周五的分布式拒绝服务攻击关于域名服务提供商直流发电机可能就像是世界末日的数以百万计的Netflix, Twitter和Spotify用户,但安全专家说,服务中断只是一个讨厌的攻击——尽管一个人大开眼界——相对于潜在的损害,可以引起数十亿未加密的物联网设备。
Unisys副总裁兼首席技术官办公室总经理尼古拉斯·埃文斯(Nicholas Evans)说:“这真的只是冰山一角。”他在Unisys领导着全球应用创新项目。“随着物联网设备变得更加自动化(如自动驾驶汽车),或者变得更加可控(如一些实际操纵物理环境的工厂化设备),你可以对威胁强度进行评级。”这才是真正的威胁所在。”
据研究公司高德纳(Gartner)预测,到2020年,将有大约208亿件东西与互联网相连。这意味着,由于传感器价格更便宜、无处不在、处理能力和带宽更大,每天大约会增加550万台设备。此外,根据Gartner的数据,到2020年,超过一半的主要新业务流程和系统将纳入物联网的某些元素。
[关于CSO:如何保证物联网设备的安全]
上周五的网络攻击让人们强烈关注到,数十亿台设备在几乎或完全没有网络安全保护的情况下连接到互联网的潜在危险。DDoS攻击使用恶意软件调用Mirai感染数以千万计的企业和家庭联网设备,扰乱许多热门网站的服务。
Gigamon Security顾问Justin Harvey
Gigamon的安全顾问Justin Harvey将Dyn DDoS攻击归咎于设备制造商,但他也承认,大多数isp在安全方面可以做得更好。
“我批评在那里赶出他们的产品,因为有一个IOT Gold Rush,”Harvey说。由于硬件制造商开发运行Linux的廉价设备,因此更容易生产出更容易生产,并且可以执行许多家庭监控功能,例如控制恒温器。这些供应商“更多地专注于涌向市场而不是安全。[结果]它们是不安全的产品,如果何时又糟糕,他们绝对没有监督或后果。他们的观点是,客户可以保护这些机器或更改密码。“
埃文斯说,事实上,使情况复杂化的一个主要问题是,安全问题往往是事后才考虑的,一旦问题出现,通常就会立即采取解决方案。数十年来,IT安全专家和IT管理人员一直在呼吁将安全因素融入设备设计中,就像他们在过去的一长段技术创新中所做的那样,从网络到移动和云计算,再到现在的物联网。
一些安全支持人士认为,国会应该参与制定法规,监督设备制造。“如果发生了什么事,而你的设备正在被某个国家使用,不管是一百万部设备中的一部分,还是仅仅一部,你有责任吗?”你的ISP有责任吗?你的制造商吗?国会需要为这些制造商制定规章和指导方针,”哈维说。
在ISP方面,Harvey对今天的DNS架构提出了质疑。他说:“我不明白为什么isp和其他提供互联网接入的组织不采用地理上更加多样化的DNS系统。”他补充说,他不熟悉Dyn的具体架构。他说:“DNS在本质上应该是容错的”,例如,将两个IP地址分配给一个设备,但通常这两个IP地址都被协调到同一个数据中心。雷竞技电脑网站面对今天的DDoS威胁,“为什么我们有一个架构,你可以瞄准一个ISP,然后拿下美国一半的互联网?”
企业物联网
对于使用物联网解决方案的企业来说,安全难题是复杂的。Evans表示,企业接入的任何一种物联网解决方案都可能涉及该生态系统中的10个或更多合作伙伴,包括应用层、设备、网关、通信和分析部分。他补充说,“链条上的任何薄弱环节都是网络罪犯能够进入”并操纵设备的地方。
甚至连公共部门都在注意到这一点。虽然大多数政府机构不使用商业物联网设备内部自己的墙,政府员工建立了远程办公程序,和工人会通过他们的家庭宽带连接,Sadiyq卡里姆说,网络安全的副总裁和首席技术官NSSPlus,网络安全系统供应商,与国防部和其他政府机构。
“国防部和联邦政府已经制定了更多的标准和指导方针,规定人们在家应该使用什么,即使他们使用VPN,”包括更改默认密码,Karim说。不过,他也考虑到了当今互联网用户的人口统计数据,这些人不是IT专业人士,并被期望执行这些安全措施。“个人有能力独立完成,但学习曲线非常陡峭。它仍然是相当神秘的,”他说。
一个安全框架
最近的物联网设备劫持事件针对的是商用设备,而不是工业设备物联网联盟想要保持这种方式。9月份,集团由IOT EcoSephere中的一些最大的参与者组成,推出其工业互联网安全框架,这是一系列最佳实践,以帮助开发人员和用户评估风险并抵御他们。
该框架还为在IOT中实施安全性并提供了谈论它的常用语言来提出一种系统的方法。财团参与者说,长期目标是使每个物联网系统和实施的一部分成为安全。
“人们一直承认这是至关重要的。英特尔物联网安全解决方案首席架构师、IIC安全工作组联合主席斯文•施莱克(Sven Schrecker)表示。“在[框架]中,我们从多个层面解释该如何应对。”
IIC认为,工业设备的原始所有者不应该为实现安全性负责,而应该由系统集成商负责,“他们可以依靠设备制造商、组件制造商、芯片制造商和软件供应商”来包括安全性。“当所有这些都自下而上时,它是更易于管理的安全解决方案。他补充说,自发布以来,新框架得到了“巨大的响应”。
一些物联网设备供应商认为安全是一个共同的责任。江森自控(Johnson Controls)全球产品安全总监詹森•罗塞洛特(Jason Rosselot)表示:“物联网设备制造商需要专注于网络安全设计、开发和部署。”该公司提供联网建筑控制、安全和消防技术已有10多年时间。Rosselot说,同样重要的是,“物联网设备的消费者必须优先考虑这些设备的安全性”,包括在设备可用时立即部署更新和补丁,并将出厂密码从默认设置改为复杂的密码。
企业如何保护自己?
Evans说,企业需要评估他们目前拥有什么联网设备,他们的漏洞以及如何解决这些问题。Gartner将物联网设备分为四类。被动的、可识别的东西,比如RFID标签,威胁风险很低。像压力传感器这样能够传递自身信息的传感器,有一定的威胁风险。能够被远程控制和操纵的设备,如HVAC系统和自动驾驶汽车,在敏感数据丢失、恶意软件和破坏方面的风险最高。
在最基本的级别上,应该更改默认用户名和IP地址。预防措施还可以包括对设备进行微分割,以限制网络入侵造成的损害,或者至少控制或限制进入网络的犯罪分子的行动。企业还可以选择“认知防火墙”,将安全控制置于云端而不是设备上,并使用人工智能来确定设备上请求的操作是否合适,比如“将微波炉打开100分钟,”Evans说。
虽然Dyn DDoS攻击可能是未来攻击的序幕,但它也可能标志着行业动员引入物联网设备标准的开始,Schrecker说。“两年前,我会说追求物联网安全标准是徒劳的,但我们现在看到了一劳永逸地解决这个问题的合作努力,所以这里可能有一线希望。”
这个故事,“物联网机器的崛起”最初是由方案 。