不久前,域名服务提供商Dyn公司的网站遭遇分布式拒绝服务攻击,这对于Netflix,Twitter和Spotify公司所拥有的上亿用户来说似乎是世界末日来临,但安全专业人士表示,其服务中断只是一个讨厌的攻击事件,相比之下,全球数十亿个不安全的物联网设备才有可能造成更大的潜在损害。
Unisys公司副总裁兼首席技术官尼古拉斯?埃文斯表示,“物联网设备所造成的损害,可能只是冰山一角。随着物联网设备变得更加自主化,比如自驾车,或者更可控的设备,组织可以对其威胁强度进行分级,例如一些实际操纵物理环境的工厂的设备。这才是真正的威胁。”
根据研究机构Gartner公司的报告,到2020年,大约有208亿个物联网设备可以连接到互联网,随着无所不在的成本更低的传感器的处理能力提高,以及带宽的推动,每天将增加约550万个设备。此外,到2020年,一半以上的主要新业务流程和系统将纳入物联网的一些要素。
Dyn公司遭遇的分布式拒绝服务攻击引起了人们极大的关注,连接到互联网的几十亿个设备,面临没有网络安全保护的潜在危险。DDoS攻击使用名为Mirai的恶意软件感染那些在企业和家庭中应用的数千万互联网连接的设备,以中断其在许多网站的服务。
行业专家对于那些将产品推向市场的物联网供应商进行了批评,因为将会面临物联网淘金热。
Gigamon公司安全顾问贾斯汀?哈尔维指责设备制造商为Dyn公司的DDoS攻击推波助澜,但他也承认大多数互联网服务提供商可以在安全方面做得更好。
廉价的物联网设备如今变得更容易生产,因为硬件制造商开发的廉价设备可以运行Linux系统中,并且可以执行许多家庭监控功能,如控制恒温器。这些供应商更加专注于市场,而不是产品的安全性。结果这些厂商生产出的安全性不强的产品,并没有得到有效的监督,这是因为厂商认为这些机器应该由客户进行保护或更改密码。
事实上,使情况复杂化的一个主要问题是,在解决方案一旦出现问题之后,安全通常是事后的想法。埃文斯说,IT安全专家和IT经理们一直呼吁在数十年来的的设备设计中建立安全性,就像从Web到移动性和云计算,以及现在的物联网等进行的技术创新一样。
一些安全专家认为,政府部门应该参与制定规范和监督设备制造。“如果发生了什么事,企业的设备被另外一个国家和黑客组织使用,无论是上百万个设备还是只有一个,谁来负责?互联网服务提供商是否负有责任?物联设备的制造商是否有责任?因此需要政府部门为这些制造商制定法规和指南让。”哈尔维说。
在互联网服务提供商方面,哈尔维分析当今的DNS架构,“我不明白为什么互联网服务提供商和其他提供互联网接入的组织没有加入理上不同的DNS系统,”他补充说,他不熟悉Dyn公司的具体架构。“而DNS本质上应该是容错的”。例如,两个IP地址分配给同一个设备,但通常都是与IP地址相同的数据中心,他说。对于如今的DDoS威胁,“为什么只有一个架构,只能锁定一个ISP?”
企业物联网
对于使用物联网解决方案的企业,其安全难题非常复杂。埃文斯说,企业采用的任何一个物联网解决方案可能涉及生态系统中的10个或更多合作伙伴,其包括应用层,设备,网关,通信和分析部件。他补充说:“等这个应用链中的任何薄弱的链接都是网络犯罪分子可以进入的地方,并操纵设备。”
甚至公共部门也注意到了这种情况。虽然大多数政府机构不在自己的局域网内使用商业物联网设备,但其工作人员已经建立了远程工作计划,工作人员正在通过他们家庭的宽带连接进行工作,NSSPlus,公司是一家与美国国防部和其他政府机构开展合作的网络安全系统提供商,该公司网络安全副总裁萨迪亚?卡里姆表示,“美国国防部和联邦政府已经制定了更多的标准和指导方针,指出人们应该不再使用家用网络办公,即使他们采用通过VPN,包括更改默认密码等措施。”
卡里姆表示,不过,互联网用户的人口统计数据并不是IT专业人员,预计不会采用这些安全措施。
安全框架
最近所发生的物联网设备攻击的目标是商业设备,而不是工业设备,工业互联网联盟希望能够保持安全。2016年9月,由物联网生态圈中一些最大的参与者组成的团队推出了其工业互联网安全框架,这是一套可以帮助开发人员和用户评估风险并防御风险的最佳实践框架。
该框架还为实施物联网的安全性提供了系统化的方法,并提供了一种用于讨论物联网的通用语言。联盟参与者说,其长期目标是使安全成为每个物联网系统和实施的一个组成部分。
“一直以来,人们都承认这是至关重要的。问题是我们到底做什么。”英特尔公司物联网安全解决方案首席架构师,工业互联网联盟(IIC)安全工作组联席主席SvenSchrecker说,“在这个框架]中,我们解释了在多个层面需要采取哪些措施。”
工业互联网联盟(IIC)认为,工业设备的原始所有者不应负责实施安全性,而是系统集成商可以依靠靠设备制造商,零部件制造商,芯片制造商和软件供应商来保证其安全性。他说,“当所有这一切从底部向上流动时,这将是一个更加容易管理的安全解决方案。”他表示发布以来,新框架已经得到了很好的响应。
一些物联网设备提供商认为安全是一个共同的责任。江森自控全球产品安全主管Jason Rosselot说:“物联网设备制造商需要关注网络安全设计,开发,以及部署,江森公司已经提供了互联网连接的建筑控制,安全和消防技术十多年。同样重要的是,物联网设备的消费者必须优先考虑这些设备的安全性,包括在可用时立即部署更新和补丁,并将密码从出厂默认值更改为复杂密码。”
企业如何保护自己?
组织需要评估他们当前拥有并运行了哪些互联网连接设备,他们的漏洞是什么,以及将如何解决这些漏洞。埃文斯说,调查机构Gartner公司将物联网设备分为四类:被动的可识别的东西,如具有低威胁风险RFID标签;传递有关自身信息的传感器(如压力传感器)具有中等的威胁风险;可以远程控制和操纵的设备,例如HVAC系统和自驾车;以及面临敏感数据丢失,恶意软件和破坏的最高风险的设备。
“在最基本的级别,默认用户名和IP地址应该更改。预防措施还可以包括对设备进行细分,以限制由违规造成的损害,或至少控制或限制进入内部的网络犯罪分子的行动。企业还可以选择”认知防火墙“,其将安全控制放置在云计算中而不是在设备上,并且使用人工智能来确定在设备上请求的动作是否适当,诸如”打开微波炉100分钟。“埃文斯说。
虽然Dyn公司遭遇的DDoS攻击可能拉开了未来网络攻击的序幕,但也可能标志着物联网产业动员的开始,将为物联网设备引入安全标准。Schrecker说,“两年前我会说,要实现物联网安全的标准是没有成果的,但是我们现在正在共同努力,一劳永逸地解决这个问题,因此现在还有一线希望。”