成千上万的互联网连接设备的是正在酝酿中的安全灾难

我们与许多技术专家讨论了物联网世界的安全状况，找出了好的、坏的和非常丑陋的东西。

过去几周已经看到一些最大的DDoS攻击有记录以来，他们从一些奇怪的地方来了。一位法国的虚拟主机是由僵尸网络中的一部分，由流量激增打砍死数字视频录像机，它似乎在同一组可能我 - 我简要地敲KrebsOnSecurity下线以及。

被黑的摄像头是物联网设备的一个完美例子:一个可以上网的小装置，开箱即用，然后就被遗忘了——这让它成为了黑客的一个诱人目标。

第一个问题：很多物联网设备，如那些摄像头，是面向消费者的，这意味着它们的车主没有安全意识的IT部门。“个人没有一个大公司的购买力，”约翰Dickson说，principal的牛仔集团“所以他们不能要求安全功能或隐私保护，一个产品或软件供应商的大公司能。”

PC进站网络安全多迪格伦副总裁指出，很多物联网的购买者忽视了基本的安全措施，未能从默认明显更改密码。即使他们确实想保护他们的设备，是有限制的，他们可以做什么：“你不能与防病毒应用程序保护这些设备。”

因为物联网是一个新领域，它由那些与关键任务服务器制造商心态不同的公司主导，这可能意味着麻烦。“智能设备的创造者往往是小型初创企业，”他说KeepSolidCTO Vasyl Diakonov说，“他们没有资源和知识来建立复杂的安全系统。”

奔德信，在安全解决方案总监Radware的，具体来说就是软件端等式。“这其中最具挑战性的方面，”他说，“是许多物联网设备是由软件开发新手组织制造的，它们可能有更脆弱的代码和不成熟的补丁管理流程。”

安全威胁是一个不断变化的目标，在物联网世界里，跟上这种威胁的能力是罕见的——而这需要改变。“我们知道，在所有主要的桌面和服务器产品中，操作系统漏洞不断被发现，而像微软这样的供应商每月都会发布补丁，”微软的研究主管德拉尔·海兰德(Deral Heiland)说Rapid7。“那么，为什么我们不应该期望与物联网产品相同的问题？解决的办法是期待物联网技术的供应商实施补丁的解决方案，使我们能够有效地识别和快速修补他们的产品，就像厂商做当前操作系统的产品。”

但在某些方面，软件更新只能做到这么多。“许多物联网设备的显著特点是它们的计算能力非常有限，”麻省理工学院(mit)首席科学家约翰•麦切纳(John Michener)指出甜瓜安全。“因此，他们经常缺乏辅助处理功能，以使高性能模块化数学（使用RSA和ECC加密）或AES加速电路（由AES密码算法中使用）”。如果无法获得该加密，一些商店转向预共享基于密钥的安全性，但是，作为米切纳指出，“这种方式需要执行机构要么有一个经典的密钥分配中心来处理所有的物联网设备的PSK密钥（一显著操作任务）或使用共享PSK密钥，这使得整个部署容易受到折衷如果单个设备受到损害。”

米切纳向我讲述了一些研究，他的公司在各种物联网设备，他发现令人不安的那样。“Casaba做渗透测试在一般区域，发现非常显著漏洞，一些在空间中使用常用的共享软件工具，”他说。“漏洞的程度，将其秘密披露和静默固定的，不放心。”

这是什么一个物联网攻击的样子在实践中企业设置？克里斯·里克特，在全球安全服务高级副总裁Level 3通信说一个公司，他与锯谈到在其数据中心的妥协，而不是在它的任何服务器。2020欧洲杯预赛“他们正在经历的高出口带宽峰值和安全审计发现他们所有的电源（这是IP连接，也就是说，IOT）已经失密和是一个DDoS攻击的一部分僵尸网络。电源供应器，其含有大量代码的设备使他们能够调节电能流动。它们通常运行Linux内核，像许多物联网家电，是IP连接，从而暴露于外部的威胁。”

所以你怎么能在一个安全的方式在企业中使用物联网设备？那么，做你的研究开始。罗伯特·西西利亚诺，首席执行官IDTheftSecurity.com，认为你应该研究的设备制造商，而不仅仅是他们的哲学的安全局势，但在自己的设施自身安全。“如果公司本身被黑，”他说，“它的代码可能已被释放，这将使公司的设备是更不安全。”

由于物联网设备本身是脆弱的，要尽量减少他们和基础设施的其余部分之间的接触。“限制如何以及在何处的物联网系统可以，如果可能的话交流，”丹尼尔说Miessler，d咨询服务irector在IOActive的。“如果你有能力，确保他们只能跟他们需要的系统。”

而这都需要连接到物联网设备的系统应该得到保护。“任何端点的台式机，笔记本电脑或服务器有一个物联网控制器/经理的主要角色，也可以触摸互联网必须被锁定，”警告说Evident.io解决方案架构师塞巴斯蒂安Taphanel。

“保护终端设备和远程设备的最简单、最可靠的方法是通过VPN，”美国国家安全中心的系统工程总监朱利安·温伯格(Julian Weinberger)说大会党工程。“全面的VPN软件解决方案，可轻松放入现有的基础设施，不需要额外的硬件。此外，数据流量被固定在确保没有未加密的流量曾经离开端点设备本身。这可以帮助你跟上物联网连接的增长，同时保证摩擦的客户体验。”

“也有特别设计的路由器和安全设备，这将保护您的网络，” KeepSolid的Diakonov说。“如果你是真正进入智能小工具，在你的智能家居硬件的全新作品是你所需要的。”

记住，我们讨论过的被黑的电源被注意到是因为他们放出了神秘的带宽峰值。IOActive的Miessler说:“寻找网络活动中的奇怪峰值、对internet的请求、到已知的恶意IP范围的连接或网络流量中的恶意有效负载。”

Radware的德信说，你应该投资在“安全解决方案，检查加密的流量，因为它离开网络，因为这是恶意软件的数据出入穿插一个共同的策略。”

里昂·阿达多，首席怪才SolarWinds的的建议，提出了三个可以帮助你关注物联网设备的重要工具:

• “NetFlow分析仪可以跟踪物联网设备产生的数百或数千个小对话，并监控哪些外部站点正在接收来自环境内部的连接。”

• “一个IP地址管理（IPAM）工具是有用的，因为物联网设备占用了大量的IP地址。您的IPAM工具可以自动帮助识别和报告在正常操作的过程中物联网设备。”

• “深度数据包检测(DPI)用于分析源和目标IP地址、端口和协议的数据包。这些信息可以被用于根据用途对数据包进行分类——商业应用、社交、流媒体、潜在的恶意等等——这使得它对物联网安全信息非常有用。”

如果你建立一个物联网环境下，测试和端到端评估它。“一个典型的IoT框架由像传感器，适配器，信标等;网关与这些设备进行通信边缘装置;以及在所述云或前提一个后端服务器，” Mandeep凯拉，CMO的说阿尔山。“公司需要分别采取每个部分，开始处理每一个安全问题。例如，有一个安全渗透测试，以找出是否端点设备可以劫持，黑客利用。“

接管现有的物联网基础设施？知道你要成什么杰里尔湾的CIO说，有先见之明。所有设备及其固件和应用程序的版本都应记录在案。一旦形成文档，就应该检查每个设备的硬件、固件和应用程序，以确保它们是最新的，并定义所有已知的漏洞。”

“自动化将是关键提高效率的一个，”首席执行官康奈尔科迪说，泳道。“自动化的事件响应系统可以识别并解决低复杂度，高产量的任务，几乎没有人工干预，让专业安全人员有更多的时间来处理更细致和复杂的问题，这是至关重要的，这不仅是因为更多的设备将创造更多的任务，但由于攻击越来越多越来越复杂。”很多我采访了有关专家表示，很多厂商都在专门针对自动化解决方案合作处理由物联网设备产生的数据的海量，使他们能够监测和保护。

尽管我们已经讨论了很多的黑暗和厄运，但事实是我们正处于物联网时代的黎明，仍然可以塑造一个更安全的形象。“虽然物联网仍处于早期阶段，但如果我们现在就开始准备，我们有机会构建新的安全方法，”物联网的董事总经理史蒂夫·德宾(Steve Durbin)说信息安全论坛。“安全团队应该主动研究安全最佳实践，以确保这些新兴设备，并准备为更多的互连设备使他们的方式到企业网络来更新他们的安全策略。”

法规可能最终帮助驯服物联网狂野的西部。“随着越来越多的监管机构醒来造成不安全的存储潜在的混乱和敏感信息的处理，他们会要求更多的透明度，从组织，并处更大的罚款，”德宾说。

这可能适用于消费领域了。“我怀疑你将看到由消费者保护监管机构更多地参与，因为他们试图防止意外安全或隐私风险，更好地保护个人买家，”牛仔集团Dickson说。“因为这么多的物联网设备中有那么严格的隐私保护比欧洲或美国国家制造的，寻找监管机构更积极地参与约物联网黑客和隐私失误故事叠起来。”

我们已经看到了基于大物联网，黑客迄今已大多在DDoS攻击的服务。“在这一点上，这些设备的最有利可图的使用往往是招聘一个僵尸网络，其中带宽和时间可以卖给别人，”安全分析师弥敦道Elendt说主教的狐狸。

但是IOActive的Miessler预测，未来黑客会利用服务器端伪造请求的漏洞，从内部网络中提取敏感数据。他说:“这需要技术堆栈标准化到可以将漏洞链接在一起的程度。”但这还没有发生。让我们赶在它之前把房子收拾好。