物联网的安全威胁及其如何处理

现如今,会议室的智能电视、智能化的加热和空调系统、互联网连接的电灯、智能设备控制的生产过程、智能手表和健身器材几乎可以说是无处不在。

而这些还仅仅只是现在企业物联网(IoT)的非常小的一部分。在更大的部分,几乎所有的物理对象都能够被智能化的连接到网络。当然,企业在享受到物联网所带来的便捷的同时,也要警惕黑客攻击和数据泄露。

今年七月,物联网的安全问题曾经引起过人们的深切关注。彼时,两名黑客远程控制了一辆大切诺基,使其在高速公路上以每小时70英里的速度行驶。他们通过无线控制雨刷的开启和关闭,把空调开到最大,并在行驶过程中切换到一个不同的电台广播,然后禁用传输功能,所以这辆吉普车行至州际公路时放缓了速度。

这两名黑客是为了宣传汽车所面临的物联网所带来的安全风险,而其也的确产生了效果——最终导致140万辆汽车被召回,不得不针对他们的系统打补丁。

不幸的是,面临物联网所带来的安全问题,大部分企业并不能仅仅通过召回汽车和修补他们的计算系统就能够轻易解决的。企业当前所面临的最大问题是:鉴于物联网设备已经在整个企业范围内得到广泛的使用和传播,企业的生产环境到底有多安全?而通过这些物联网设备来入侵企业网络有多容易?企业如何保护自身的安全?

在这篇文章中,我们将与大家分析有物联网所带来的相关安全风险,并确定哪些安全风险是最为重要的,以及如何防范提供一些针对性的建议。

物联网安全问题是否真的存在?

让我们从最基本的问题开始:企业当前正面临怎样的物联网相关的风险?

OpenDNS安全实验室安全研究部门高级总监Andrew Hay说:“我们所观察到的最大问题是,对于面向消费者的网络摄像头和智能电视设备,当期在被厂商制造时,确实是进行了安全测试的,但只有当运行在一个非关键性的环境。他们没有针对企业级的安全进行测试。这是相当令人震惊的,因为在现如今的企业中,这些设备越来越被频繁的用于访问企业网络。他们能连接到企业网络,但企业只是像玩具一样对待他们。并没有像针对其他移动设备一样实施相同的安全BYOD管理策略。只被认为是一些玩具和小玩意儿。”

安全公司Bastille的创始人和首席执行官克里斯·鲁兰补充说,通常情况下,企业甚至没有针对在他们的办公室和设施中使用的所有无线设备进行跟踪记录。

“我敢肯定,每家企业在他们的办公环境中都有无线发射器,但他们却并没有意识到,这是相当不安全的。”他说。“问题就在于,对于物联网设备而言,目前还没有发生类似于1999年的梅丽莎病毒(Melissa virus)这样的分水岭事件。”在那一年,梅丽莎病毒的传播是如此广泛——包括微软和英特尔网络都惨遭不幸——其提高了人们对于保护企业计算机和网络,免受病毒侵害的重要性的意识。

两种类型的物联网危险

在一般情况下,企业面临着两种主要的物联网威胁——通过物联网设备所带来的专门针对企业的威胁,以及那些主要针对消费者的威胁。您可能会想到,消费类设备所构成的危险比那些专门针对企业的威胁更大。但许多安全专家表示说,情况并非如此。

思科安全业务部门产品营销经理Marc Blackmer解释说,“现如今,围绕着诸如Nest恒温器或智能电视可能成为企业​​的安全隐患有太多太多的炒作了。”但更大的问题则是由企业级的物联网设备的复杂性,及企业对于这些危险性的不完全的理解所带来的。他认为:“我们太过关注于我们的冰箱在做什么。这可能使得我们可能会忽略了这样一个事实,即目前的企业网络中更多的路由协议。您甚至可以通过智能手机来自管理企业设备。”

为此,他列举了2008年在土耳其的一个石油管道被攻击的例子。该石油管道是通过IP连接的网络监控摄像头所监控的,旨在保护管道设施。但具有讽刺意味的是,攻击者利用摄像头的漏洞闯入网络,控制了石油管道。然后他们植入恶意软件并远程获得控制器在管道阀门站的控制权。之后,他们通过改变石油压力炸毁了管道。他们还远程关闭了管道的应急系统,使管道的业主没有立即意识到被攻击。

另一个严重的问题是由外部承包商连接到企业网络,但其并不具备与企业相同的安全系统和规则所导致的。他们的设备可能不安全,可能会对企业网络造成安全风险。

比利里奥斯,云安全公司Qualys的威胁情报总监比利·里奥斯告诉《纽约时报》的记者说,“远程访问这些(企业)系统是很常见的,而集成商几乎总是在企业网络上。”由Qualys 公司所进行的一项研究发现,有55000个采暖,通风,空调(HVAC)系统连接到互联网。而在大多数情况下,这些系统包含了基本的安全漏洞,可能使得攻击者能够很容易的进入企业网络。该公司表示。

约翰·佩斯卡托是一名安全专家,拥有漫长的职业生涯,曾就职于美国国家安全局和GTE,现在是SANS研究所新兴安全趋势主管。他表示,企业一般擅长管理电脑,移动设备和用户级交换机的威胁——而这些通常被认为是IT部门的传统领域。但是,当非IT设备和系统连接到他们的网络时,他们就有问题了。

“一家企业搬迁到了一幢新的建筑,而且空调系统、电梯以及摄像机却仍在原来的同一个网络上,这些东西不一定是被保护的。如果您企业甚至无法检测您自己的网络,那么您甚至都无法保护自己。”

来自消费者物联网的威胁

上述所有这一切并不意味着消费者的物联网设备并不对企业网络构成威胁。他们同样也会构成安全威胁。有安全专家警告说,诸如电视机,照相机,可穿戴设备等智能设备的大量泛滥,更会对许多企业网络造成严重的安全漏洞。

或许,针对这方面的安全威胁最广泛全面的研究是由OpenDNS完成的。其题为《2015年企业物联网》的报告分析了超过160个国家的约5000万名个人和企业用户的网络流量,其调查结果令人担忧。研究发现,“在美国,亚洲和欧洲的消费设备,如Dropcam网络视频摄像头、Fitbit穿戴式健身器材、西数公司的‘我的云’存储设备、各种连接的医疗设备以及三星的智能电视都无时无刻不连接到服务器——即使在不使用时也是如此。” 调查发现,智能电视似乎是通过不可信的安全证书与现有的基础设施连接沟通的,而这种连接无疑是为大量知名的网络攻击打开了传播途径。

OpenDNS还发现了其他安全威胁,包括物联网基础设施与连接其的设备进行通信很容易受到攻击,这包括“Heartbleed”安全漏洞和FREAK。(有关该报告的更多细节,请参阅《两项调查显示物联网安全危险在企业中普遍存在》)

关于物联网的安全威胁,还有一个鲜为人知的方面。安全公司Pwnie Express的首席执行官保罗·佩吉特警告说:内置Wi-Fi功能的小型廉价可编程处理器可以在一家企业留下“武器”来攻击企业网络。VoCore便是这样的一个设备,用其制造商的话来形容就是:“一个具有Wi-Fi功能的硬币大小的Linux电脑”,其售价仅为20美元。一份Pwnie Express的题为《邪恶的物联网》的报告警告说,“只要稍稍具备一些如何正确利用其全部功能的相关知识,VoCore就可以被用来危及整个网络。而且,即使是没有经验的用户,也可以通过简单地将设备插入到以太网插孔,对网络防御造成相当大的安全漏洞。”

对物联网的安全建议

鉴于上述这一切,企业要如何处理物联网的安全威胁呢?如下是一些专家的建议。

找到您企业网络上的所有物联网设备并关闭。这是最简单的:您无法保护您根本不知道其存在的东西。找到所有连接到您企业网络的设备,这不仅包括传统的IT设备,而且还包括智能电视,恒温器,员工的可穿戴设备,等等。但是,这仅仅只是一个开始。您还需要寻找并未连接到您网络的Wi-Fi热点,如可能是员工自己设置的热点,以及诸如VoCore等设备。您企业还应该确定识别使用移动蜂窝数据的设备。

如果您企业没有能力这样做,有许多公司能够提供这方面的服务。OpenDNS可以帮助您企业跟踪网络活动及网络与这些网络活动相关的个人设备上。SysAid公司能够提供网络发现工具,帮助您找到网络上的所有设备。Pwnie Express和Bastille还能够帮助您发现在办公室的所有有线和无线设备,以及这些设备是否连接到网络。惠普和思科都提供多种安全服务,从发现网络上的设备开始,然后将其添加安全层。

检查网络身份验证和访问权限。哪些规则控制怎样的设备可以连接到您企业的网络,以及他们有什么样的访问权限?此前,在制定这些规则和访问权限时,并为考虑到物联网设备的因素,那么,现在是将眼光扩展到物联网领域,针对这些规则进行审视的一个很好的机会。例如,员工的智能手表是否被允许连接到企业网络,如果有,他们有什么样的访问权限?温控器呢?电灯泡呢?暖通空调设备呢?

锁定外部连接到您的网络。什么样的外部服务,网络和承包商能够连接到您的网络?您企业的暖通空调承包商是否有权限连接到您企业网络?您企业的设施部门与制造车间的连接状况如何?他们有很多的设备可能会导致问题。思科安全解决方案的安全实践经理马克·哈蒙德说,“一套全面的安全计划的一部分是对第三方风险和供应商风险的管理。了解企业所有的供应商,毕竟,您企业的相关数据是在这些企业之间传输,并且要让您企业的安全控制到位。” 因此企业必须进行详细的审查,加强网络安全连接,建立相关的规则,规定承包商是否可以访问您企业的网络,以及如何访问。

对所有物联网设备制定安全标准。SANS研究所的约翰·佩斯卡托建议说,从采购周期开始,您企业就需要考虑网络安全了。这适用于任何连接到企业网络的设备,而并不仅仅意味着IT设备。现在,除了有智能恒温器,已经有智能冰箱和智能灯泡了。因此,安全标准需要针对一切会进入企业的设备来设置。除非相关设备符合这些标准,否则就不应该被允许访问企业网络。

重新反思IT在安全中的作用。专家认为,在物联网世界中,企业需要做的最重要的事情之一是重新思考安全在整个企业的角色作用。一家企业通常都是按照职能所组织架构起来的,如设备部门负责采购和维护采暖和空调系统等设备;而生产部门则负责处理生产相关的设备,包括控制设备;而IT部门则负责电脑,BYOD设备以及网络。但在物联网的世界中,这可能会导致问题。

SysAid Technologies公司的首席执行官Sarah Lahav说,“今天,如果您想要购买电脑或者想要带上您自己的设备到公司,您需要与您企业的IT部门商量。但如果您是在设施部门,您想买一个温控器,您不应该向IT部门或公司的首席安全官打招呼。在物联网时代,这已经发生了改变。必须企业级的广泛的安全规则。”

不同的企业将以不同的方式来处理这些变化。有些企业可能会在IT部门的支持下,采用许多类型的设备,而其他企业可能会扩大首席安全官的作用,所以他们都会参与到对所有设备的采购和安全要求的制定中,而不仅仅只是IT部门。但无论如何,Lahav说,重组必须发生。

回归基本层面。思科公司的Marc Blackmer说,“从我的角度来看,您不能忘记的基本层面。人们担心,“冰箱智能化,我们该怎么办?”但是这一切其实都要归结为风险分析和风险管理。如果您真的把它分解到详细的具体是什么的层面,其只是设备的连接。对此,我们一直在处理,而且已经有很长一段时间了。解决方案是部署安全控制以减轻风险,然后重复循环该安全控制。如果您企业没有这方面的认识,那么物联网只是一个大的,可怕的空间,而您企业也只是在黑暗中摸索。”

作者:litao984lt编译

来源:51CTO

时间: 2024-09-21 00:24:44

物联网的安全威胁及其如何处理的相关文章

物联网的攻击威胁IT安全

多年来,安全专家一直警告物联网(IoT)存在着一定的危险.行业专家彼得·诸德格表示,IT安全状况已经开始改变,如今,这个预言已经成真. 直到现在,人们处理这种问题还是比较艰难的.人们已经了解了网络攻击的范围,并且防火墙和威胁检测等案例技术也在不断发展.而个人电脑和服务器是人们已知的技术,甚至云计算的到来,服务器整合,以及共享数据中心都不会产生巨大的差异. 随后而来的是物联网.如今,各种新设备正在连接到互联网,以获得控制和连接的好处.摄像机,录像机,游戏机和各种工业设备已经被授予访问Web服务的权

五招教你对抗物联网上常见威胁

该如何去对抗常见威胁以保护你的移动设备和宝贵的数据呢?我们列出五种网络犯罪分子可能对物联网进行的攻击,以及你可以做些什么来减轻这一风险. 风险: 1.监听攻击.这种攻击会用到监听程序(sniffer),窃听任何通过网络传送的未加密信息再加以窃取. 2.阻断服务攻击.网络犯罪分子利用这种攻击来封锁或阻慢对某些网络或设备的使用. 3.密钥沦陷攻击.在此类攻击中,用来加密通信的密钥被窃并用于解译加密过的资料. 4.基于密码的攻击.网络犯罪分子利用猜测或窃取密码这类攻击来入侵网络或连到特定网络的设备.

物联网安全威胁剧增 如何拓展移动化能力

随着物联网设备的普及,好莱坞大片中的黑客入侵情节渐渐成为一种事实,不管是家庭还是企业网络中分布着物联网设备,都将成为黑客军团下一波攻击的目标.在万物互联的时代,这类攻击的危害极大,除了个人隐私泄露.经济损失以外,个人的生命安全以及国家基础设施也都将受到威胁. 对此,启迪国信专家认为,各个行业都应从现在开始,分析弱点并重造产品的安全架构,携手布局物联网的健康生态系统,这关乎物联网能否存活并成功应用的未来. 万物互联时代会带来哪些新的网络安全威胁?业界专家认为,随着智能家居.智能穿戴等智能设备和移动

物联网大势所趋 路由器或成为威胁入口

随着科技的快速演进,物联网(The Internet of Things,IoT)再次兴起,人们身边越来越多的日常用品.终端设备被赋予了网络连接的能力.诸如汽车.电视机.电冰箱.加热系统等等,变得更加智能和可定制,但在安全方面的进展却依旧滞后.不仅如此,作为联网平台的家用路由器更可能演变为黑客进攻物联网设备的威胁入口. 路由器或成为攻击物联网设备的跳板 此前有调查显示,对于目前能够上网的家庭来说,有68%的家庭里有四个以上的终端设备连接到Wi-Fi网络,可是在路由器安全方面,其防护性能一直被设备

梆梆安全阚志刚:我们把大部分精力和财力都转向了物联网安全

近日,由信息安全与通信保密杂志社.中国电子科技网络信息安全有限公司主办.梆梆安全支持的<信息安全与通信保密>理事大会在北京召开.会上,中国工程院院士倪光南.中国电子科技网络信息安全有限公司董事长李成刚.信息安全与通信保密杂志社执行副社长唐莉,以及梆梆安全董事长阚志刚一起发布了<2016物联网安全白皮书>(以下简称"白皮书"). (图:白皮书发布仪式) 随着物联网的快速应用与发展,物联网技术在给我们的生活带来方便.快捷的同时,安全成为了物联网产业的尖锐问题.物联网

Fortinet2015年威胁预测:网络攻击范围更广、手段愈发复杂

随着2015年将至,Fortinet公司的网络安全威胁研究与响应实验室FortiGuard Labs 站在网络威胁感知方案提供商与骇客两个角度,对2015的网络威胁景观做一预测与分析.随着能够连接到网络的设备有增无减,网络犯罪们已经磨刀霍霍向着物联网.且还不断增强着逃逸技术的使用,大规模服务器方面的漏洞将被利用以获取经济上的利益与不法的交易. 全球范围内的业务与政府部门正在面临的问题是消费者与用户至关重要的个人信息保护. 站在黑客的角度里看2015年至关重要的趋势与网络安全威胁: Blastwa

欧盟物联网推动措施重点与趋势观察

一.前言:欧盟的物联网发展历程 尽管近期英国公投确定脱离欧盟,但过去6年以来,欧盟积极与会员国和第三国家发展物联网 (Internet of Things, IoT)科技,以及推动对未来的部署作业,期望建立一个以人为中心的欧洲物联网单一市场,并持续投资于创新的物联网生态系统.欧盟执委会于2009年,发表了"物联网行动计划(Internet of Things-An Action Plan for Europe )",提出了包括隐私及个资保护.信任和安全.标准化.研究开发.开放和创新.制

Fortinet Security Fabric 架构将安全保护扩展至物联网

本文讲的是 Fortinet Security Fabric 架构将安全保护扩展至物联网,Fortinet宣布扩展后的"Security Fabric"可以帮助企业防御呈指数级增长的物联网网络威胁.Fortinet 的"Security Fabric"架构能够提供可见.可控.弹性可集成的部署,有效防御日益普及的物联网设备带来的复杂攻击. Security Fabric 架构是防御源自物联网巨量攻击的关键 最近发生的物联网攻击事件表明,数以亿计的设备可以被轻松用作武器

Fortinet Security Fabric架构将安全保护扩展至物联网

Fortinet全球领先的高性能网络安全解决方案供应商今日宣布扩展后的'Security Fabric'可以帮助企业防御呈指数级增长的物联网网络威胁.Fortinet 的'Security Fabric'架构能够提供可见.可控.弹性可集成的部署,有效防御日益普及的物联网设备带来的复杂攻击. 'Security Fabric'架构是防御源自物联网巨量攻击的关键最近发生的物联网攻击事件表明,数以亿计的设备可以被轻松用作武器,扰乱数字经济乃至整个国家.由于许多物联网设备缺乏基本的安全特性和管理功能,更