在為時已晚前 阻止物聯網安全威脅和攻擊

物聯網（IoT）裝置是最新一波直接連接配接到IP網絡的裝置，這也帶來新的網絡安全風險。

在過去，網絡靜态連接配接首先預留給有限數量的昂貴的計算機，随後網絡連接配接開始提供給企業、使用者家中、移動裝置，現在開始連接配接到大量IoT裝置。

過去大量資源專門用于連接配接計算機到靜态網絡，但在物聯網時代，這些資源已經減少。而專用于連接配接這些裝置到網絡的資源減少造成更少的資源來防止IoT安全威脅。

如果企業還沒有受到IoT攻擊，這應該是企業計劃要處理的事情。IoT攻擊最終将會到來，是以企業要學會在為時已晚之前如何最有效地防止或低于它們。

日益增加的IoT安全威脅

如果制造商和工程師第一次添加新的技術功能來連接配接其裝置到網際網路，但還沒有學習到前輩開發人員的慘痛教訓，那麼，他們在設計産品時将不可避免地犯同樣的錯誤—例如假定網絡是可信，而沒有為安全事故做計劃。

雖然企業很難阻止因裝置制造問題而導緻的安全風險，但企業可以評估軟體開發做法，以了解資訊安全是如何整合到制造商的軟體開發過程。如果制造商外包了裝置聯網的部分工作，這可能是一個好迹象，因為這意味着經驗豐富的軟體開發人員正在幫助制造商部署正确的開發做法。

同樣需要注意的是，IoT裝置與其他聯網裝置一樣面臨着相同的攻擊，例如拒絕服務攻擊或者使用預設賬号和預設密碼，企業可能已經遇到過這樣的問題。盡管IoT裝置的攻擊面比傳統桌面或伺服器要小，但當考慮到IoT裝置的數量時，即使是很小的安全問題都可能帶來嚴重影響，這很像過去連接配接到網際網路的列印機或SCADA裝置遇到的問題。

Akamai Technologies公司最近披露了重大IoT攻擊事件，該公司研究人員報告稱拒絕服務（DDoS）攻擊開始利用不安全的IoT裝置配置。更具體地講，攻擊者發現可濫用簡單服務發現協定（SSDP）來放大惡意響應到僞造的IP流量以加入DDoS攻擊。研究人員指出，攻擊者通過掃描來瞄準網絡範圍，并發送SSDP搜尋請求來确定IoT裝置；然後響應流量發送到目标網絡作為DDoS攻擊的一部分。

如何抵禦IoT安全威脅？

一方面，企業應該確定SSDP的安全使用。SSDP使用應該限于特定網絡以及速率限制，以最大限度地減少在攻擊中可産生的流量。企業可能還需要掃描其網絡（類似于Shadowserver Project掃描網際網路）以尋找不安全配置的裝置，如果發現這種裝置，SSDP應該要被禁用或者限制在受準許的網絡。該裝置可能還需要作業系統或軟體更新來修複任何SSDP漏洞。

在另一方面，企業還必須知道如何抵禦基本的DDoS攻擊，企業需要在開發過程中或者生産環境中做好DDoS抵禦計劃。

然而，抵禦IoT相關的DDoS攻擊還需要額外的步驟。首先，強大的網際網路外圍保護必須隻允許受準許的入站網絡連接配接。如果IoT裝置不能直接通過網際網路來連接配接，那麼，攻擊者更難以讓它們參與DDoS攻擊。如果IoT裝置需要通過網際網路來直接通路，它應該分隔在其自己的網絡，并有網絡通路限制。這個網絡分段應該受到監控以發現潛在的惡意流量，當出現問題時，應立即采取行動。

企業可以通過正常資産管理或漏洞掃描來檢測其網絡中的IoT裝置。任何不比對已知企業裝置配置檔案的新裝置都應該被隔離，并将其流量重定向到注冊門戶網站或者網絡管理系統，以自動檢查裝置的安全性。這也可能讓這些裝置部署在自己的網絡段。

IoT裝置開發人員應該投入更多資源來確定安全性，這包括在裝置設計和配置中考慮更多安全性，因為這可能確定從供應商發貨的裝置在預設情況下的安全性，并可能完全避免IoT DDoS安全問題。然而，對于開發人員來說，便利性、可用性和速度通常是比安全更重要的因素，實作這一目标就像是一場白日夢。

企業和網際網路服務提供商還倡導部署網際網路工程任務組的Best Current Practice 38，BCP 38專門用于減少欺騙性IP流量，這可以幫助防止不知情的裝置參與DDoS攻擊。如果攻擊者不能發送僞造流量到裝置，那麼，裝置就不能發送網絡流量用于DDoS攻擊。

IoT安全威脅的未來發展

物聯網給企業和個人提供了巨大的優勢，并且，物聯網的發展不太可能受到安全問題的影響，例如本文中所讨論的安全問題。

很多通過IoT連接配接到網絡的裝置并沒有使用傳統技術來實作網絡連接配接。對于這些新裝置，應該會帶來新的預設安全設計，以及在預設安全的作業系統的頂部建立配置，其中，隻有裝置的核心操作功能會啟用并受到保護。新的和現有的開發人員應該在設計裝置時解決這些安全挑戰，以防止未來的安全事故。

不過，在實作這一點之前，使用者和企業需要采取必要的預防措施和适當的控制來減少潛在的IoT安全威脅。

原文釋出時間為：2015年08月31日

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。