我从防御我的手机和平板电脑都完好无损,但很高兴我没有带灯泡。你看,如果我带了一个灯泡,这个灯泡是一个运行Linux的智能LED灯泡,它现在可能运行的是别人的软件。
目前,有数百家公司以最快的速度生产“物联网”(IoT)设备。将这些设备组装在一起的人通常预算有限,对这些组件的全部潜力不完全了解,也很少关注安全性。
迄今为止的结果是,数以百万计的设备在进入市场时都具备了克林顿时代的网络、网络和物理安全性。今天,我们看到物联网设备,甚至医疗设备,都搭载了以下设备:
- 默认密码,如“1234”
- 易受攻击的服务,如“telnet”已启用
- 依赖(容易欺骗的)HTTP调用的固件更新
- 允许用户轻松绕过身份验证的web应用程序
- …和other vulnerabilities that we (as a security community) thought we addressed more than a decade ago.
有人来帮忙吗?
一些公司和社区已经开始意识到许多物联网设备对他们的安全和隐私造成威胁,但大多数仍然没有。然而,有一些组织有勇气和远见逆流而上,不安全的物联网设备。
- 对于开发者和物联网供应商,有一个“前10大物联网漏洞现在可以从OWASP(该组织之前给你带来了“十大网络漏洞”列表)和一个名为“BuiltItSecure.ly这篇文章探究了几种流行的物联网平台上的安全最佳实践。
- 对于消费者和企业,组织如物联网安全实验室承诺根据设备的“可攻击性”列出和评级,让人们在购买不安全的设备之前做出明智的决定。
但是这如何影响已建立的安全实践呢?
作为一名关注安全性的IT专业人员,您可能已经熟悉了几个安全最佳实践,每个实践都在高价值环境中实际使用了数百万年。其中三个安全最佳实践包括:
- 把你的内部资源放在一个好的防火墙后面
- 将您的internet通信应用程序放在DMZ中,代理您的出站web通信并转发您的电子邮件
- 集中凭证管理和使用共享认证服务(即“单点登录”或“统一登录”)
物联网技术的一个流行特征就是它是一种“颠覆性”技术。通常情况下,当你听到这个词的时候,它的意思是它会威胁到一家老牌公司的市场份额,或者它可能会取代用于类似目的的另一种应用程序。但当“颠覆性”应用于物联网时,也意味着物联网威胁到一些已经确立的安全实践。考虑到这一点,以下是三种正受到物联网威胁的安全最佳实践:
物联网vs.防火墙后的内部资源
我们在家庭和企业中看到的最常见的网络拓扑是这样的:
- 互联网-防火墙-内部网络
…的地方:
- 互联网上的所有设备都是不可信的,并且被阻止与互联网连接。
- 内部网络上的所有设备都允许使用像SMB这样的“内部”协议一起交谈。
这是可行的,但前提是内部网络上的所有设备都可以相互通信,或者至少受到其他良好安全措施的保护,比如定期打补丁和使用防病毒软件。
“BYOD”(“自备设备”——真的主要是智能手机和平板电脑)运动始于2010年第一个手榴弹落进这个有序的世界,和导致许多企业(和一些消费者)来构建一个单独的“客人”或“移动”网络设备员工、合作伙伴和承包商带入家庭或办公室。如今,物联网设备有可能彻底颠覆这一模式。
许多人出于商业目的安装物联网设备(如安全摄像头),并期望它们能随时在互联网上可用。另一些人则安装新设备(如智能电视、厨房电器和灯泡),而不指望他们有任何计算能力或需要与任何其他东西交谈。各种各样的意图和业务目的可能很快导致内部网络环境混乱,在这种环境中,廉价的、容易被入侵的设备可能与核心存储和数据库服务器共享信号。
这个问题的解决方案是以网络分割的形式存在的(按商业目的和设备类别),但是在一个商业校园中始终如一地部署单独的电缆和无线接入点可能会使许多公司感到成本高昂。
当人们在错误的网络上安装错误的设备时,成本驱动的妥协和常见的错误意味着不受信任的物联网设备将继续通过内部网络访问关键数据。然而,疲弱的市场细分所带来的大量曝光,让我看到了“把互联网资源放在防火墙后面”的过时做法可能很快就会成为过去。
物联网vs. dmz,网络代理和电子邮件中继
在较大的组织中,使用DMZ网络段隔离出站流量发送器是公认的最佳实践,包括所有内部发起的web流量的web代理和所有内部组成的电子邮件消息的电子邮件中继。物联网设备在几个方面打破了这种模式。
- 物联网设备几乎从不安装在DMZ段中,因此典型的DMZ防火墙规则不提供保护。
- 一些物联网设备不支持web代理配置,因此人们被迫放弃他们的设备或为它们设置web代理异常。
- 一些物联网设备可以使用蜂窝网络服务来“拨出”更新和新信息,从而使DMZ和所有其他防火墙规则失效。
- 与本地发送电子邮件警报和信息不同,一些物联网设备“打电话回家”(连接到网络服务),并使用它们的home服务通过互联网将电子邮件发送回安装程序的电子邮件帐户。
为了防止挑战已建立的DMZ、代理和中继实践的行为,设备能力必须在购买之前进行研究。具体来说,您需要知道您的物联网设备是否:
- 需要使用web服务连接到Internet。
〇如果有,它是否支持一个配置好的网络代理。(如果没有,那就避免。)
- 连接到蜂窝网络以获取互联网服务或短信。(如果它使用手机服务,请小心地让它连接到你的互联网网络。)
- 发送电子邮件警报或其他信息。
〇如果是,这些信息是本地发送的还是通过供应商的远程服务通过互联网发送的。(如果邮件不敏感,两种情况都可以;否则,最好使用内部系统。)
物联网vs.集中式凭证管理和共享认证服务
建立在共享身份验证服务(如Active Directory)之上的集中式凭据管理的发展一直是系统体系结构的核心原则。网络安全也从中受益,因为可以从中央控制台迅速取消对多个系统的访问,而且当用户可以在多个系统上使用相同的凭据时,他们更不愿意透露“即时贴”密码。
早期的云服务对中央管理提出了直接挑战,但是这种挑战在很大程度上被支持“外部身份验证”的云服务(如Active Directory代理或SAML)击退。BYOD运动也对这一原则提出了挑战,但由于需要使用通用凭证才能访问电子邮件、IM和文件服务器,因此被击败了。
现在,物联网设备(大多数只允许本地用户管理)和相关的物联网管理系统(通常也只允许本地用户管理)对集中式凭证管理提出了类似的挑战。
面向企业的云服务最终陷入困境,因为它们的“免费增值”商业战略要求企业客户购买高级服务,而企业需要与本地认证系统集成。然而,物联网设备是否会面临同样的压力,特别是在厨房电器、灯泡和安全摄像头等领域,很多潜在买家都是家庭消费者(他们不重视集中认证),还有待观察。
与此同时,值得寻找支持Active Directory、SAML、RADIUS和其他成熟的“外部身份验证”方法的设备和管理控制台,这些方法允许您在现有系统中控制对物联网功能的访问
结论:三种安全措施受到物联网的冲击,但只有一种会被废除
正如我们所看到的,物联网设备将破坏三种完善的安全实践,但只有一种可能永远落入历史的垃圾堆。
- 震动但安全:使用dmz,网络代理和电子邮件中继。
- 动摇,但最终应该是安全的:使用中央凭证管理。
- 摇摇欲坠:使用防火墙后的一个大型内部网络。
尽管如此,在购买任何物联网设备之前,对其安全属性和集成点进行研究是值得的。如果没有某些关键特性(如web代理支持和外部身份验证),支持物联网设备所需的工作区可能最终会破坏网络的安全性。
这篇文章“物联网将破坏的三种安全实践”最初发表于方案 。