物联网机器的兴起

物联网机器的兴起

上周五对域名服务提供商Dyn的分布式拒绝服务攻击对数以百万计的Netflix、Twitter和Spotify用户来说似乎是世界末日,但安全专业人士表示,与数十亿不安全的物联网设备可能造成的潜在损害相比,服务中断只是一次令人讨厌的攻击,尽管是一次令人大开眼界的攻击。

“这只是冰山一角,”Unisys首席技术官办公室副总裁兼总经理尼古拉斯·埃文斯(Nicholas Evans)说,他领导着Unisys全球应用创新项目随着物联网设备变得更加自主,比如自动驾驶汽车,或者更加可控,比如一些实际操纵物理环境的工厂型设备,你可以对威胁强度进行分级。这才是真正的威胁。”

据研究公司Gartner称,到2020年,大约208亿件东西可以连接到互联网上。这意味着每天大约有550万台设备被添加进来,更多的传感器、处理能力和带宽更为廉价和普遍。Gartner称,到2020年,超过一半的主要新业务流程和系统将纳入物联网的某些元素。

【CSO:如何确保物联网设备的安全】

星期五的攻击引起了人们对几十亿台设备接入互联网的潜在危险的强烈关注,这些设备几乎没有或根本没有网络安全保护。DDoS攻击利用名为Mirai的恶意软件感染了数千万个在企业和家庭中发现的互联网连接设备,从而破坏了许多流行网站的服务。

Gigamon安全顾问Justin Harvey

Gigamon安全顾问Justin Harvey将Dyn DDoS攻击归咎于设备制造商,但他也承认,大多数ISP在安全方面可以做得更好。

哈维说:“我对那些急于推出产品的物联网供应商持批评态度,因为物联网淘金热正在兴起。”。廉价的物联网设备已经变得更加容易生产,因为硬件制造商开发了运行Linux的廉价设备,可以执行许多家庭监控功能,如控制恒温器。这些供应商“更专注于抢滩市场,而不是安全性[结果是]他们运送的是一种不安全的产品,如果它坏了,绝对不会有任何疏忽或后果。他们的观点是,保护这些机器的安全或更改密码是客户的责任。”

埃文斯说,事实上,使局势复杂化的主要问题之一是,安全问题往往是事后诸葛亮,一旦出现问题,通常会附加到解决方案上。数十年来,IT安全专家和IT经理一直在呼吁将安全性纳入设备设计,就像他们过去在一长串技术创新中所做的那样,从Web到移动和云计算,再到现在的物联网。

一些安全专家认为,国会应该参与制定有关设备制造的法规和监督。”如果发生了什么事,而你的设备正被一个国家使用,不管是一百万台设备的一部分还是一台,你有责任吗?您的ISP有责任吗?你的制造商?国会需要为这些制造商制定法规和指导方针,”哈维说。

在ISP方面,Harvey对当今的DNS架构提出了异议。”我不明白为什么互联网服务提供商和其他提供互联网接入的组织没有建立一个地理位置更加多样化的DNS系统,”他补充说,他并不熟悉Dyn的具体架构他说,从本质上讲,DNS应该是容错的,“例如,将两个IP地址分配给一个设备,但通常两个IP地址都协调到同一个数据中心。面对当今的DDoS威胁,“为什么我们有一个体系结构,你可以针对一个ISP,为美国夺取一半的互联网?”

对于使用物联网解决方案的企业来说,安全难题非常复杂。Evans说:“一个企业插入的任何一个物联网解决方案都可能涉及生态系统中的10个或更多合作伙伴,包括应用层、设备、网关、通信和分析部分。”他补充说,这条链条上的任何薄弱环节都是网络犯罪分子可以进入并操纵设备的地方。

甚至公共部门也注意到了这一点。NSSPlus负责网络安全的副总裁兼首席技术官Sadiyq Karim说,虽然大多数政府机构不在自己的墙内使用商业物联网设备,但政府工作人员已经建立了远程工作计划,工作人员正在通过家庭宽带连接,与国防部和其他政府机构合作的网络安全系统提供商。

卡里姆说:“国防部和联邦政府已经制定了更多的标准和指导方针,规定人们应该在家里使用什么,即使他们使用的是VPN。”。尽管如此,他还是想到了当今互联网用户的人口统计,这些人不是IT专业人士,他们应该执行这些安全措施。”个人有能力独立完成,但学习曲线非常陡峭。他说:“这仍然是相当神秘的。”。

最近的物联网设备劫持事件针对的是商业设备,而不是工业设备,工业互联网联盟希望保持这种状态。今年9月,该集团由物联网生态圈的一些最大参与者组成,推出了其工业互联网安全框架,这是一套帮助开发商和用户评估风险和防范风险的最佳实践。

该框架还为物联网安全的实现提供了一种系统化的方法,并提供了一种通用的语言。财团参与者表示,长期目标是让安全成为每一个物联网系统和实施不可或缺的一部分。

“人们一直承认这是至关重要的。英特尔物联网安全解决方案首席架构师、IIC安全工作组联席主席斯文•施雷克(Sven Schrecker)表示:“这只是一个我们到底该怎么做的问题。”在[框架]中,我们从多个层面解释了如何处理它。”

IIC认为,工业设备的原始所有者不应负责实施安全措施,而应负责系统集成商,“他们可以依靠设备制造商、组件制造商、芯片制造商和软件供应商来实现安全措施。”当所有这些都从下往上流动时,它是更易于管理的安全解决方案。“自从发布以来,新框架得到了“巨大的响应,”他补充说。

一些物联网设备提供商认为安全是一项共同的责任。”物联网设备制造商需要专注于网络安全的设计、开发和部署,”Johnson Controls全球产品安全总监Jason Rosselot说,该公司十多年来一直提供互联网连接的楼宇控制、安全和消防技术。Rosselot说,同样重要的是,“物联网设备的消费者必须优先考虑这些设备的安全”,包括在更新和补丁可用时立即部署,并将密码从出厂默认值更改为复杂密码。

埃文斯说,组织需要评估他们目前拥有的互联网连接设备、他们的漏洞,以及他们将如何解决这些问题。Gartner将物联网设备分为四类。被动的、可识别的东西,如RFID标签,具有较低的威胁风险。传递自身信息的传感器,如压力传感器,具有中等的威胁风险。可以远程控制和操纵的设备,如暖通空调系统和自动驾驶汽车,在敏感数据丢失、恶意软件和蓄意破坏方面的风险最高。

在最基本的层面上,应该更改默认用户名和IP地址。预防措施还可以包括对设备进行微观分割,以限制漏洞造成的损害,或者至少控制或限制进入的网络犯罪分子的行动。埃文斯说,企业还可以选择“认知防火墙”,将安全控制放在云中,而不是放在设备上,并使用人工智能来确定设备上请求的操作是否合适,例如“打开微波炉100分钟”。

Schrecker说:“虽然Dyn DDoS攻击可能是未来攻击的一个开门红,但它也可能标志着行业动员开始向物联网设备引入标准。”两年前,我曾说过推行物联网安全标准是徒劳的,但我们现在看到的是一种合作努力,一劳永逸地解决这个问题,因此这里可能有一线希望。”