2016年,我们看到一些首次以物联网为推力的网络攻击,其中包括10月份造成互联网大面积瘫痪的一次攻击。随着我们步入新的一年,安全将会成为年轻物联网产业的尖锐问题,而物联网安全专家的缺乏也使得跟上黑客的步伐变得很难。
1.嵌入式安全终将得到认真对待
尽管嵌入式安全话题经常突然出现,然而口头上对这个概念进行敷衍远比实际上将安全植入硬件之中要容易得多。新思科技安全战略官罗伯特·瓦摩西说道:“情况正在改变”。“那些体积太小而无法容纳自身安全的设备将会经受以固件测试为起点的深入安全分析。”他说到。“芯片内部的软件与控制它的应用一样重要。它们都需要进行安全和质量测试。一些早期的物联网僵尸网络就是利用设备自身的缺陷和特点进行攻击的”。
2.对网络供应链进行检查将会成为一项重点
第三方软件层出不穷但往往未经受过充分检验。“一些早期的物联网僵尸网络就是利用了设备内部第三方芯片里的缺陷和特点。” 罗伯特·瓦摩西说到。“搞清楚每个芯片之中软件组件的材料清单将变得很重要,因为物联网供应商往往希望能使自己避免昂贵的召回”。
3.以物联网为推力的分布式拒绝服务攻击仍将是个问题
当前,对于防止遭受10月份植入大多数互联网的Mirai僵尸网络等分布式拒绝服务攻击仍然是无计可施。然而,如果这一问题果真发生,互联网用户将会在安全与隐私担忧方面承担不同后果。信息安全大会顾问委员会委员托德.英斯基普说到。“长期来说,我们可能会考虑所有互联网启动设备的安全需求,但是这要与它自身的系列问题一起进行:是何种需求,由谁来验证符合性。这可能会引发不同区域和国家在安全考虑方面的冲突”,英斯基普说到。“在假定所有参与者至少在最初都是自私的这一情形下,互联网设计的目的是具备开放和富有弹性。相反,我们会继续寻找具有恶意企图的个人、组织和民族国家。”
与此同时,公司和个人也可以采取相应措施来减少僵尸网络的威力。根据袋熊安全公司首席技术官特雷弗.霍索恩的说法,人们可以采取三大步骤来避免僵尸网络问题。首先,杜绝将物联网设备暴露在开放的互联网之中。“这可能是最重要的考量”他说到。其次,确保物联网设备不断更新。再次,改变所有设备上的初始密码。
4.拥有物联网项目的公司将学会像黑客一样思考
1993年,《周六夜现场》上演了一部滑稽剧,嘲弄汽车产业仅仅依靠警报和方向盘锁来保护汽车的策略。
“在九十年代,你不再需要一辆汽车来告诉世人你多富有。但是你的确需要一辆汽车来告诉世人你很聪明。”答案是一辆Chameleon XLE(变色龙XLE)汽车,它外面看起来一文不值但是内部却装饰豪华并且引擎盖下面有一个超强的发动机。“一个偷车贼看一眼它后,然后继续靠右向前走”嘲弄台词这样解释到。
尽管是一个玩笑,《周六夜现场》滑稽剧告诉我们要像罪犯一样思考。网络罪犯和偷车贼往往都会被那些有价值但却能轻易闯入的目标所吸引。拥有物联网设备的机构不仅仅应该将精力放在确保产品安全上,而且还要明白黑客一开始为何关注它们的产品,同时必须明白要采取何种措施才能使这些设备不再成为黑客关注的目标。
在技术领域,许多人一直在与安全问题做斗争,即使同样的基本威胁持续了几十年。“物联网威胁从根本上来说就是我们最近20来年一直设法处理的同类威胁:不怀好意的参与者(个人、组织和民族国家)试图通过破坏数据及服务的机密性、完整性和有效性来抢占优势”,信息安全大会顾问委员会委员托德.英斯基普说到。
然而,当提到信息和服务时,物联网设备的确开辟了新领域。“这些新的设备可以处理各种信息并且比之前的设备更能影响现实生活”,英斯基普说到。“处于生产线之中的物联网设备一旦紊乱可能会使搅拌的化学品比例失调。家中的物联网设备被侵入时有可能打开房门,或者公司内部的视频可能会让外部的人分享。尽管这些威胁是一样的,但是风险可能迥然不同”。
5.招募物联网安全人才依然艰难
整个技术行业的安全专家仍然是供不应求。物联网产业也不例外,信息安全大会顾问委员会委员托德.英斯基普说到。“对所有行业来说,招聘到安全人才的确是一项挑战,”袋熊安全首席技术官特雷弗.霍索恩也赞同到。
“资金充裕和知名的供应商在这方面将会容易一些。问题是洪水般涌来的小而廉价的产品往往都是由离岸制造商生产的,这些制造商们的安全追踪记录令人堪忧。正如我们看到的那样,离岸物联网设备制造商一开始并未重视安全工作,所以如果它们需要招募人才,将会困难重重。”
同时,产品安全行业也会充分利用现有的安全模型。“我们已经看到一种新型的安全人才已经涌现—首席产品安全官,以及他们的支持人员,产品安全官和产品安全工程师。但是这些角色中的人都会说他们是独一无二的”。英斯基普说到。与这些专业人员有关的需求文件有很多种,其中包括用于硬件的美国国家标准与技术研究所的联邦信息处理标准—140和用于软件及系统的全球通用的共同准则。另一个例子则是更加注重软件的建立安全成熟度模型。
6.态势感知将成为一个更大的安全目标
可以预测到未来数以亿计的物联网设备将会覆盖整个星球,而跟踪何种设备应置于何处至关重要。“随着物联网设备被部署在IPv4网络里,这些机构们应该能够扫描或者‘看到’其网络中部署了何种物联网设备。”袋熊安全首席技术官特雷弗.霍索恩说到。“有了IPv6,众多IPv6地址的存在可能很难扫描到边界。这些机构可能需要将注意力放在其它的模型上,从而保持对所拥有的和所暴露设备的控制。”
本文转自d1net(转载)