文章轉(zhuǎn)載來源《千家網(wǎng)》
未來的狀況
如今,越來越多的家庭和商業(yè)實體都配備了大量的傳感器、軟件和處理能力,可以連接到類似的設(shè)備,并通過互聯(lián)網(wǎng)或跨網(wǎng)絡(luò)與其他系統(tǒng)交換數(shù)據(jù)。這些對象和設(shè)備已經(jīng)迅速成為常態(tài),是我們?nèi)粘I(yè)務(wù)和智能家居運營中不斷增長和發(fā)展的一部分。
全球5G網(wǎng)絡(luò)的出現(xiàn)意味著連接設(shè)備的指數(shù)級增長。在過去的幾年里,聲控照明和娛樂、城市基礎(chǔ)設(shè)施傳感器、人類可穿戴生物識別技術(shù)、住宅電器、家庭車輛、建筑供暖、建筑安全甚至智能起搏器,都在辦公室、車間、實驗室、醫(yī)院和家庭中變得司空見慣。
據(jù)IDC預測,到2025年,連接物聯(lián)網(wǎng)設(shè)備總數(shù)將達到416億臺。它們始終使用動態(tài)主機配置協(xié)議(DHCP)服務(wù)器,使用集成的CPU、網(wǎng)絡(luò)適配器和固件通過IP地址進行連接。雖然這為我們?nèi)粘J褂玫脑O(shè)備增加了功能和集成,但也增加了漏洞。
擁有強大的力量……
現(xiàn)在,所有的制造商都有責任為其客戶提供足夠的產(chǎn)品壽命保障。對許多生產(chǎn)商來說,這是一種新的思維方式,在此之前,他們不太可能考慮網(wǎng)絡(luò)安全妥協(xié)的后果。對于一些制造成本本來就更低且開發(fā)過程更廉價的國家來說,這是一個全新的概念。
雖然黑帽黑客以傳統(tǒng)的打印機、智能水瓶、冰箱或牙刷為目標聽起來可能不太令人擔憂,但這些有時是網(wǎng)絡(luò)上的節(jié)點,可用于訪問更關(guān)鍵的設(shè)備。訪問其他設(shè)備意味著他們也可能訪問其他系統(tǒng),從而訪問關(guān)鍵的基礎(chǔ)設(shè)施和數(shù)據(jù)。這些設(shè)備還可以被用作僵尸網(wǎng)絡(luò)農(nóng)場的一部分(僵尸網(wǎng)絡(luò)農(nóng)場由聯(lián)網(wǎng)設(shè)備組成),用于DDoS攻擊,將其他設(shè)備作為單個攻擊實體的較小部分進行ping操作。物聯(lián)網(wǎng)設(shè)備可以被打開、關(guān)閉或設(shè)置成其他操作配置,但角落里那臺無害的舊打印機也可能占用寶貴的帶寬和資源,或者那過時的IP網(wǎng)絡(luò)攝像頭可能在窺探網(wǎng)絡(luò)活動。
臨界壽命
更值得關(guān)注的是,這些黑客是否也會攻擊路燈、醫(yī)療設(shè)備、移動通信設(shè)備或自動駕駛汽車。如果現(xiàn)在沒有保護措施,將來可能會產(chǎn)生危險的后果。市場上已經(jīng)有數(shù)以百萬計的聯(lián)網(wǎng)設(shè)備,其中許多設(shè)備需要更加安全、面向未來,或者需要修補和安全更新支持。每個易受攻擊的對象都可能導致網(wǎng)絡(luò)安全漏洞,并因此受到疏忽的法律索賠。
任何物聯(lián)網(wǎng)(IoT)產(chǎn)品都必須能夠適應(yīng)未來安全環(huán)境的變化。計算能力的提升和人工智能/機器學習的進一步發(fā)展可能是未來幾年的主要顛覆者,智能對象必須能夠在出現(xiàn)問題時自我更新,同時在發(fā)布時保持安全。任何產(chǎn)品的安全性都必須超過任何預期的產(chǎn)品壽命。當一些產(chǎn)品,如白色家電或商用車的預期壽命以數(shù)十年為單位衡量時,這可不是一個小訂單。
如果在未來幾年出現(xiàn)一個新的國際標準化組織(ISO)標準,確保任何新的智能設(shè)備都滿足所有充分的網(wǎng)絡(luò)安全預防措施。不要感到驚訝!如果公眾很快意識到這一點,并將其變成購買決策過程的重要部分,更不要感到驚訝。
面向未來
用戶教育很重要,設(shè)備用戶將需要采用安全最佳實踐,如更改默認的安全密碼,并在默認情況下阻止設(shè)備運行所需的任何遠程訪問。制造商可以采用強制修改默認設(shè)置的密碼,多因素身份驗證(MFA),或?qū)⒅悄苊艽a管理策略作為設(shè)備的標準。
通過使用Web應(yīng)用程序防火墻(WAF)保護其他連接的系統(tǒng),保護命令和控制(C&C)服務(wù)器中心免受攻擊和DDoS攻擊,并提供邊緣過濾,阻止經(jīng)過身份驗證和授權(quán)的請求進一步獲得,這將是至關(guān)重要的。運行時保護還應(yīng)用于攔截應(yīng)用程序和相關(guān)設(shè)備對外部系統(tǒng)的任何額外調(diào)用,以驗證應(yīng)用程序內(nèi)的數(shù)據(jù)請求,并確保其安全性,而不考慮其他安全實踐和開發(fā)代碼的起源。RASP還有助于對抗零日攻擊,讓應(yīng)用程序不需要修補或簽名就可以進行自我防御。
任何WAF服務(wù)和DDoS緩解解決方案還必須配備負載平衡和故障轉(zhuǎn)移功能,以避免在發(fā)布任何新固件修補期間不可避免的流量峰值。
雖然考慮物聯(lián)網(wǎng)網(wǎng)絡(luò)安全至關(guān)重要,但生產(chǎn)商還需要解決物聯(lián)網(wǎng)加密問題,幫助屏蔽物聯(lián)網(wǎng)邊緣設(shè)備和后端系統(tǒng)之間的數(shù)據(jù)傳輸,并在靜止時保護相同的數(shù)據(jù);以及物聯(lián)網(wǎng)認證,考慮多個設(shè)備用戶并提供認證機制,如靜態(tài)密碼、MFA或生物特征。
如果用戶設(shè)備運行的是過時的軟件,制造商將需進一步通知用戶,并根據(jù)需要提示版本更新。還應(yīng)考慮取消遠程設(shè)備訪問,作為標準,除非必要的設(shè)備功能需要。還要加上嚴格的API授權(quán)和身份驗證策略以進一步支持最佳實踐。
了解物聯(lián)網(wǎng)設(shè)備在未來可能如何被使用和利用是制造商和生產(chǎn)者的責任,也是現(xiàn)在必須考慮的事情,以防止在短短幾年內(nèi)發(fā)生災(zāi)難。