關于2019年物聯網安全 這有一份深度解讀
2018年是物聯網的一年,我們看到:一方面,大規模攻擊層出不窮,各種僵尸網絡死灰復燃,屢出新意,另一方面,政府監管和相關標準得到進一步發展。盡管安全和隱私問題愈加嚴重,但是普通消費者和企業正越來越多地采用物聯網設備,比如智能家居、智慧辦公等。2019年,這些趨勢的發展速度將更快。
2018年的物聯網攻擊
在2018年多次物聯網攻擊中,我們看到了Wicked、OMG Mirai、ADB.Miner、DoubleDoor、Hide'N Seek以及針對金融業的Mirai-Variant IoT僵尸網絡。
但是,2018年的主要攻擊肯定是VPNFilter,它攻擊了全球范圍內的超過50萬臺設備,大多數設備為路由器,包括Linksys、MikroTik、Netgear、TP-Link、QNAP、華碩、D-Link、華為、Ubiquiti、UPVEL 和中興等廠商產品無一幸免。雖然這種攻擊相對較大,但它不再是罕見或一種意外。
監管工作將會進一步增加
這種攻擊的增加,是否意味著該行業已經習慣于物聯網網絡攻擊?圍繞物聯網安全的監管,今年的回答是沒有,不同層面的多項監管行動正在實施。
英國政府的DCMS部門(數字、文化、媒體和體育)發布了"消費者物聯網安全實踐守則"和"設計安全:改善消費者物聯網報告的網絡安全",制定有關物聯網設備安全的指南和建議。
美國加州政府更進一步,通過"B-327信息隱私:設備連接"法案,這是第一個專注于物聯網設備安全及用戶隱私保護的法案。
該法案表明,政府可以且有意愿參與物聯網設備監管。
即將到來的政府標準化工作將在2019年繼續大幅增加。我們預計,相關法規將擴展到認證和數據隱私之外,以及更詳細的網絡安全要求和對設備物料清單的可見性。這些操作將增加對供應商的要求,從安全建議道實際工作任務。
此外,在2018年,我們看到物聯網安全事件的報告超越了安全和技術媒體,進入主流媒體視野。我們相信,這在2019年會繼續增加,因為這將提高物聯網用戶對威脅的認識,反過來又會加速監管過程,并對制造商施加更大壓力,提高其產品的安全標準。
2019年三個物聯網攻擊途徑
在2019年,針對物聯網的三種攻擊途徑將繼續快速增長。通過直接互聯網接口感染大量設備的攻擊,以及對數據中心和云服務或加密貨幣挖掘為目的進行的DDoS攻擊。
針對勒索個人和組織(如酒店、醫院或賭場)的特定設備進行有針對性的開發。我們預見到一些攻擊行為:
- 劫持設備,在支付贖金后才釋放;
- 錄制令人尷尬或犯罪的視頻和音頻;
- 將設備作為APT(高級持續性威脅)攻擊的一部分進行攻擊,并利用它們進行橫向移動來獲取對敏感數據資產的訪問(比如,通過直接與網絡服務交互的打印機、通過智能電話會議系統等。);
- 利用連接設備的功能,由國家贊助的機構和攻擊性網絡安全公司收集情報;
- 大型安全公司以及個人安全研究人員在沒有供應商協作的情況下,在各種設備(包括相機、路由器、網關、NAS和真空吸塵器等)中查找和披露零日漏洞的大量研究工作。這些研究工作雖然有意義,但是會導致攻擊者利用被發現易受攻擊但尚未被供應商修補的設備。
攻擊復雜性會增加
雖然大多數物聯網安全研究是在容易購買的設備上進行,在實驗室進行拆解和破解,但是我們預計對更高端連接設備的研究將逐步增加,比如智能建筑的關鍵基礎設施、火災報警系統和公用事業基礎設施。
現在的情況是,攻擊者越來越精明和大膽,例如VPNFilter對烏克蘭氯蒸餾廠的攻擊就是一個很好的例子。這種威脅有能力擴展到大量設備,它基于適用于不同架構的模塊化機制,能在設備重啟后繼續生存,以及附帶監控和攔截通過設備流量的能力。
這種復雜性將繼續發展,并且只是我們在未來物聯網設備中缺乏安全性實施所看到的一個例子。
增強設備安全的設計能力
我們已經看到一些關于安全和隱私問題的案件,它們被裁定有利于用戶,對設備制造商施加責任。在2019年期間,我們預測這些案件和裁決的數量將繼續增加。
即使在法庭外解決,這一趨勢也將成為物聯網制造商更加重視安全的強大動力,使安全成為開發階段的關鍵問題。
此外,物聯網制造商將受到激勵以保護他們的設備,因為企業買家將要求適配于企業環境的安全設備,以減少他們的風險和攻擊面。
網絡安全自動化時代到來
來自連接設備的網絡威脅不斷增加,將對業務和運營連續性以及消費者的生活產生更大的影響。
對某些情況,物聯網設備制造商必須對物聯網網絡安全有更快的響應和應對。我們預計,為了開發安全的新設備,以及修補傳統設備的大量目錄,制造商轉向自動化,這可能作為解決安全和隱私問題真正有效的唯一方法。
2019年,將是基于技術的解決方案一年,依靠自動化可能成為物聯網安全生態系統的指路燈。
