有相同的心态作为制造商的关键任务企业占主导地位的服务器，并能带来麻烦。“很多时候，聪明的小工具的创造者是小创业公司，”说KeepSolidCTO瓦西利·Diakonov“他们没有资源或知识来构建复杂的安全。”

Ben Desjardins，安全解决方案主管Radware，特别提出了方程的软件结束。“这样做的最大的挑战，”他说，“是许多物联网设备都被认为是新的软件开发，并有可能有更多的漏洞代码和不成熟的补丁管理流程组织生产。”

安全威胁是一个移动的目标，跟上的能力是非常罕见的不存在在物联网的世界，并且需要改变。“我们知道操作系统的漏洞在所有主流桌面和服务器产品不断地标识，并且像按月微软发布补丁的供应商，” Deral Heiland，科研领先，说：Rapid7。“那么，我们为什么不能期待物联网产品出现同样的问题呢?”解决方案是期望物联网技术供应商实施补丁解决方案，让我们能够有效地识别和快速补丁他们的产品，就像目前的操作系统产品供应商所做的那样。”

但在某些方面也只有这么多软件更新可以做到。“很多物联网设备的显着特点是其非常有限的计算能力，”中指出约翰·米切纳，在首席科学家Casaba安全。“因此，他们经常缺乏辅助处理功能，以实现高性能的模块化数学(RSA和ECC密码学使用)或AES加速电路(AES加密算法使用)。”Without access to this encryption, some shops turn to a preshared key-based security, but, as Michener notes, "this approach requires the implementing organization to either have a classic key distribution center to handle the PSK keys for all the IoT devices (a significant operational task) or used shared PSK keys, which makes the entire deployment vulnerable to compromise if a single device is compromised."

麦切纳告诉我，他的公司对多种物联网设备进行了一些研究，他发现这些设备令人不安。“Casaba在常规领域进行了渗透测试，发现了非常重要的漏洞，其中一些是在该领域常用的共享软件工具中发现的，”他说。“这些漏洞的严重程度是私下披露的，而且是悄无声息地修复的，令人无法放心。”

物联网攻击在实际的企业环境中是什么样子的?克里斯里克特，全球安全服务的高级副总裁Level 3通信他与之交谈过的一家公司说，他们在数据中心看到了妥协，但在任何服务器上都没有。雷竞技电脑网站“他们经历了高速带宽峰值，一个安全审计发现他们所有的电源(都是IP连接的，也就是物联网)已经被入侵，是DDoS僵尸网络的一部分。电源是大型设备，其中包含的代码使他们能够调节功率流。它们通常运行一个Linux内核，就像许多物联网设备一样，是IP连接的，因此会受到外部威胁。”

那么，如何在企业中以安全的方式使用物联网设备呢?那就先做调查吧。Robert Siciliano，首席执行官IDTheftSecurity.com他认为你应该研究一下设备制造商的安全状况——不仅仅是他们的理念，而是他们自己设施的安全。他说:“如果公司本身遭到黑客攻击，它的代码可能会被泄露，这将使它的设备更加不安全。”

因为物联网设备本身就容易受到攻击，所以你要尽量减少它们与你的其他基础设施之间的接触。“如果可能的话，限制这些物联网系统的通信方式和地点，”丹尼尔·米斯勒说，d顾问服务总监IOActive。“如果你有能力，确保他们只能与他们需要的系统对话。”

需要连接物联网设备的系统应该受到保护。“任何终端——台式机、笔记本电脑或服务器——都具有物联网控制器/管理器的主要功能，也可以连接互联网必须被锁定，”警告Evident.io解决方案架构师Sebastian Taphanel。

“保护端点设备和远程的最简单，最可靠的方法是通过VPN，”朱利安·温伯格，在系统工程总监NCP工程。“综合VPN软件解决方案很容易融入现有的基础设施，不需要额外的硬件。此外，数据流量在设备本身是安全的，确保没有未加密的流量离开端点。这可以帮助你跟上物联网连接的增长，同时确保无摩擦的客户体验。”

“还有专门设计的路由器和安全设备来保护你的网络，”KeepSolid的迪亚科诺夫说。“如果你真的喜欢智能设备，你需要在智能家居中安装一款新的硬件。”

请记住，我们讨论了被黑客入侵的电源，因为他们扑灭了神秘的带宽尖峰被注意到。“寻找网络活动奇怪的尖峰，请求到互联网，对已知恶意IP地址范围的连接，或在网络流量恶意代码，” IOActive的公司Miessler说。

Radware的Desjardins说，你应该投资于“一种安全解决方案，在加密数据离开网络时对其进行检查，因为这是恶意软件窃取数据的一种常见策略。”

莱昂Adato，头在怪胎SolarWinds，建议可以帮你照看你的物联网设备的三个重要的工具：

• “网流分析仪可以跟踪哪些外部网站从您的环境中接收连接成百上千的小对话物联网设备产生的，和监控。”

• “IP地址管理(IPAM)工具非常有用，因为物联网设备占用了大量的IP地址。您的IPAM工具可以帮助在正常操作过程中自动识别和报告物联网设备。”

• “深度包检测（DPI）来分析对源和目的地IP地址，端口和协议的数据包。这些信息可以通过使用企业应用程序，社交，流媒体，潜在的恶意等，这使得它成为物联网的安全信息是非常有用的可用于分类的数据包“。

如果你要建立物联网环境，就要从头到尾进行测试和评估。“典型的物联网框架包括传感器、适配器、信标等边缘设备;与这些设备通信的网关;以及云端或内部的后端服务器Arxan。“公司需要把每个部分分开，并开始解决每个部分的安全问题。例如，使用安全笔测试来确定终端设备是否会被黑客劫持和利用。”

接管现有的物联网基础设施?公司的首席信息官杰里•欧文(Jerry Irvine)表示，要清楚自己的处境有先见之明的。“所有的设备都应该记录在案，与他们的固件和应用程序的版本一起。一旦记录在案，每个设备的硬件，固件和应用程序进行审查，以确保它们是最新的更新，并确定所有已知的漏洞。”

“自动化将是提高效率的关键之一，”Cody Cornell说甬道。“自动事件响应系统可以识别和解决低复杂度、高容量的任务，几乎不需要人工干预，从而让专业安全人员有更多时间来处理更细微和复杂的问题。”这很关键，不仅因为更多的设备会产生更多的任务，还因为攻击变得越来越复杂。”Many of the experts I spoke to said that a number of vendors are working on automation solutions specifically aimed processing the huge amounts of data generated by IoT devices so that they can monitored and secured.

尽管很多抑郁的情绪和厄运，我们已经讨论过，事实是，我们在物联网时代的到来，仍然可以塑造它在一个更安全的形象。“尽管物联网尚处于早期阶段，我们有机会建立新的安全方法，如果我们现在就开始准备，”史蒂夫德宾的董事总经理信息安全论坛。“安全团队应该主动研究安全最佳实践来保护这些新兴设备，并准备在更多互联设备进入企业网络时更新其安全策略。”

监管可能最终有助于驯服西部的物联网。德宾表示:“随着越来越多的监管机构意识到存储和处理敏感信息不安全可能造成的混乱，他们将要求各机构提高透明度，并处以更高的罚款。”

这可能也适用于消费领域。牛仔集团的迪克森说:“我想你会看到消费者保护监管机构更多地参与进来，因为他们试图更好地保护个人消费者，使他们免受无意的安全或隐私风险。”“由于如此多的物联网设备是在隐私保护不像欧洲或美国那么严格的国家生产的，随着有关物联网黑客和隐私疏漏的报道越来越多，我们期待监管机构能更积极地参与进来。”

到目前为止，我们看到的基于iot的大型黑客攻击主要是针对DDoS攻击的。“在这一点上，这些设备最有利可图的用途往往是在僵尸网络中招募人员，在僵尸网络中，带宽和时间可以出售给其他人，”twitter安全分析师内森•艾伦德(Nathan Elendt)表示福克斯主教。

IOActive的，但公司Miessler预见的未来是黑客利用服务器端请求伪造漏洞和来自内网中提取敏感数据。“这需要技术栈规范到如此地步，漏洞可以链接在一起，”他说，这还没有发生。让我们都得到我们的房子，以便它之前。