物聯(lián)網(wǎng)的風(fēng)險(xiǎn)需要平衡

責(zé)任編輯：cres 作者：Darren Anstee 譯者：HERO |來源：企業(yè)網(wǎng)D1Net 2017-06-14 10:25:29 原創(chuàng)文章企業(yè)網(wǎng)D1Net

如今，物聯(lián)網(wǎng)的應(yīng)用越來越廣泛，而物聯(lián)網(wǎng)(IoT)承諾將提供諸如自動(dòng)化服務(wù)，優(yōu)化資源利用率，更好的綠色證書等諸多業(yè)務(wù)優(yōu)勢。但與所有的新技術(shù)一樣，存在新的風(fēng)險(xiǎn)，用戶必須考慮風(fēng)險(xiǎn)/價(jià)值平衡。

很多人都對去年針對Dyn進(jìn)行的分布式拒絕服務(wù)攻擊(DDoS)以及重大的服務(wù)中斷比較熟悉。早在21世紀(jì)初期，由于具有多個(gè)漏洞，并缺乏安全意識，工作站遭到DDoS攻擊，這往往是由大型僵尸網(wǎng)絡(luò)病毒造成的影響。如今，人們有了更好的安全意識，操作系統(tǒng)廠商已經(jīng)提高了他們產(chǎn)品的防御能力。但是在這里，人們再次遭遇僵尸網(wǎng)絡(luò)的攻擊，對大量個(gè)人電腦造成嚴(yán)重破壞。2016年物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)病毒肆虐，數(shù)千個(gè)相對小型無害的閉路電視攝像頭和DVR可以用來以500 Gbps或更高的速度產(chǎn)生DDoS攻擊。

許多物聯(lián)網(wǎng)設(shè)備在不受監(jiān)控的網(wǎng)段上具有良好的連接性，以及足夠的處理能力來驅(qū)動(dòng)大量的DDoS攻擊流量。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)是一個(gè)關(guān)鍵問題，并且正在產(chǎn)生大量的DDoS攻擊，而不僅僅是那些已經(jīng)成為頭條新聞的攻擊。例如，在2016年11月至2017年2月的三個(gè)月期間，來自特定的未來僵尸網(wǎng)絡(luò)發(fā)動(dòng)了11,400次攻擊。這些僵尸網(wǎng)絡(luò)的攻擊已寫入了Arbor網(wǎng)絡(luò)公司年度全球基礎(chǔ)設(shè)施中的DDoS活動(dòng)安全報(bào)告

應(yīng)對風(fēng)險(xiǎn)

DDoS攻擊只是不良行為者利用物聯(lián)網(wǎng)設(shè)備的一種方式，那么隨著可利用設(shè)備的數(shù)量的增加，人們應(yīng)該如何應(yīng)對風(fēng)險(xiǎn)?

首先，人們必須考慮如何保護(hù)目前的設(shè)備免受損害和被他人利用。這主要是應(yīng)用明智的安全措施，更改密碼和禁用人們不需要的默認(rèn)服務(wù)。但是人們也應(yīng)該確保隔離其設(shè)備，只允許他們訪問所需要的基礎(chǔ)架構(gòu)。例如，照明系統(tǒng)和打印機(jī)不需要開放的互聯(lián)網(wǎng)訪問。人們還應(yīng)該選擇可以升級的設(shè)備，這些設(shè)備具有發(fā)現(xiàn)漏洞的修補(bǔ)程序的良好記錄。人們應(yīng)該確保可以從物聯(lián)網(wǎng)設(shè)備的網(wǎng)段進(jìn)行遙測，以便識別異常行為。

來自互聯(lián)網(wǎng)服務(wù)提供商和內(nèi)容交付網(wǎng)絡(luò)的服務(wù)也可以通過有效的攔截漏洞和虛擬修補(bǔ)漏洞來幫助保護(hù)(不安全的)物聯(lián)網(wǎng)設(shè)備。這些服務(wù)通過服務(wù)提供商的保護(hù)服務(wù)路由與物聯(lián)網(wǎng)設(shè)備之間的通信，但與所有事情一樣，這些服務(wù)是平衡的。使用這樣的服務(wù)可能會(huì)阻止設(shè)備受到威脅，但它會(huì)對設(shè)備的所有通信引入單點(diǎn)故障，并且設(shè)備生成或使用的任何數(shù)據(jù)現(xiàn)在都可以由服務(wù)供應(yīng)商進(jìn)行監(jiān)控。雖然有好處，但也有風(fēng)險(xiǎn)。

除了盡可能保護(hù)設(shè)備之外，人們還需要確保自己能夠處理可能來自已經(jīng)存在的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)所面臨的威脅。DDoS是這些威脅之一，它是許多組織依賴于日常業(yè)務(wù)連續(xù)性的互聯(lián)網(wǎng)服務(wù)的可用性的主要威脅。 DDoS是一個(gè)眾所周知的問題，組織可以通過使用多層DDoS保護(hù)策略來維護(hù)自己。這被認(rèn)為是最佳實(shí)踐，并利用內(nèi)部部署數(shù)據(jù)中心和云計(jì)算或基于互聯(lián)網(wǎng)服務(wù)提供商的組件。Arbor公司的全球基礎(chǔ)設(shè)施安全報(bào)告顯示，30%的企業(yè)組織在2016年采用了這一模式，高于2015年的23%。

如今的復(fù)雜攻擊常常逃避常規(guī)的防范技術(shù)，如防火墻和基于簽名的惡意軟件檢測。因此，必須采取消除這些新威脅的新措施。

但是，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)不僅被用于DDoS，人們看到被盜用的設(shè)備被用作代理，隱藏流量的真正來源，以及強(qiáng)制輸入密碼。這兩個(gè)威脅應(yīng)該在受損的物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)活動(dòng)中顯而易見，強(qiáng)調(diào)在連接了物聯(lián)網(wǎng)設(shè)備的網(wǎng)段上需要進(jìn)行遙測。

組織中的最后一個(gè)可能最重要的一個(gè)方式可以抵御物聯(lián)網(wǎng)的威脅是將安全性建立在物聯(lián)網(wǎng)設(shè)備及其用例的購買決策之中。這里有很多事情要考慮，第一個(gè)是價(jià)值與風(fēng)險(xiǎn)。人們的咖啡機(jī)真的需要“連接”嗎?這實(shí)際上增加了什么價(jià)值與其代表的額外風(fēng)險(xiǎn)?每一個(gè)連接的設(shè)備都是一個(gè)有操作系統(tǒng)和應(yīng)用程序的計(jì)算機(jī)，其中可能存在人們應(yīng)該管理的漏洞。人們需要考慮理解和管理這些漏洞的成本是否超過了“連接”設(shè)備的價(jià)值。

如果一個(gè)物聯(lián)網(wǎng)用例通過第一個(gè)門檻，則安全性必須是次級密鑰購買標(biāo)準(zhǔn)。在許多情況下，物聯(lián)網(wǎng)設(shè)備是基于成本和功能作為設(shè)備購買的，而沒有考慮安全性。這必須改變。人們應(yīng)該考慮供應(yīng)商的記錄。過去發(fā)現(xiàn)其產(chǎn)品存在漏洞，如果是這樣，它有什么反應(yīng)?是否快速提供補(bǔ)丁或修復(fù)?

如果安全性成為購買考慮因素，那么供應(yīng)商將開始為其產(chǎn)品添加更多的安全功能，而隨著物聯(lián)網(wǎng)設(shè)備中的技術(shù)的成熟，這又將變得更加容易。諸如Thread Group和開放連接基金會(huì)提出的標(biāo)準(zhǔn)也可能有助于推動(dòng)事態(tài)發(fā)展。

從根本上說，與生活中的一切一樣，人們需要平衡。物聯(lián)網(wǎng)是一種具有許多用例和優(yōu)點(diǎn)的有利技術(shù)，但人們必須承認(rèn)和管理這些好處帶來的風(fēng)險(xiǎn)。

關(guān)鍵字：物聯(lián)網(wǎng)