在为时已晚前 阻止物联网安全威胁和攻击

日期:2015-8-31作者:Nick Lewis

【TechTarget中国原创】物联网(IoT)设备是最新一波直接连接到IP网络的设备,这也带来新的网络安全风险。

在过去,网络静态连接首先预留给有限数量的昂贵的计算机,随后网络连接开始提供给企业、用户家中、移动设备,现在开始连接到大量IoT设备。

过去大量资源专门用于连接计算机到静态网络,但在物联网时代,这些资源已经减少。而专用于连接这些设备到网络的资源减少造成更少的资源来防止IoT安全威胁。

如果企业还没有受到IoT攻击,这应该是企业计划要处理的事情。IoT攻击最终将会到来,所以企业要学会在为时已晚之前如何最有效地防止或低于它们。

日益增加的IoT安全威胁


如果制造商和工程师第一次添加新的技术功能来连接其设备到互联网,但还没有学习到前辈开发人员的惨痛教训,那么,他们在设计产品时将不可避免地犯同样的错误—例如假定网络是可信,而没有为安全事故做计划。

虽然企业很难阻止因设备制造问题而导致的安全风险,但企业可以评估软件开发做法,以了解信息安全是如何整合到制造商的软件开发过程。如果制造商外包了设备联网的部分工作,这可能是一个好迹象,因为这意味着经验丰富的软件开发人员正在帮助制造商部署正确的开发做法。

同样需要注意的是,IoT设备与其他联网设备一样面临着相同的攻击,例如拒绝服务攻击或者使用默认账号和默认密码,企业可能已经遇到过这样的问题。尽管IoT设备的攻击面比传统桌面或服务器要小,但当考虑到IoT设备的数量时,即使是很小的安全问题都可能带来严重影响,这很像过去连接到互联网的打印机或SCADA设备遇到的问题。

Akamai Technologies公司最近披露了重大IoT攻击事件,该公司研究人员报告称拒绝服务(DDoS)攻击开始利用不安全的IoT设备配置。更具体地讲,攻击者发现可滥用简单服务发现协议(SSDP)来放大恶意响应到伪造的IP流量以加入DDoS攻击。研究人员指出,攻击者通过扫描来瞄准网络范围,并发送SSDP搜索请求来确定IoT设备;然后响应流量发送到目标网络作为DDoS攻击的一部分。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

安全市场趋势>更多

相关推荐

技术手册>更多

  • IDS入侵检测技术

    入侵检测系统自从上个世纪80年代后期90年代早期就出现了,它是入侵检测系统是历时最久并最普及的技术。作为网络安全的入侵警报器,IDS可以分为基于特征(Signature-based)的和基于异常(anomaly-based)的。基于特征的IDS的工作原理类似杀毒,查询和已知的恶意事件匹配的特征。基于异常的IDS查询网络协议、用户、流量行为模式或系统(核心)调用中的异常行为。

  • 构建安全无线架构

    在本专题中,通过无线网络的转移、如何分割WlAN信息流、VPN的作用、接入点的布置等内容,你可以学到如何构建安全的无线架构,理解Wi-Fi产品的功能,以及如何把传统的有线网络设备和配置应用到无线局域网中。

  • 信息安全人员从业指南

    随着黑客的攻击越来越广泛,企业信息安全问题也越来越突出。随着这种趋势不断增加,信息安全职务将变得越来越有价值,行业竞争也日趋激烈。职业管理、职业发展和职业规划在决定未来发展道路上正变得越来越重要。本技术手册将为您介绍信息安全职业、信息安全人员职业规划、信息安全行业薪酬问题,以及信息安全人员的职业生涯抉择。我相信这不仅仅是针对信息安全人员的从业指南,IT界的工作者都可以借鉴。

  • 企业渗透测试指南

    正确执行的渗透测试是秘密的测试,其中由咨询人员或者内部人员扮演恶意攻击者,攻击系统的安全性。因为最终目的是渗透,这种测试不会发出警告,完全保密(当然,上层管理人员同意进行测试并且理解秘密的要求)。理想的是,应该没有来自企业的支持……或者,最大限度的是指出哪些是渗透测试团队应该避免的。在本指南中将全面介绍渗透测试和道德黑客,以及渗透测试的作用和执行方式,此外,希望本指南也能为想要成为渗透测试人员,也就是道德黑客的技术人员提供帮助。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】物联网(IoT)设备是最新一波直接连接到IP网络的设备,这也带来新的网络安全风险。

在过去,网络静态连接首先预留给有限数量的昂贵的计算机,随后网络连接开始提供给企业、用户家中、移动设备,现在开始连接到大量IoT设备。

过去大量资源专门用于连接计算机到静态网络,但在物联网时代,这些资源已经减少。而专用于连接这些设备到网络的资源减少造成更少的资源来防止IoT安全威胁。

如果企业还没有受到IoT攻击,这应该是企业计划要处理的事情。IoT攻击最终将会到来,所以企业要学会在为时已晚之前如何最有效地防止或低于它们。

日益增加的IoT安全威胁


如果制造商和工程师第一次添加新的技术功能来连接其设备到互联网,但还没有学习到前辈开发人员的惨痛教训,那么,他们在设计产品时将不可避免地犯同样的错误—例如假定网络是可信,而没有为安全事故做计划。

虽然企业很难阻止因设备制造问题而导致的安全风险,但企业可以评估软件开发做法,以了解信息安全是如何整合到制造商的软件开发过程。如果制造商外包了设备联网的部分工作,这可能是一个好迹象,因为这意味着经验丰富的软件开发人员正在帮助制造商部署正确的开发做法。

同样需要注意的是,IoT设备与其他联网设备一样面临着相同的攻击,例如拒绝服务攻击或者使用默认账号和默认密码,企业可能已经遇到过这样的问题。尽管IoT设备的攻击面比传统桌面或服务器要小,但当考虑到IoT设备的数量时,即使是很小的安全问题都可能带来严重影响,这很像过去连接到互联网的打印机或SCADA设备遇到的问题。

Akamai Technologies公司最近披露了重大IoT攻击事件,该公司研究人员报告称拒绝服务(DDoS)攻击开始利用不安全的IoT设备配置。更具体地讲,攻击者发现可滥用简单服务发现协议(SSDP)来放大恶意响应到伪造的IP流量以加入DDoS攻击。研究人员指出,攻击者通过扫描来瞄准网络范围,并发送SSDP搜索请求来确定IoT设备;然后响应流量发送到目标网络作为DDoS攻击的一部分。

如何抵御IoT安全威胁?


一方面,企业应该确保SSDP的安全使用。SSDP使用应该限于特定网络以及速率限制,以最大限度地减少在攻击中可产生的流量。企业可能还需要扫描其网络(类似于Shadowserver Project扫描互联网)以寻找不安全配置的设备,如果发现这种设备,SSDP应该要被禁用或者限制在受批准的网络。该设备可能还需要操作系统或软件更新来修复任何SSDP漏洞。

在另一方面,企业还必须知道如何抵御基本的DDoS攻击,企业需要在开发过程中或者生产环境中做好DDoS抵御计划。

然而,抵御IoT相关的DDoS攻击还需要额外的步骤。首先,强大的互联网外围保护必须只允许受批准的入站网络连接。如果IoT设备不能直接通过互联网来连接,那么,攻击者更难以让它们参与DDoS攻击。如果IoT设备需要通过互联网来直接访问,它应该分隔在其自己的网络,并有网络访问限制。这个网络分段应该受到监控以发现潜在的恶意流量,当出现问题时,应立即采取行动。

企业可以通过常规资产管理或漏洞扫描来检测其网络中的IoT设备。任何不匹配已知企业设备配置文件的新设备都应该被隔离,并将其流量重定向到注册门户网站或者网络管理系统,以自动检查设备的安全性。这也可能让这些设备部署在自己的网络段。

IoT设备开发人员应该投入更多资源来确保安全性,这包括在设备设计和配置中考虑更多安全性,因为这可能确保从供应商发货的设备在默认情况下的安全性,并可能完全避免IoT DDoS安全问题。然而,对于开发人员来说,便利性、可用性和速度通常是比安全更重要的因素,实现这一目标就像是一场白日梦。

企业和互联网服务提供商还倡导部署互联网工程任务组的Best Current Practice 38,BCP 38专门用于减少欺骗性IP流量,这可以帮助防止不知情的设备参与DDoS攻击。如果攻击者不能发送伪造流量到设备,那么,设备就不能发送网络流量用于DDoS攻击。

IoT安全威胁的未来发展


物联网给企业和个人提供了巨大的优势,并且,物联网的发展不太可能受到安全问题的影响,例如本文中所讨论的安全问题。

很多通过IoT连接到网络的设备并没有使用传统技术来实现网络连接。对于这些新设备,应该会带来新的默认安全设计,以及在默认安全的操作系统的顶部建立配置,其中,只有设备的核心操作功能会启用并受到保护。新的和现有的开发人员应该在设计设备时解决这些安全挑战,以防止未来的安全事故。

不过,在实现这一点之前,用户和企业需要采取必要的预防措施和适当的控制来减少潜在的IoT安全威胁。