雖然沒有人懷疑物聯網安全將會是一場災難,但是災難就那樣發生了——Mirai僵尸網絡通過一個相當簡單、可預防的攻擊方式拿下大片互聯網。
專家認為,2017年將會有比以往更易受影響的設備被黑客盯上。
“在2017年的某個時候,我們預計將發布一個自動傳播的IoT蠕蟲,其安裝了一個很小的、充滿惡意的有效載荷,不僅繼續感染和傳播其他易受攻擊的IoT設備,而且會自動更改遠程管理設備時所需的所有密碼,“Vectra Networks的CSO Gunter Ollman說, “現在,被鎖定的設備所有者被迫支付贖金給蠕蟲背后的主機來獲得新密碼,這種做法最終將勒索軟件的威脅帶到一個新的水平。為了防止這種蠕蟲和未來版本的產生——設備所有者不僅必須搶占性地更改設備的默認密碼,還要管理設備上內核軟件的補丁級別,以防止黑客利用新的漏洞。”
Palo Alto Networks公司的CSO Rick Howard指出,雖然多年來安全研究人員一直在發出警報,但我們需要確保我們不會錯過更大的前景。
“事實是,網絡防御者社區作為一個整體已經知道如何防止存在于互聯網上的大約99%的攻擊—— 包括2016年的DDoS攻擊,”Howard說, “我們沒有在整個社區部署這些預防控制。因此,在2017年,為了努力阻止未來利用物聯網設備的大規模攻擊,網絡防御者社區將開始部署這些控制,實施更好的預防。”
然而,除了加密和強身份驗證等這些可靠的安全基礎知識之外,LogMeIn公司的IoT戰略總監Ryan Lester說,物聯網安全問題需要一個新的解決方案。
“物聯網帶來了一整套新的安全挑戰,通過改造當前的安全解決方案和遵循相同的舊規則是無法解決的,”Lester 說, “公司必須深刻思考如何管理一對多的關系,這是一種異常的當前更頻繁的1:1設備關系。”
E8 Security的安全戰略主管Matt Rodgers表示同意,他補充說,傳統工具在互聯世界中不會有效。
“在2017年,無論是成本方面還是技術上,使用傳統工具監控物聯網環境將不再是一種選擇,”Rodgers說, “有這么多的設備做這么多事情,攻擊者將獲得非常大的攻擊表面來發現和泄漏個人身份信息,這將增加攻擊的數量,并進一步降低攻擊者的每次攻擊的潛在成本。”
Micro Focus戰略副總裁Geoff Webb表示,Mirai可能只是一個開始——下一次的情況可能會更糟糕,現在是時候采取法規來達到達到預期效果。
“由于物聯網設備數量預計將達到數十億,潛在的大規模IoT攻擊可能會對這個國家的關鍵基礎設施、網上銀行、緊急服務和商業產生真正的威脅,“Webb說,“我們期待物聯網安全能夠早日成為國家安全議程的一部分,同時政府應該開始對互聯網連接設備的立法和安全標準進行評估。”
WhiteHat Security的安全策略師Jeannie Warner表示:“我期待也希望看到‘安全’這一術語轉變為‘保持安全’,增加立法要求更嚴格的物聯網安全測試。我認為NIST的SP 800或類似的機構將通過整合動態應用掃描技術和嚴格的設備控制測試,形成一個全面的安全保證指南。新指南將強制更多的應用安全供應商與設備控制測試實驗室合作,在開發過程的早期支持制造,幫助創新組織通過在開發早期識別漏洞來管理風險,在測試期間繼續監控挑戰,并幫助發布更安全的產品。”
京公網安備 11010502049343號