物联网 (Internet of Things, IoT) 的应用越来越普及,但相关的安全防护措施仍相当缺乏。趋势科技表示,物联网有四大特点:24 小时联网、安全防护脆弱、Botnet 攻击成本低,以及安全责任归属难厘清,成为黑客攻击的好目标。
2016 年 10 月 21 日时,Dyn 公司的 DNS 服务遭到 Mirai 恶意软件带领的 Botnet 大军攻击,导致数个大型网站如 Github、Twitter、Netflix、Reddit 服务受到影响。其中被感染受到 Mirai 控制的殭尸装置,绝大部分是物联网装置。
据趋势科技统计,全球已经有 49.3 万台物联网装置受到感染,5 亿个 IP 地址被恶意操控要求域名服务器进行 DNS 解析,超过 75 个重要网站受到影响,其中包括 Mirai 发动的 DDoS 攻击。
IDC 亚太地区安全副总裁 Simon Piff 建议物联网生产商应改变生产产品之后就结束产品生命周期的作法,而是改变商业模式,导入订阅制模式,持续提供用户服务,以便负起产品的安全防护责任。业者应避免大量生产却无后续维护的物联网产品,成为 Botnet 下手的好目标。
对于企业的 CIO 来说,IDC 的 IT 安全成熟度报告发现,2017 年亚太区除日本以外,仍有八成以上的企业安全防护成熟度低落。企业需认知在连网状态下没有 100% 的安全,要以风险管理角度来管理公司的安全风险。
趋势科技台湾区暨香港区总经理洪伟淦谈到趋势科技持续加强安全防护,邀请安全专家担任红军,找出趋势科技产品的漏洞。近年来趋势科技则以公司内部成员组成红军,持续的找寻产品漏洞,透过不断演练加强产品的安全性。
趋势科技针对物联网的安全风险,提出四大安全建议:
1、公共安全:城市内重要的水或电力等资源供应可能成为黑客目标,或是智能交通运输系统也可能因为黑客入侵导致重大车祸事故。
2、经济损失:企业及家庭等重要连网管理系统或装置可能遭黑客植入恶意软件并索取钱财。
3、营运中断:黑客入侵并操纵企业及组织重要系统,使其沟通或运行中断。
4、资料外泄:黑客截断沟通系统以截取居民或用户重要个人信息。
本文转自d1net(转载)