前情提要：物聯(lián)網(wǎng)安全成本攀升

一份來自marketsandmarkets.com的報(bào)告數(shù)據(jù)顯示：到2021年，物聯(lián)網(wǎng)安全市場的估值將達(dá)到369億5000萬美元。網(wǎng)絡(luò)安全行業(yè)混亂的增長，又一波資本投資浪潮來襲。

2017年，專家預(yù)測，開放的物聯(lián)網(wǎng)安全漏洞將導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施被破壞，來自競爭對手的情報(bào)收集和知識產(chǎn)權(quán)盜竊事件將增加。與此同時(shí)，2017年DDOS攻擊的威脅將進(jìn)一步蔓延。

1. IoT安全五大噩夢

這部分首先列舉CSO們面臨的五大IoT安全噩夢

噩夢1號

每天新增近500萬個(gè)物聯(lián)網(wǎng)設(shè)備，等于每天有更多的新增安全漏洞。根據(jù)Gartner的統(tǒng)計(jì)報(bào)告，2016年全球新增了550萬個(gè)物聯(lián)網(wǎng)設(shè)備。越多的物聯(lián)網(wǎng)設(shè)備，意味著越多的安全漏洞，因?yàn)槊總€(gè)設(shè)備自身都存在多個(gè)安全問題，而且由于這些設(shè)備如雨后春筍般的涌現(xiàn)到互聯(lián)網(wǎng)上，使得網(wǎng)絡(luò)威脅的攻擊面更加廣泛。

噩夢2號

物聯(lián)網(wǎng)設(shè)備廣受歡迎，無處不在。對黑客而言，這些不設(shè)防/弱保護(hù)的物聯(lián)網(wǎng)設(shè)備簡直就像是美味的水果一樣誘人。越來越多的已被黑客攻擊的物聯(lián)網(wǎng)消費(fèi)產(chǎn)品投入市場，無疑會加重互聯(lián)網(wǎng)安全的噩夢，攻擊對象包括對企業(yè)數(shù)據(jù)、廠房和設(shè)備、員工以及消費(fèi)者。

對于攻擊者而言，以任意一個(gè)物聯(lián)網(wǎng)設(shè)備的任一漏洞為突破口從而控制整個(gè)網(wǎng)絡(luò)，都不是一件難事。舉例說明，2015年，TrapX的安全工程師利用NEST恒溫器的一個(gè)迷你USB端口，使用ARP欺騙程序成功對通信系統(tǒng)發(fā)起了MITM中間人攻擊。黑客采用MITM攻擊可以獲得設(shè)備兩端或通信系統(tǒng)的控制權(quán)，包括企業(yè)的網(wǎng)絡(luò)系統(tǒng)。即使物聯(lián)網(wǎng)設(shè)備是家用的，不是企業(yè)財(cái)產(chǎn)，但鑒于目前大量的遠(yuǎn)程和移動辦公情景，攻破家庭網(wǎng)絡(luò)也就間接的入侵了企業(yè)的網(wǎng)絡(luò)。黑客的目標(biāo)可能不止是數(shù)據(jù)，還會危及生命和財(cái)產(chǎn)安全。

噩夢3號

IoT是解鎖消費(fèi)者私密數(shù)據(jù)的關(guān)鍵，增加了黑客的攻擊目標(biāo)和攻擊面，使得攻擊者很容易猜解到用戶常用密碼。在針對一些關(guān)鍵業(yè)務(wù)、政府、軍事、政治和文化目標(biāo)尋找突破口時(shí)，這是一個(gè)很好的途徑。

IoT會收集消費(fèi)者的數(shù)據(jù)便于根據(jù)消費(fèi)者的喜好和特點(diǎn)做精準(zhǔn)的市場營銷。攻擊者竊取并整合這些數(shù)據(jù)來分析消費(fèi)者的興趣和習(xí)慣，猜解用戶的密碼和安全問題的答案，使用相同的賬號和密碼登錄到企業(yè)的網(wǎng)絡(luò)系統(tǒng)。(賬號密碼安全，真是一個(gè)硬傷啊)

噩夢4號

大量伴隨IoT設(shè)備而新增的SCADA和工控系統(tǒng)，使得廣泛性的破壞成為可能。比如當(dāng)工業(yè)控制系統(tǒng)連接到互聯(lián)網(wǎng)，如何保護(hù)公用事業(yè)和國家基礎(chǔ)設(shè)施免受攻擊成為了一件非常具有挑戰(zhàn)性的任務(wù)。

“想象一下，攻擊者使用10%～15%的物聯(lián)網(wǎng)設(shè)備在美國發(fā)動DDOS攻擊，能夠直接打垮整個(gè)華爾街的流量”

———Ben Simon，曾就職于以色列空軍網(wǎng)絡(luò)和安全部

最近發(fā)生了一個(gè)真實(shí)的案例，黑客攻擊烏克蘭電廠，導(dǎo)致該地區(qū)成千上萬個(gè)居民無法用電。這次攻擊中，黑客瞄準(zhǔn)的是關(guān)鍵基礎(chǔ)設(shè)施的管理系統(tǒng)致使服務(wù)中斷，而這僅僅是一個(gè)非常小的例子。

噩夢5號

廣受歡迎的、開放的物聯(lián)網(wǎng)，使得很多電影劇情得以在現(xiàn)實(shí)中真實(shí)的上演。“Live Free or Die Hard”，這個(gè)哲學(xué)問題再次引起了人們的深思。

物聯(lián)網(wǎng)讓黑客創(chuàng)建和使用大規(guī)模的僵尸網(wǎng)絡(luò)成為可能，可以想象，利用這些基礎(chǔ)設(shè)施發(fā)動DDOS攻擊，將變的更加常規(guī)。

2. 如何減緩物聯(lián)網(wǎng)安全五大噩夢和其它安全問題

據(jù)Gartner預(yù)測，2020年物聯(lián)網(wǎng)設(shè)備使用總量將達(dá)到208億。

想要保障設(shè)備安全，企業(yè)應(yīng)當(dāng)首先衡量對抗風(fēng)險(xiǎn)時(shí)的便利性和效率優(yōu)勢。行業(yè)安全解決方案和產(chǎn)品覆蓋到各類設(shè)備，物聯(lián)網(wǎng)安全培訓(xùn)加入到員工安全教育培訓(xùn)體系中。基于行為監(jiān)測和IDS/IPS安全技術(shù)應(yīng)該將物聯(lián)網(wǎng)設(shè)備相關(guān)的潛在惡意行為納入監(jiān)測范圍。

比如，當(dāng)企業(yè)在安裝和使用一個(gè)物聯(lián)網(wǎng)設(shè)備時(shí)，需要實(shí)施新一代的防火墻設(shè)備的安全策略，只允許指定IP地址的連接，應(yīng)用第二代終端安全產(chǎn)品。當(dāng)前物聯(lián)網(wǎng)設(shè)備安全面臨的主要問題時(shí)員工安全意識培訓(xùn)，增加員工網(wǎng)絡(luò)連接和通信的安全性。

無論攻擊者如何猜解密碼和安全問題的答案，使用額外的身份認(rèn)證可以保護(hù)系統(tǒng)安全。例如使用PINs和向用戶電子郵件發(fā)送認(rèn)證碼的方式進(jìn)行身份認(rèn)證是很好的例子。隨著猜解密碼的廣泛使用，企業(yè)必須適用并采取應(yīng)對措施。“企業(yè)必須依靠安全專家去了解心技術(shù)的風(fēng)險(xiǎn)，確保他們不斷更新的技術(shù)沒有引入心的風(fēng)險(xiǎn)，并在發(fā)現(xiàn)新風(fēng)險(xiǎn)時(shí)采取應(yīng)對措施”。

對于SCADA和傳統(tǒng)的工控系統(tǒng)而言，安全是一個(gè)挑戰(zhàn)，因?yàn)檫@些系統(tǒng)往往都是封閉式的、甚至沒有基本的網(wǎng)絡(luò)安全機(jī)制。“至少，企業(yè)應(yīng)該對這些網(wǎng)絡(luò)進(jìn)行隔離，密切監(jiān)視，做好訪問權(quán)限的控制”。

“工業(yè)控制系統(tǒng)具有高可用性的要求，這就意味著停機(jī)進(jìn)行升級是不可接受的事情。在理想的情況下，這些系統(tǒng)需要具備最先進(jìn)的網(wǎng)絡(luò)安全防御能力，并與互聯(lián)網(wǎng)隔離”。

需要注意，為了防止物聯(lián)網(wǎng)設(shè)備被用于DDOS攻擊，需要遵從兩個(gè)原則：保護(hù)設(shè)備，假設(shè)網(wǎng)絡(luò)是惡意的;保護(hù)網(wǎng)絡(luò)，假設(shè)設(shè)備是惡意的。這種方法符合最小特權(quán)零信任模型的安全性規(guī)范。

[[193405]]

企業(yè)可以通過向包含了物聯(lián)網(wǎng)的系統(tǒng)中增加安全策略，來減輕黑客將物聯(lián)網(wǎng)設(shè)備變?yōu)槿怆u的可能。爭取機(jī)構(gòu)和企業(yè)應(yīng)加強(qiáng)內(nèi)網(wǎng)安全解決方案的研究。使用欺騙性的新技術(shù)有助于組織識別已經(jīng)在網(wǎng)絡(luò)中存在的攻擊者。

另外，可以從其他方面考慮，加強(qiáng)IoT安全

物聯(lián)網(wǎng)安全的未來充滿挑戰(zhàn)，但也并非無路可走。

首先，政府相關(guān)機(jī)構(gòu)應(yīng)當(dāng)對那些銷售安全性差的設(shè)備的公司開罰單，直到他們召回并修理自己的產(chǎn)品。

其次，立法方面應(yīng)當(dāng)有明確的規(guī)范，要求物聯(lián)網(wǎng)設(shè)備定期恢復(fù)到軟件的初始狀態(tài)，這個(gè)要求可以踢出任何設(shè)法滲透到設(shè)備中的惡意軟件。

第三，將新的物聯(lián)網(wǎng)硬件設(shè)備對應(yīng)的IPv6地址限定在某一范圍內(nèi)，這樣做會讓遭受DDOS攻擊的受害者可以更容易的通過ISP運(yùn)營商拒絕掉所有來自物聯(lián)網(wǎng)設(shè)備的通信請求。