興起的物聯網將面臨安全的挑戰

不久前，域名服務提供商Dyn公司的網站遭遇分散式拒絕服務攻擊，這對於Netflix，Twitter和Spotify公司所擁有的上億使用者來說似乎是世界末日來臨，但安全專業人士表示，其服務中斷只是一個討厭的攻擊事件，相比之下，全球數十億個不安全的物聯網裝置才有可能造成更大的潛在損害。

Unisys公司副總裁兼技術長尼古拉斯·埃文斯表示，“物聯網裝置所造成的損害，可能只是冰山一角。隨著物聯網裝置變得更加自主化，比如自駕車，或者更可控的裝置，組織可以對其威脅強度進行分級，例如一些實際操縱物理環境的工廠的裝置。這才是真正的威脅。”

根據研究機構Gartner公司的報告，到2020年，大約有208億個物聯網裝置可以連線到網際網路，隨著無所不在的成本更低的感測器的處理能力提高，以及頻寬的推動，每天將增加約550萬個裝置。此外，到2020年，一半以上的主要新業務流程和系統將納入物聯網的一些要素。

Dyn公司遭遇的分散式拒絕服務攻擊引起了人們極大的關注，連線到網際網路的幾十億個裝置，面臨沒有網路安全保護的潛在危險。DDoS攻擊使用名為Mirai的惡意軟體感染那些在企業和家庭中應用的數千萬網際網路連線的裝置，以中斷其在許多網站的服務。

行業專家對於那些將產品推向市場的物聯網供應商進行了批評，因為將會面臨物聯網淘金熱。

Gigamon公司安全顧問賈斯汀·哈爾維指責裝置製造商為Dyn公司的DDoS攻擊推波助瀾，但他也承認大多數網際網路服務提供商可以在安全方面做得更好。

廉價的物聯網裝置如今變得更容易生產，因為硬體製造商開發的廉價裝置可以執行Linux系統中，並且可以執行許多家庭監控功能，如控制恆溫器。這些供應商更加專注於市場，而不是產品的安全性。結果這些廠商生產出的安全性不強的產品，並沒有得到有效的監督，這是因為廠商認為這些機器應該由客戶進行保護或更改密碼。

事實上，使情況複雜化的一個主要問題是，在解決方案一旦出現問題之後，安全通常是事後的想法。埃文斯說，IT安全專家和IT經理們一直呼籲在數十年來的的裝置設計中建立安全性，就像從Web到移動性和雲端計算，以及現在的物聯網等進行的技術創新一樣。

一些安全專家認為，政府部門應該參與制定規範和監督裝置製造。“如果發生了什麼事，企業的裝置被另外一個國家和黑客組織使用，無論是上百萬個裝置還是隻有一個，誰來負責？網際網路服務提供商是否負有責任？物聯裝置的製造商是否有責任？因此需要政府部門為這些製造商制定法規和指南讓。”哈爾維說。

在網際網路服務提供商方面，哈爾維分析當今的DNS架構，“我不明白為什麼網際網路服務提供商和其他提供網際網路接入的組織沒有加入理上不同的DNS系統，”他補充說，他不熟悉Dyn公司的具體架構。“而DNS本質上應該是容錯的”。例如，兩個IP地址分配給同一個裝置，但通常都是與IP地址相同的資料中心，他說。對於如今的DDoS威脅，“為什麼只有一個架構，只能鎖定一個ISP？”

企業物聯網

對於使用物聯網解決方案的企業，其安全難題非常複雜。埃文斯說，企業採用的任何一個物聯網解決方案可能涉及生態系統中的10個或更多合作伙伴，其包括應用層，裝置，閘道器，通訊和分析部件。他補充說：“等這個應用鏈中的任何薄弱的連結都是網路犯罪分子可以進入的地方，並操縱裝置。”

甚至公共部門也注意到了這種情況。雖然大多數政府機構不在自己的區域網內使用商業物聯網裝置，但其工作人員已經建立了遠端工作計劃，工作人員正在通過他們家庭的寬頻連線進行工作，NSSPlus,公司是一家與美國國防部和其他政府機構開展合作的網路安全系統提供商，該公司網路安全副總裁薩迪亞·卡里姆表示，“美國國防部和聯邦政府已經制定了更多的標準和指導方針，指出人們應該不再使用家用網路辦公，即使他們採用通過VPN，包括更改預設密碼等措施。”

卡里姆表示，不過，網際網路使用者的人口統計資料並不是IT專業人員，預計不會採用這些安全措施。

安全框架

最近所發生的物聯網裝置攻擊的目標是商業裝置，而不是工業裝置，工業網際網路聯盟希望能夠保持安全。2016年9月，由物聯網生態圈中一些最大的參與者組成的團隊推出了其工業網際網路安全框架，這是一套可以幫助開發人員和使用者評估風險並防禦風險的最佳實踐框架。

該框架還為實施物聯網的安全性提供了系統化的方法，並提供了一種用於討論物聯網的通用語言。聯盟參與者說，其長期目標是使安全成為每個物聯網系統和實施的一個組成部分。

“一直以來，人們都承認這是至關重要的。問題是我們到底做什麼。”英特爾公司物聯網安全解決方案首席架構師，工業網際網路聯盟(IIC)安全工作組聯席主席SvenSchrecker說，“在這個框架]中，我們解釋了在多個層面需要採取哪些措施。”

工業網際網路聯盟(IIC)認為，工業裝置的原始所有者不應負責實施安全性，而是系統整合商可以依靠靠裝置製造商，零部件製造商，晶片製造商和軟體供應商來保證其安全性。他說，“當所有這一切從底部向上流動時，這將是一個更加容易管理的安全解決方案。”他表示釋出以來，新框架已經得到了很好的響應。

一些物聯網裝置提供商認為安全是一個共同的責任。江森自控全球產品安全主管Jason Rosselot說：“物聯網裝置製造商需要關注網路安全設計，開發，以及部署，江森公司已經提供了網際網路連線的建築控制，安全和消防技術十多年。同樣重要的是，物聯網裝置的消費者必須優先考慮這些裝置的安全性，包括在可用時立即部署更新和補丁，並將密碼從出廠預設值更改為複雜密碼。”

企業如何保護自己？

組織需要評估他們當前擁有並執行了哪些網際網路連線裝置，他們的漏洞是什麼，以及將如何解決這些漏洞。埃文斯說，調查機構Gartner公司將物聯網裝置分為四類：被動的可識別的東西，如具有低威脅風險RFID標籤；傳遞有關自身資訊的感測器（如壓力感測器）具有中等的威脅風險；可以遠端控制和操縱的裝置，例如HVAC系統和自駕車；以及面臨敏感資料丟失，惡意軟體和破壞的最高風險的裝置。

“在最基本的級別，預設使用者名稱和IP地址應該更改。預防措施還可以包括對裝置進行細分，以限制由違規造成的損害，或至少控制或限制進入內部的網路犯罪分子的行動。企業還可以選擇“認知防火牆”，其將安全控制放置在雲端計算中而不是在裝置上，並且使用人工智慧來確定在裝置上請求的動作是否適當，諸如“開啟微波爐100分鐘。”埃文斯說。

雖然Dyn公司遭遇的DDoS攻擊可能拉開了未來網路攻擊的序幕，但也可能標誌著物聯網產業動員的開始，將為物聯網裝置引入安全標準。Schrecker說，“兩年前我會說，要實現物聯網安全的標準是沒有成果的，但是我們現在正在共同努力，一勞永逸地解決這個問題，因此現在還有一線希望。”

本文轉自d1net（轉載）