揭示物聯網安全的5大噩夢(附緩解措施)
前情提要:物聯網安全成本攀升
一份來自marketsandmarkets.com的報告數據顯示:到2021年,物聯網安全市場的估值將達到369億5000萬美元。網絡安全行業混亂的增長,又一波資本投資浪潮來襲。
2017年,專家預測,開放的物聯網安全漏洞將導致關鍵基礎設施被破壞,來自競爭對手的情報收集和知識產權盜竊事件將增加。與此同時,2017年DDOS攻擊的威脅將進一步蔓延。
1. IoT安全五大噩夢
這部分首先列舉CSO們面臨的五大IoT安全噩夢
噩夢1號
每天新增近500萬個物聯網設備,等于每天有更多的新增安全漏洞。根據Gartner的統計報告,2016年全球新增了550萬個物聯網設備。越多的物聯網設備,意味著越多的安全漏洞,因為每個設備自身都存在多個安全問題,而且由于這些設備如雨后春筍般的涌現到互聯網上,使得網絡威脅的攻擊面更加廣泛。
噩夢2號
物聯網設備廣受歡迎,無處不在。對黑客而言,這些不設防/弱保護的物聯網設備簡直就像是美味的水果一樣誘人。越來越多的已被黑客攻擊的物聯網消費產品投入市場,無疑會加重互聯網安全的噩夢,攻擊對象包括對企業數據、廠房和設備、員工以及消費者。
對于攻擊者而言,以任意一個物聯網設備的任一漏洞為突破口從而控制整個網絡,都不是一件難事。舉例說明,2015年,TrapX的安全工程師利用NEST恒溫器的一個迷你USB端口,使用ARP欺騙程序成功對通信系統發起了MITM中間人攻擊。黑客采用MITM攻擊可以獲得設備兩端或通信系統的控制權,包括企業的網絡系統。即使物聯網設備是家用的,不是企業財產,但鑒于目前大量的遠程和移動辦公情景,攻破家庭網絡也就間接的入侵了企業的網絡。黑客的目標可能不止是數據,還會危及生命和財產安全。
噩夢3號
IoT是解鎖消費者私密數據的關鍵,增加了黑客的攻擊目標和攻擊面,使得攻擊者很容易猜解到用戶常用密碼。在針對一些關鍵業務、政府、軍事、政治和文化目標尋找突破口時,這是一個很好的途徑。
IoT會收集消費者的數據便于根據消費者的喜好和特點做精準的市場營銷。攻擊者竊取并整合這些數據來分析消費者的興趣和習慣,猜解用戶的密碼和安全問題的答案,使用相同的賬號和密碼登錄到企業的網絡系統。(賬號密碼安全,真是一個硬傷啊)
噩夢4號
大量伴隨IoT設備而新增的SCADA和工控系統,使得廣泛性的破壞成為可能。比如當工業控制系統連接到互聯網,如何保護公用事業和國家基礎設施免受攻擊成為了一件非常具有挑戰性的任務。
“想象一下,攻擊者使用10%~15%的物聯網設備在美國發動DDOS攻擊,能夠直接打垮整個華爾街的流量”
———Ben Simon,曾就職于以色列空軍網絡和安全部
最近發生了一個真實的案例,黑客攻擊烏克蘭電廠,導致該地區成千上萬個居民無法用電。這次攻擊中,黑客瞄準的是關鍵基礎設施的管理系統致使服務中斷,而這僅僅是一個非常小的例子。
噩夢5號
廣受歡迎的、開放的物聯網,使得很多電影劇情得以在現實中真實的上演。“Live Free or Die Hard”,這個哲學問題再次引起了人們的深思。
物聯網讓黑客創建和使用大規模的僵尸網絡成為可能,可以想象,利用這些基礎設施發動DDOS攻擊,將變的更加常規。
2. 如何減緩物聯網安全五大噩夢和其它安全問題
據Gartner預測,2020年物聯網設備使用總量將達到208億。
想要保障設備安全,企業應當首先衡量對抗風險時的便利性和效率優勢。行業安全解決方案和產品覆蓋到各類設備,物聯網安全培訓加入到員工安全教育培訓體系中。基于行為監測和IDS/IPS安全技術應該將物聯網設備相關的潛在惡意行為納入監測范圍。
比如,當企業在安裝和使用一個物聯網設備時,需要實施新一代的防火墻設備的安全策略,只允許指定IP地址的連接,應用第二代終端安全產品。當前物聯網設備安全面臨的主要問題時員工安全意識培訓,增加員工網絡連接和通信的安全性。
無論攻擊者如何猜解密碼和安全問題的答案,使用額外的身份認證可以保護系統安全。例如使用PINs和向用戶電子郵件發送認證碼的方式進行身份認證是很好的例子。隨著猜解密碼的廣泛使用,企業必須適用并采取應對措施。“企業必須依靠安全專家去了解心技術的風險,確保他們不斷更新的技術沒有引入心的風險,并在發現新風險時采取應對措施”。
對于SCADA和傳統的工控系統而言,安全是一個挑戰,因為這些系統往往都是封閉式的、甚至沒有基本的網絡安全機制。“至少,企業應該對這些網絡進行隔離,密切監視,做好訪問權限的控制”。
“工業控制系統具有高可用性的要求,這就意味著停機進行升級是不可接受的事情。在理想的情況下,這些系統需要具備最先進的網絡安全防御能力,并與互聯網隔離”。
需要注意,為了防止物聯網設備被用于DDOS攻擊,需要遵從兩個原則:保護設備,假設網絡是惡意的;保護網絡,假設設備是惡意的。這種方法符合最小特權零信任模型的安全性規范。
企業可以通過向包含了物聯網的系統中增加安全策略,來減輕黑客將物聯網設備變為肉雞的可能。爭取機構和企業應加強內網安全解決方案的研究。使用欺騙性的新技術有助于組織識別已經在網絡中存在的攻擊者。
另外,可以從其他方面考慮,加強IoT安全
物聯網安全的未來充滿挑戰,但也并非無路可走。
首先,政府相關機構應當對那些銷售安全性差的設備的公司開罰單,直到他們召回并修理自己的產品。
其次,立法方面應當有明確的規范,要求物聯網設備定期恢復到軟件的初始狀態,這個要求可以踢出任何設法滲透到設備中的惡意軟件。
第三,將新的物聯網硬件設備對應的IPv6地址限定在某一范圍內,這樣做會讓遭受DDOS攻擊的受害者可以更容易的通過ISP運營商拒絕掉所有來自物聯網設備的通信請求。
