想必大多數組織的安全機構都不太可能把冰箱列在注意事項當中。然而今時不同往日——就在今年年初,有消息稱接入互聯網的智能冰箱淪為僵尸網絡中的肉雞并發送大量垃圾郵件,一石激起千層浪。
這一事件證明即便是家用電器,如果缺乏必要的安全保護,在接入互聯網后同樣有可能引發安全問題。
專家預計,在未來幾年中,將有數十甚至上百億臺設備以類似的方式接入互聯網,這就是所謂的物聯網浪潮。物聯網的到來到底是一場生活方式變革還是網絡安全的末日?答案仁者見仁智者見智。無論如何,它的出現已經顛覆了我們對于互聯網以及網絡世界的認知。
本文中,我們將具體探討物聯網威脅企業安全的六種方式。
物聯網將帶來數十億非安全終端
研究機構對于2020年接入互聯網設備(或者稱為“物”)的數量存在顯著分歧。Gartner給出的答案是260億臺,IDC則認為屆時將有2120億臺設備接入互聯網。無論哪個數字更接近事實,可以肯定的是,到時候大量具備IP功能的設備最終會找到入侵企業網絡的方式。這樣的例子不勝枚舉,包括智能取暖與照明系統、智能儀表、設備維護與監測傳感器、工業機器人、資產追蹤系統、智能零售貨架、工廠控制系統以及智能手機、眼鏡等都有可能成為入侵設備。
這其中,大部分產品屬于消費級設備,還有一些則屬于添加了網絡連接功能的傳感裝置。且其中大多數設備并不具備對抗常見網絡攻擊的保護機制,而IT部門長久以來習以為常的操作系統、固件以及補丁維護方案在這里毫無用處。
從本質上講,物聯網相當于新增了數10億個非安全終端,云安全廠商Hytrust公司總裁Eric Chiu表示。這些具備IP連接功能的設備將引發新型的攻擊方式,從而攻破設備并取得企業網絡的訪問權限。
雖然有觀點認為,企業自身可以通過嚴格把控消費級設備的接入,保證企業網絡的安全,但這顯然并不現實。
“企業必須認清現實,即薄弱環節已經客觀存在,并就此作出反應。這并不是鼓勵企業放棄防線,而是說我們應當假設攻擊者已經成功進入企業內部網絡,再以此為前提部署防御戰略,”他解釋道。
物聯網將構建起異構、嵌入式設備的世界
物聯網世界中,大多數“物”都將以內嵌應用程序的電器或設備的形式出現,SANS協會研究主管John Pescatore指出。
這樣一來,物聯網與傳統IT架構中分層的軟件模式將完全不同,IT安全機構也并不熟悉這種模式。
未來,物聯網世界中將同時使用多種不同類型的通信協議。除了TCP/IP、802.11以及HTML 5之外,IT組織還將面對包括Zigbee、WebHooks以及IoT6在內的多種新型協議。而且與以往2~3年的常規IT生命周期不同,物聯網的普及將使IT生命周期擴展至短到幾個月、長達二十年以上的廣泛區間,他解釋道。
“物聯網世界中的各類終端所使用的嵌入式系統在管理與安全保護方面完全不同于PC及服務器中傳統的分層軟件模式,而這將給現有IT管理及安全審查機制帶來重大挑戰,”Pescatore表示。
物聯網將不可避免地與企業網絡對接
正如根本不存在真正獨立的工業控制網絡一樣,物聯網世界中也不存在能夠與之完全隔離的企業網絡,RSA總經理Amit Yoran指出。
無論采取怎樣的網絡分割與隔離技術,物聯網最終仍然會通過互聯網與企業網絡對接,這些接口將成為惡意攻擊的主要目標。
物聯網將無所不在、無所不通,其中也包括企業網絡。Yoran指出。“如今企業用戶已經能夠通過BYOD的方式直接訪問云資源,而無需通過企業網絡作為中轉路徑”。
而物聯網的出現將加劇這一事態,屆時IT部門在試圖控制各種設備訪問保存在內部或者云端的業務數據時,將面臨極度混亂的局面。
“物聯網與企業網絡難以區隔。一旦各類物聯網終端被攻破,企業網絡將同樣面臨巨大的風險。”Yoran表示。
物聯網將危及物理設備和生命安全
除了給在線數據帶來威脅外,物聯網的普及同樣會給物理設備乃至生理層面帶來風險,Zscaler公司安全研究副總裁Michael Sutton表示。
黑客們已經證實了具備IP功能的胰島素泵、血糖監測儀以及心臟起搏器有可能遭遇安全攻擊,這將直接導致設備使用者遭受生理損傷。
隨著物聯網的興起,此類攻擊還可能指向汽車、智能采暖、通風與空調系統、具備網絡功能的復印機、打印機、掃描儀乃至幾乎所有使用IP地址的設備。
一般情況下,黑客們甚至不需要利用設備中的軟件及硬件漏洞。而這意味著企業將面臨極其危險的局面,因為這其中的每一套IP地址配置方案都有出現錯誤的風險。
物聯網將構建新的供應鏈
大量接入企業網絡的設備很快將成為IT安全部門的管理對象,然而可怕的是這些部門對此并不熟悉。
“與BYOD類似,傳統企業需要就此制定并開發相應的策略與管理系統,并利用這套體系管理一個規模龐大的設備群體,”設備驗證與身份管理技術供應商Identiv公司CEO Jason Hart指出。
“除了員工自帶的物理設備、虛擬辦公環境內的新型設備之外,傳統非連接型設備(從咖啡機到新型人體工程椅)都將轉向智能化,并成為IT部門的維護對象,”Hart表示。
要想在物聯網世界中取得成功,廠商必須能夠幫助企業用戶管理新型IP設備與企業網絡之間復雜的依存關系,英國計算機協會成員兼獨立安全顧問Chris Yapp指出。
這其中,掌握復雜技術整合與管理經驗的企業最有可能在物聯網大潮中取得成功,他表示。
“而現有安全服務商則應該集中資源、通力合作、完善解決方案,只有這樣才有機會與系統集成商一較高下,“Yapp說。
物聯網將導致網絡攻擊規模、隱匿性及持久性顯著提升
至少從理論上講,完全互聯網化所帶來的威脅與大部分IT組織目前面臨的狀況并無太大區別。很多企業已經適應了由智能手機、平板電腦以及其它具備無線連接功能的設備所帶來的挑戰。唯一的區別在于,物聯網所帶來的安全威脅規模更龐大、范圍也更加廣泛。
“物聯網涵蓋每一臺接入互聯網的設備,”安全即服務廠商Proofpoint公司高級安全副總裁Kevin Epstein表示。
其中包括各類家庭自動化產品,例如智能溫控裝置、安保攝像機、冰箱等,此外工業控制機械與智能化零售貨架也將逐漸走入我們的生活。
如此多的設備必然會帶來嚴峻的挑戰。“挑戰的核心在于攻擊活動的規模、隱匿性以及持久性”。當前情況下,攻擊者就能夠相對輕松地滲透到企業防御體系當中,Epstein解釋稱,“想象一下攻擊數量如果陡增10倍,情況會變得多么糟糕。”
京公網安備 11010502049343號