专家猜测:未来的物联网安全将是这个样子
2016年,物联网僵尸网络被利用发起大量攻击,包括史无前例的大规模DDoS攻击,物联网接下来几年可能将继续扮演这种角色。预计到2020年,物联网设备将达200亿台。因此,从现在开始,还将出现更多的恶意攻击者针对物联网设备实施更频繁、更具破坏性的攻击。
随着物联网的不断发展,安全将成为物联网行业持续关注的重点。以下是2017年可能出现的物联网安全趋势预测,希望可以帮助组织机构和消费者想在、走在黑客前面,提前做好防御准备。
趋势一:嵌入式安全问题将日益凸显
今年年初,法国Eurecom研究中心和德国波鸿-鲁尔大学的研究人员发现,路由器、DSL调制解调器、网络电话等嵌入式设备存在高风险的安全缺陷,厂商并未在这些设备上市前对安全性进行全面测试。
Synopsys安全策略师Robert Vamosi表示:
设备,一直被认为只是很微小的存在而忽略了安全问题。但是这一现状将彻底发生改变,我们将从固件检测开始对嵌入式设备进行深入的分析检测。芯片内部的软件和控制其运行的应用程序一样重要,同样需要进行安全和质量检测。早期的一些物联网僵尸网络利用的就是设备自身的一些漏洞。
趋势二:检查网络供应链成为重中之重
第三方软件正在疯狂滋长,但是往往缺乏完善的安全测试环节。Synopsys安全策略师Robert Vamosi认为:“一些早期的物联网僵尸网络利用的就是设备自身发现的第三方芯片漏洞,对于物联网供应商而言,了解每个芯片组中发现的软件组件的材料清单(安全及质量情况)将帮助供应商最大限度的降低网络攻击带来的经济损失。”
趋势三: DDoS攻击不止,或将出现PDoS攻击
2017年,我们依旧可能看到更多以物联网为载体的僵尸网络和其它物联网安全问题。媒体也会连篇累牍地对此进行报道,有的甚至可能是一些引起国际社会关注的大问题。McKaley 表示:“我认为Mirai僵尸网络提供了一次必要的方向修正。我相信这或许是一次阻止事情朝更坏情况演变的警告。”
明年将会出现永久性拒绝服务(Permanent Denial Of Service,PDoS)攻击,这种攻击旨在破坏物联网设备和其它硬件的固件。一种PDoS方法是对受害者硬件管理接口进行远程或物理管理。攻击者可能利用漏洞用修改、破坏或有缺陷固件映像替换设备的基本软件。这样一来,设备就被破坏,直到修复或替换后才能使用。
与此同时,企业和个人也可以采取一些基本措施以降低僵尸网络带来的危害。Wombat Security公司首席技术官Trevor Hawthorn指出,有三个简单有效的措施可以帮助大多数人避免僵尸网络问题:首先也是最重要的考虑因素,不要将物联网设备暴露在开放的互联网上;第二,确保物联网设备保持更新;第三,修改所有设备上的默认密码。
趋势四:运行物联网项目的企业将尝试像黑客一样思考
1993年,周六午夜剧场播出了一则短剧,嘲笑汽车行业仅仅通过警报和方向盘锁来保护汽车。
90年代,你不需要通过一辆车来告诉世界你是富有的,但你需要一辆车来告诉世界你是聪明的。”这辆车就是Chameleon (变色龙)XLE,一辆外表看起来像一块垃圾,里面却配置豪华座椅和强大引擎的车子。这则广告解释称:“偷车贼看到这辆车一定也会头也不回的走掉。
虽然这只是一个笑话,但是也强调我们需要像罪犯一样思考。无论是网络犯罪分子还是偷车贼都容易被有价值的目标吸引,而这些目标就岌岌可危了。运营物联网设备的企业不应该只关注如何使自身的产品更加安全,还要明白为什么自己的产品会第一时间吸引到网络攻击者?以及如何让自己的产品不那么吸引攻击者的目光成为攻击目标?
RSA大会顾问委员会成员Todd Inskeep表示:“物联网威胁和我们过去20多年一直研究的威胁从根本上而言是一样的:恶意攻击者们(个人、组织甚至是国家)试图通过破坏机密性、完整性以及数据和服务的可用性来获取优势。”
但是,物联网开启了信息和服务的新领域。Inskeep认为,这些新设备处理不同种类的信息,可能会比之前的设备对现实生活造成更多实际的影响:例如,生产线上的一个物联网设备可能会导致化学物质比例出错;家中的物联网设备可能会被攻击者破解而成功进入家门;公司的物联网设备可能会将视频与公司以外的人分享。虽然这些威胁性质是一样的,但是造成的后果却可大可小。
趋势五:人才缺口依旧是物联网安全的挑战
整个安全行业都出现人才紧缺的现状,物联网行业当然也不例外。根据TEKsystems的一项调查,45%的物联网公司都在努力寻找安全专家,30%的公司很难找到数字营销人员。
Wombat Security公司首席技术官Trevor Hawthorn称,寻找人才对于整个安全行业而言都是一个挑战,资金雄厚或是较为知名的厂商可能相对轻松些。但是问题是泛滥的小型、廉价产品都是由缺乏安全管控的海外制造商生产。正如我们相见,海外物联网设备制造商并不关心安全问题,如果他们需要寻找安全人才的话可能会更加艰难。
与此同时,产品安全行业将需要好好地利用现有的安全模型。Inskeep表示,我们已经看到出现很多新型的安全职位类别,例如首席产品安全官及其支持人员、产品安全官和产品安全工程师等。需求意味着机会,准备从事物联网安全的人未来的发展前景也必然越来越广。
趋势六:态势感知将成为一个大的安全目标
预计到2020年,200亿台物联网设备将覆盖全球,追踪设备的部署情况将成为关键所在,但是一般情况下很难实现。Wombat Security公司首席技术官Trevor Hawthorn表示,物联网设备部署在IPv4网络中,企业组织能够扫描或“看到”他们的网络上部署的是什么物联网设备。但是随着物联网设备开始往IPv6上迁移,其能够提供多达3.4x1038个设备地址,所以想要扫描部署的物联网设备几乎是不可能的。企业将需要关注其他的渠道,实现态势感知能力。
趋势七:物联网赎金攻击将愈演愈烈
2017年,从汽车到医疗设备,随着越来越多的机器和传感器面世,黑客将会更多地使用赎金攻击。谁不会付赎金重新使用家用恒温器或调节心跳的起搏器?
虽然物联网设备会成为威胁的目标,但它们也可以是肇事者。借助公开可用的黑客工具,DDoS赎金攻击可以利用“thingbots”—被劫持设备组成的大规模系统。这些物通常共享IP地址和不常见的操作系统,识别起来相对困难。
虽然物联网赎金攻击与常规的勒索软件不同,但规则却如出一辙:支付赎金常常会导致长期或反复攻击。如果你采取强有力的安全态势,并使自己的企业成为难以攻克的目标,担忧必定会少很多。
2016年物联网威胁遭受沉重一击,遭受有史以来最大规模的DDoS攻击,以及2.5万台摄录机和闭路电视摄像机组成的僵尸网络每秒发送5万个HTTP请求。这些联网设备使DDoS攻击流量达到1 Tbps。
2017年,物联网平台将需要从一开始就将安全谨记于心,而不是事后再做打算。如今,简单使用telnet和出厂默认用户名和密码会使僵尸网络达到难以置信的规模。随着接下来几年,物联网空间的联网设备达到数十亿,如何设备不安全,那些僵尸网络只会继续增加。
这种安全负担落在三个群体身上:制造商、网络运营商和企业客户。虽然制造商必须制造内置安全的弹性产品,但运营商应检测并管理这些设备的流量,以此保护潜在受害者。企业客户需要意识到基础设施和资产的风险,并投资保护物联网安全并抵御接下来3到5年将会出现的威胁。
