物联网设备安全性值得警惕
酷科技(cokeji.com)编者按:上周五,美国本土遭遇了有史以来最大的一次网络攻击,美国境内网络一度出现大面积瘫痪,此次网络攻击被认为来自于大面积的物联网设备,这让人们将目光瞄向那些给我们日常生活带来便利的智能硬件,他们足够安全吗?随着万物互联趋势的推进,将会有越来越多的设备接入互联网,我们该如何保证他们的安全呢?本文转自FT中文网,原文标题
从你客厅里的数字录像机到你办公室里的安全摄像头,各种设备上的默认密码威胁着互联网的稳定,因为黑客得以建立起庞大的“物联网”设备网络,用流量来攻击网站。
上周五,对域名服务提供商Dyn的攻击使对Twitter、Spotify和《纽约时报》(New York Times)等热门网站的访问中断,凸显出数十亿只有很少或者没有网络安全保护的联网设备带来的风险。身份不明的黑客用叫做Mirai的恶意软件控制了数千万台设备,使这种攻击比一般的分布式拒绝服务攻击更强大、更难以抵御。
在通过智能手机控制住宅和办公楼(调整温度或者利用摄像头监测盗贼)的前景引起的兴奋之情中,许多没有多少网络安全经验的厂商把它们的设备连接到了互联网上。
监管机构还没有制定明确的规则,规定该如何保护这些联网设备,甚至连企业也逐渐发现,善意的供应商或者设备管理者也会因为增加联网设备不经意地造成企业网络的漏洞。
云安全公司Zscaler的首席信息安全官迈克尔•萨顿(Michael Sutton)表示,上周五的黑客攻击将成为硬件行业的一通“叫醒电话”。
“硬件业的安全落后于软件业十年,”他说,“Mirai的成功是因为有如此之多的网络摄像头、数字录像机等设备生产出来时附带的默认密码从未更改过。一次简单的互联网扫描就能识别出这些密码,让它们迅速陷入危险的境地。”
多年来,网络安全专家一直在告诉人们警惕“物联网”设备的风险,在他们的年度会议Def Con上公开展示引人注目的黑客攻击,展现出从联网汽车到胰岛素泵等一切事物都可能被入侵。但通常,很难看出为何网络犯罪者会把个人设备列为目标,除非是为了把一个人的行动暴露在公众视线下,或者是为了伤害某个政治人物。这次的黑客攻击表明,就算一个联网设备不一定会给设备所有者本人带来巨大威胁,这个设备也可以被恶意利用来攻击其他人。
研究公司Gartner预测,到2020年,世界上将有逾200亿台联网设备,消费者将在“物联网”上花费1.5万亿美元,而企业的花费几乎也将达到同一水平。Gartner预测,到2020年,超过四分之一对企业的攻击将涉及联网设备,但企业只会将10%的网络安全预算花在对此类攻击的防御上。
硅谷网络安全公司SentinelOne的安全策略主管杰里迈亚•格罗斯曼(Jeremiah Grossman)表示,“早就应该”对设备不安全问题投注更多注意力。他说,设备制造商应该迫使用户修改默认密码,将这作为设置流程的一步,并且发布安全更新,就像对个人电脑(PC)所做的那样。安装一个能够监控设备活动的代理,就会在这个设备被黑客吸收到“僵尸网络”之中时显示它“非常异常的”活动。
对该行业进行监管“几乎不可能”,格罗斯曼补充道,因为将设备连接到互联网的公司无法被归为任何一个类别:囊括了从智能电视制造商到医疗器械制造商等各类公司。
一些监管机构看到了潜在威胁,监督起搏器和其他医疗器械制造商的美国食品药品管理局(FDA)今年早些时候就医院和制造商该如何监控设备漏洞并运用更新发布了指导文件草案。
Shape Security首席技术官舒曼•高斯马宗德(Shuman Ghosemajumder)认同监管机构很难“解决问题”,因为黑客不断开发新手段使安全挑战不断变化。但他说,监管机构应该负起责任,制定“最低要求和规范”。
“整个行业应该做得更好。毫无疑问,对互联网连接带来新功能的兴奋之情推动了‘物联网’的发展,而安全问题被抛到了一边,”他说。
然而,他补充,像域名服务提供商Dyn(许多大公司都依赖Dyn来提供对它们网站的访问)这样的潜在目标也需要提高它们的安全水平,更好地抵御不断扩大的僵尸网络。
Dyn上周六发布博文称,正在警惕进一步的攻击,并正与执法机构和其他方面合作,调查此次攻击的幕后黑手。“这类攻击的数量和类型、持续时间和规模,以及复杂性,都在上升,”首席策略官凯尔•约克(Kyle York)说。
约克说,因为依赖于Dyn服务的客户,Dyn通常是“互联网的第一响应者”。但随着互联网规模扩大,将恒温器、灯泡和婴儿监视器都连接进来,请“医务人员”救急却变得更加困难了。