随着越来越多的新型“智能”消费品、家电和汽车进入市场,物联网(IoT)设备的数量出现了巨大的爆炸式增长。虽然这些设备带来了便利,并使新的令人兴奋的应用程序和体验成为可能,但它们也给企业和消费者网络带来了高度的安全风险。这是因为制造商在部署智能连接设备的安全问题上往往不够严格。
那么,为什么物联网会给消费者带来潜在风险呢?这些设备属于“设置好就忘了”的范畴。它们通常很容易设置-你将它们连接到任何你经常使用的网络,然后你不需要再次考虑设备。消费者关注的是设备的功能,而不是设备与外部世界通信的方式,关注设备的更新,或设备的网络安全特征。
从制造商的角度来看,安全通常是在设计后才考虑的问题。制造商从产品特性的角度考虑设备能做什么,应该做什么——而不是它不能做什么,或者恶意行为者可能会如何利用。因此,一个新的物联网设备的安全态势往往缺乏,可能会留下许多潜在的漏洞未得到解决。此外,这些设备一旦上市,就很难更新,因为它们有自己的操作系统或固件。在该固件的新迭代之后,更新固件本身可能很难(如果不是不可能的话),更不用说应用安全补丁了。
随着未来几年联网设备数量激增至数百亿,不安全的物联网设备的影响变得更加紧迫和重要。没有适当保护的办公室打印机可能很容易被恶意软件接管,并用于DDoS攻击,使商业应用程序或网站瘫痪。同样,一家公司的联网摄像头系统可能会成为僵尸网络的一部分,在家庭或公司网络上投放勒索软件。对于那些受影响的人来说,这些攻击都有可能成为商业杀手——想象一下,如果用户最喜欢的音乐或电视流媒体服务宕机一天,他们会作何反应?或者,如果一个不安全的设备成为攻击的载体,使一家大型零售商遭遇大规模数据泄露,会损失多少收入?
安全专家指出了许多应对物联网安全挑战的解决方案,包括高级内置安全保护、连接设备的独立网络以及频繁监控网络活动。然而,这些建议忽略了一个每个网络都已经使用的解决方案——DNS,或域名系统。DNS作为互联网上各个应用的入口,在物联网技术的部署中起着至关重要的作用。它是一种机制,通过它物联网设备发现并连接到互联网或云服务,以传输数据、接收更新和命令。
连接设备通常是硬编码连接到公司域名(如“api.thing-company.com”)进行更新。他们天生信任该域是安全和可靠的,这使得他们容易受到DNS缓存中毒攻击。这种常见的中间人攻击会破坏DNS数据,导致名称服务器返回虚假的IP地址。恶意行为者可以使用缓存投毒攻击将物联网设备导向流氓更新服务,使行为者有机会向设备发送错误更新,可能危及设备、使其脱机或劫持设备,以便对其他组织发动僵尸网络攻击。
由于这种潜力,DNS可以也应该在物联网安全工作中发挥重要作用。部署DNS安全协议,称为DNSSEC,确保物联网设备只接收真实的软件和固件更新。例如,当休息室的冰箱连接到公司网络进行下一次软件更新时,你可以确信DNS将把设备路由到正确的网站。
物联网设备还需要发现并连接到基于云的系统,以发送或接收数据和命令。这些服务的可靠性和有效性至关重要,否则组织将面临数据丢失、设备功能受损和其他类似威胁的风险。因此,除了DNSSEC,组织应该利用冗余DNS网络,以最小的权限和双因素认证有效地管理对DNS配置的访问,确保连接设备所依赖的云系统的DNS的最大可靠性,以及最大化这些系统域的操作安全性。
随着物联网设备的数量预计将在未来几年呈指数级增长,对制造商来说,在这些设备投入使用之前,尽早考虑它们的安全性,以及考虑DNS在物联网中扮演的角色,是至关重要的。结合DNSSEC,确保联网设备的DNS设置是安全和有弹性的,这对物联网安全至关重要,在这个快速发展的互联世界中,这只会变得更加迫切。