專家預計,在未來幾年中,將有數十甚至上百億臺設備以類似的方式接入互聯網,物聯網浪潮正在掀起。而物聯網的到來到底是一場生活方式變革還是網絡安全的末日,仁者見仁,智者見智。
下面我們將具體探討物聯網威脅企業安全的六種方式。
物聯網將帶來數十億不安全終端
研究機構對于截至2020年接入互聯網的物聯網設備數量存在很大分歧。Gartner預測會有260億個物聯網設備,而IDC預測會有2120億個物聯網設備。無論哪個數字更接近,可以肯定的是,隨著大量設備的增加,會形成多種入侵企業網絡的方式。如智能取暖與照明系統、智能儀表、設備維護與監測傳感器、工業機器人、資產追蹤系統、智能零售貨架、工廠控制系統以及智能手機、眼鏡等,都有可能成為入侵設備。
“從本質上講,物聯網相當于新增了數10億個非安全終端。”云安全廠商Hytrust公司總裁Eric Chiu表示,“這些具備IP連接功能的設備將引發新型的攻擊方式,從而攻破設備并取得企業網絡的訪問權限。”
雖然有觀點認為,企業自身可以通過嚴格把控消費級設備的接入,保證企業網絡的安全,但這并不現實。“企業必須認清現實,薄弱環節已經客觀存在,我們應當假設攻擊者已經成功進入企業內部網絡,以此為前提部署防御戰略。” Chiu補充說。
物聯網將與企業網絡對接
“正如根本不存在真正獨立的工業控制網絡一樣,物聯網世界中也不存在能夠與之完全隔離的企業網絡。”安全公司RSA總經理Amit Yoran指出。
言下之意是,無論采取怎樣的網絡分割與隔離技術,物聯網最終仍然會通過互聯網與企業網絡對接,這些接口將成為惡意攻擊的主要目標。
如今企業用戶已經能夠通過BYOD的方式直接訪問云資源,無需通過企業網絡作為中轉路徑。但Yoran認為,物聯網的出現將加劇這一事態,因為IT部門在控制各種設備訪問保存在內部或者云端的業務數據時,將面臨極度混亂的局面。
所以一旦各類物聯網終端被攻破,企業網絡將同樣面臨巨大的風險。
物聯網將構建嵌入式設備世界
物聯網領域中,大多數“物”都將以內嵌應用程序的電器或設備的形式出現。云安全公司SANS協會研究主管John Pescatore指出,“因此,物聯網與傳統IT架構中分層的軟件模式將完全不同,IT安全機構也并不熟悉這種模式。”
未來,物聯網領域將同時使用多種不同類型的通信協議。除了TCP/IP、802.11以及HTML 5之外,還將面對包括Zigbee、WebHooks以及IoT6在內的多種新型協議。而且與以往2~3年的常規IT生命周期不同,物聯網的普及將使IT 生命周期擴展至短到幾個月、長達20年以上的廣泛區間。
“物聯網的各類終端所使用的嵌入式系統在管理與安全保護方面完全不同于PC及服務器中傳統的分層軟件模式,而這將給現有IT管理及安全審查機制帶來重大挑戰。”Pescatore說。
物聯網將危及物理設備和生命安全
“除了給在線數據帶來威脅外,物聯網的普及同樣會給物理設備乃至人體生理層面帶來風險。”Zscaler公司安全研究副總裁Michael Sutton表示。
黑客們已經證實了具備IP功能的胰島素泵、血糖監測儀以及心臟起搏器有可能遭遇安全攻擊,這將直接導致設備使用者遭受生理損傷。
隨著物聯網的興起,此類攻擊還可能指向汽車、智能采暖、通風與空調系統、具備網絡功能的復印機、打印機、掃描儀乃至幾乎所有使用IP地址的設備。
一般情況下,黑客們甚至不需要利用設備中的軟件及硬件漏洞,而這意味著企業將面臨極其危險的局面,因為這其中的每一套IP地址配置方案都有出現錯誤的風險。
物聯網將構建新的供應鏈
大量接入企業網絡的設備很快將成為IT安全部門的管理對象,然而這些部門對此并不熟悉。
“與BYOD類似,傳統企業需要就此制定并開發相應的策略與管理系統,并利用這套體系管理一個規模龐大的設備群體。”設備驗證與身份管理技術供應商Identiv公司CEO Jason Hart指出。
“除了員工自帶的物理設備、虛擬辦公環境內的新型設備之外,傳統非連接型設備(從咖啡機到新型人體工程椅)都將轉向智能化,并成為IT部門的維護對象。”Hart補充說。
“要想在物聯網領域取得成功,廠商必須能夠幫助企業用戶管理新型IP設備與企業網絡之間復雜的依存關系。”英國計算機協會成員兼獨立安全顧問Chris Yapp表示。
可以預測,在這樣的趨勢中掌握復雜技術整合與管理經驗的企業最有可能在物聯網大潮中取得成功。“而現有安全服務商則應該集中資源、通力合作、完善解決方案,只有這樣才有機會與系統集成商一較高下。”Yapp說。
物聯網將加劇網絡攻擊
很多企業已經適應了由智能手機、平板電腦以及其他具備無線連接功能的設備所帶來的挑戰,但物聯網所帶來的安全威脅規模更龐大,范圍也更加廣泛。物聯網涵蓋每一臺接入互聯網的設備。這其中包括各類家庭自動化產品,例如智能溫控裝置、安保攝像機、冰箱等,此外工業控制機械與智能化零售貨架也將逐漸走入我們的生活。
如此多的設備必然會帶來嚴峻的挑戰。“挑戰的核心在于攻擊活動的規模、隱匿性以及持久性。”安全即服務廠商Proofpoint公司高級安全副總裁Kevin Epstein表示,“當前情況下,攻擊者就能夠相對輕松地滲透到企業防御體系當中,想象一下攻擊數量如果陡增10倍,情況會變得多么糟糕。”
京公網安備 11010502049343號