易受攻击设备组成物联网.PDFVIP

2 0 1 7 年 6 月 6 日（星期二） 易受攻击的设备组成的物联网 引言 随着技术的发展，计算系统的体积不断缩小，价格不断下降，功耗也不断降低。这些微型计 算系统能够集成到日常物品中；这些设备与无处不在的无线连接相结合，共同构成“物联 网”。物联网可能会改善我们的生活，但是，只有我们妥善管理这些设备固有的安全风险， 可能性才会成为现实。 Gartner 的研究表明，2016 年全球有64 亿台设备连接互联网，该数字到2020 年将达到 208 亿台。这相当于未来4 年每天都有将近 1 千万的新设备连接入网，导致不安全设备的潜 在受攻击面大幅扩大。由于企业部署这些系统的目的在于做出运营改善相关决策，或围绕物 联网制定其业务策略，因此我们必须考虑设备的漏洞和所生成数据的真实性。 思科和Talos 都非常关注物联网的安全性。我们的目标之一是迫使网络犯罪分子改河易道。 因此，我们会寻找供应商并与之合作，在漏洞遭到滥用之前将其修复。例如，我们在特灵温 控器内发现了硬编码凭证。如果威胁攻击者发现这一情况，他们本可以远程登录到温控器， 并获得对设备的完全控制权。此时，他们将能够对本地网络进行侦察以发动攻击。我们为客 户开发了防护措施，并推迟披露漏洞，直到供应商发布了用于解决该问题的补丁。 连接到企业网络的不安全物联网设备无异于又一台可能为攻击者提供进入点的计算机。一旦 遭到入侵，攻击者可以使用物联网设备从网络中收集信息，或对其他系统发起攻击。但是， 不同于大多数联网计算机，物联网设备不太可能装有防病毒软件或安全软件。这意味着攻击 者可以长时间潜伏其中，被发现的风险微乎其微。 犯罪分子觉察到物联网带来的机会。他们“圈定”了许多安全防护水平低下的物联网设备， 构成Mirai 僵尸网络。该僵尸网络发起了历史上最大规模的拒绝服务(DoS) 攻击，利用窃取 的计算能力和不安全设备的互联网连接来扰乱Twitter 、Paypal、Spotify 及其他网站提供的服 务，使这些服务整天断断续续。犯罪分子还会入侵闭路电视(CCTV) 系统中使用的易受攻击 的数字视频录像机。目的不是清除可定罪的视频监控镜头，而是安装恶意软件以窃取处理能 力，并将其用于比特币挖矿，从中获利。 不仅设备本身可能易受攻击，而且犯罪分子可能利用从物联网设备中收集数据的系统，进行 一些令人关注的攻击。例如，以色列研究团队发现，他们可能诱使流量信息系统相信存在伪 造的流量堵塞，方法是通过伪造的物联网设备发出假冒的流量数据。 与外界交互的不安全互联网设备可能被入侵，导致功能改变。例如，电子酒店锁让访客可以 使用门卡进入房间。但是，这些设备上的通信端口可能遭到黑客攻击，他们利用锁上的安全 功能不足，使任何具有必要知识的人无需门卡即可开门。 甚至不太可能的物品（如玩具和家居用品）也可以被视为物联网设备，并且被发现包含网络 漏洞。黑客可能入侵已联网的芭比娃娃对您进行窥探，并破坏婴儿监视器，监控您和您的孩 子。甚至可以通过您的智能电视来“监视”您。 压力导致物联网安全问题 随着全球构建基础设施并部署组成物联网的设备，我们整个社会有机会运用在互联网发展过 程中学习到的数十年良好实践，其中包括关于安全重要性的惨痛教训。 物联网发展的前提基于这一理念：在许多地方部署许多便宜、连接互联网的设备。随着市场 发展，制造商加快将设备以可能的最低价格推向市场，并且很少买家会坚持认为安全要求应 作为其采购流程的一部分。这种情况导致市场上出售的许多物联网产品包含已知的漏洞，并 且没有或很少考虑如何能将更新应用于设备，以便修复安全问题。 如果在设计阶段早期考虑安全问题，就可以在系统内构建防护措施。物联网系统的各项功能 （从设备本身到无线通信、用户界面、管理界面）均与众所周知且有特征的薄弱环节相关。 同样，对于这些类型的薄弱环节所做的防御也是众所周知的。如果规定系统安全性是系统的 一项要求，并指出需要的防护类型，则将有助于系统更具恢复能力、不太可能被入侵、在发 生入侵时不太可能遭受重大损失，并且更易于更新以便在发现问题时修复问题。 如果不解决安全问题，可能会付出沉重的代价。安装不安全的电子锁意味着有锁可能还不如 没有锁。这些锁可能被入侵，变成任何人均可打开。部署连接至企业网络的不安全设备就像 使办公室大门一整晚未上锁一样，任何人都可以悄悄潜入，带走他们想要的东西。易受攻击 的物联网产品可能被完全禁止，例如德国的一款连接互联网的玩具Cayla。 安全问题以多种形式存在。解决任何单个问题首先需要意识到问题、了解问题如何产生，以 及如何修复或缓解问题。只有到那时，我们才能制定适当的安全策略。 软件漏洞是影响物联