周五的分布式拒绝服务攻击在域名服务商达因可能看起来像世界上数以百万计的Netflix,Twitter和Spotify的用户的结束,但安全专家表示,服务中断仅仅是一个讨厌的攻击 - 虽然开眼界一个 - 相比,可以用数十亿美元来释放潜在危害不安全物联网设备。
“这只是冰山一角,”副总裁兼Unisys首席技术官办公室总经理尼古拉斯•埃文斯(Nicholas Evans)表示。埃文斯领导着Unisys全球应用创新项目。“随着物联网设备变得更加自动化,比如自动驾驶汽车,或者变得更加可控,比如一些工厂类型的设备实际上可以操纵物理环境,你可以对威胁强度进行分级。”这才是真正的威胁所在。”
据研究公司高德纳(Gartner)的数据,到2020年,可能会有大约208亿件东西被连接到互联网上。这意味着每天增加约550万台设备,由更便宜和无处不在的传感器、处理能力和带宽驱动。Gartner表示,到2020年,超过一半的主要新业务流程和系统将纳入物联网的某些元素。
[另关于民政事务总署:如何处理让你的物联网设备的安全]
周五的进攻带来了炫目的关注于具有数十亿连接到互联网,很少或没有网络安全保护设备的潜在危险。DDoS的攻击中使用的恶意软件被称为Mirai感染数千万的互联网连接设备的企业和家庭在发现许多受欢迎的网站中断服务。
Gigamon安全顾问贾斯汀·哈维
Gigamon安全顾问贾斯汀哈维指责设备制造商的的Dyn DDoS攻击,但他也承认,大多数ISP可以做一个更好的工作安全。
“我是物联网的关键供应商谁是冲自己的产品在那里,因为那里是一个物联网淘金,”哈维说。廉价物联网设备已经变得更容易产生与硬件厂商开发运行Linux和可以执行许多家庭监护功能,例如控制恒温便宜的设备。这些供应商“更侧重于抢着市场,而不是与安全性。[结果]他们是运送不安全的产品,如果完全没有监督或后果,当它坏了。他们的观点是,这是由客户,以确保这些机器或更改密码。”
+相关:答案为“是互联网坏了吗?”等的Dyn DDoS攻击的问题+
事实上,复合局势的主要问题之一是安全性往往是一种事后的想法,通常是用螺栓固定的解决方案,一旦出现问题时,埃文斯说。IT安全专家和IT管理者一直在呼吁安全建设成为设备设计了几十年,就像他们过去曾进行的技术创新,从网络,移动性和云长线计算,现在物联网。
一些安全专家认为,国会应该参与制定监管和监督设备制造的法规。“如果发生了什么事,你的设备正在被一个国家使用,不管是一百万台还是只有一台,你要负责吗?”你的ISP有责任吗?你的制造商吗?国会需要出台针对这些制造商的法规和指导方针,”哈维说。
在ISP端,哈维考虑与今天的DNS架构问题。“我不明白为什么互联网服务供应商和提供互联网接入其他组织不是在地理上更多样化的DNS系统投入,”他补充说,他不熟悉的Dyn的具体架构。“本质上的DNS应该是容错”分配给一台设备,比如两个IP地址,但通常情况下这两个IP地址都不甘心同一数据中心,他说。2020欧洲杯预赛随着今天的DDoS攻击的威胁,“为什么我们有一个架构,你可以针对一个ISP,并采取了互联网一半的美国?”
企业物联网
对于使用物联网解决方案的企业,安全性让人不解的是复杂的。任一项的IoT的解决方案,在一个企业插头可能涉及生态系统中的10个或更多伙伴,包括应用层,设备,网关,通信和分析片,Evans表示。“链中的任何薄弱环节就是网络罪犯可以得到”和操纵设备,他补充道。
甚至公共部门也注意到了这一点。虽然大多数政府机构不使用商业物联网设备内部自己的墙,政府员工建立了远程办公程序,和工人会通过他们的家庭宽带连接,Sadiyq卡里姆说,网络安全的副总裁和首席技术官NSSPlus,网络安全系统供应商,与国防部和其他政府机构。
“美国国防部和联邦政府已经制定更多的标准和过什么人都应该在家使用,即使他们打算通过VPN准则”,包括更改默认密码,卡里姆说。不过,他认为有关互联网用户谁今天不是IT专业人员,预计将执行这些安全步骤的人口统计数据。“能力是有个人做自己,但学习曲线很陡。这仍然是相当神秘的摆在那里,”他说。
一个安全框架
近期物联网设备劫持有针对性的商业设备,而不是工业设备,以及工业互联网联盟要保持这种方式。在九月的组中,一些在物联网生态圈最大的球员组成,推出了其工业网络安全框架,一组以帮助开发者和用户的最佳实践评估风险和抵御他们。
该框架还规定了在物联网实现安全系统的方式,并提供了谈论它的通用语言。协会人士表示,长远目标是使每一个安全物联网体系和执行工作的组成部分。
“人们一直认为,这是至关重要的。英特尔(Intel)物联网安全解决方案首席设计师、IIC安全工作组联席主席斯文•施莱克(Sven Schrecker)表示。“在(该框架)中,我们在多个层面上解释了应对措施。”
在IIC认为,工业设备的原车主不应该负责实施安全性,而是系统集成商,“谁可以在设备制造商,零部件制造商,芯片制造商和软件厂商瘦”,包括安全性。“当所有的从下往上流动,它更易于管理的安全解决方案。”自发布以来,新的框架已获得“巨大反响,”他补充道。
一些物联网设备供应商认为,安全是一个共同的责任。江森自控(Johnson Controls)全球产品安全主管杰森•罗塞洛(Jason Rosselot)表示:“物联网设备制造商需要专注于网络安全设计、开发和部署。Rosselot说,同样重要的是,“物联网设备的消费者必须优先考虑这些设备的安全性”,包括一旦可用就部署更新和补丁,以及将密码从出厂默认设置更改为复杂密码。
企业如何保护自己?
Evans说,组织需要评估他们目前拥有什么联网设备,他们的漏洞,以及他们将如何解决这些问题。Gartner将物联网设备分为四类。被动的、可识别的事物,如RFID标签,具有较低的威胁风险。与压力传感器一样,能传递自身信息的传感器也有一定的威胁风险。能够被远程控制和操纵的设备,如暖通空调系统和自动驾驶汽车,在敏感数据丢失、恶意软件和破坏方面的风险最高。
在最基本的层面上,默认的用户名和IP地址应该改变。预防措施还可能包括设备的微分段,以限制因违反或至少控制损害或限制网络罪犯谁进去的运动。企业可能还选择了“认知防火墙”,哪个地方安全控制入云,而不是在设备上,并使用人工智能来确定设备上的请求的动作是否适当,例如“打开微波炉加热100分钟时,”埃文斯说。
Schrecker说,虽然Dyn DDoS攻击可能为未来的攻击拉开序幕,但它也可能标志着业界开始动员,将标准引入物联网设备。“两年前,我可能会说,追求物联网安全标准是徒劳的,但我们现在看到的是一次彻底解决这个问题的合作努力,所以这里可能有一线希望。”
这个故事,“崛起物联网机器”最初发表CSO 。