想必大多數(shù)組織的安全機(jī)構(gòu)都不太可能把冰箱列在注意事項(xiàng)當(dāng)中。然而今時(shí)不同往日——就在今年年初,有消息稱接入互聯(lián)網(wǎng)的智能冰箱淪為僵尸網(wǎng)絡(luò)中的肉雞并發(fā)送大量垃圾郵件,一石激起千層浪。
這一事件證明即便是家用電器,如果缺乏必要的安全保護(hù),在接入互聯(lián)網(wǎng)后同樣有可能引發(fā)安全問(wèn)題。
專家預(yù)計(jì),在未來(lái)幾年中,將有數(shù)十甚至上百億臺(tái)設(shè)備以類似的方式接入互聯(lián)網(wǎng),這就是所謂的物聯(lián)網(wǎng)浪潮。物聯(lián)網(wǎng)的到來(lái)到底是一場(chǎng)生活方式變革還是網(wǎng)絡(luò)安全的末日?答案仁者見(jiàn)仁智者見(jiàn)智。無(wú)論如何,它的出現(xiàn)已經(jīng)顛覆了我們對(duì)于互聯(lián)網(wǎng)以及網(wǎng)絡(luò)世界的認(rèn)知。
本文中,我們將具體探討物聯(lián)網(wǎng)威脅企業(yè)安全的六種方式。
物聯(lián)網(wǎng)將帶來(lái)數(shù)十億非安全終端
研究機(jī)構(gòu)對(duì)于2020年接入互聯(lián)網(wǎng)設(shè)備(或者稱為“物”)的數(shù)量存在顯著分歧。Gartner給出的答案是260億臺(tái),IDC則認(rèn)為屆時(shí)將有2120億臺(tái)設(shè)備接入互聯(lián)網(wǎng)。無(wú)論哪個(gè)數(shù)字更接近事實(shí),可以肯定的是,到時(shí)候大量具備IP功能的設(shè)備最終會(huì)找到入侵企業(yè)網(wǎng)絡(luò)的方式。這樣的例子不勝枚舉,包括智能取暖與照明系統(tǒng)、智能儀表、設(shè)備維護(hù)與監(jiān)測(cè)傳感器、工業(yè)機(jī)器人、資產(chǎn)追蹤系統(tǒng)、智能零售貨架、工廠控制系統(tǒng)以及智能手機(jī)、眼鏡等都有可能成為入侵設(shè)備。
這其中,大部分產(chǎn)品屬于消費(fèi)級(jí)設(shè)備,還有一些則屬于添加了網(wǎng)絡(luò)連接功能的傳感裝置。且其中大多數(shù)設(shè)備并不具備對(duì)抗常見(jiàn)網(wǎng)絡(luò)攻擊的保護(hù)機(jī)制,而IT部門長(zhǎng)久以來(lái)習(xí)以為常的操作系統(tǒng)、固件以及補(bǔ)丁維護(hù)方案在這里毫無(wú)用處。
從本質(zhì)上講,物聯(lián)網(wǎng)相當(dāng)于新增了數(shù)10億個(gè)非安全終端,云安全廠商Hytrust公司總裁Eric Chiu表示。這些具備IP連接功能的設(shè)備將引發(fā)新型的攻擊方式,從而攻破設(shè)備并取得企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。
雖然有觀點(diǎn)認(rèn)為,企業(yè)自身可以通過(guò)嚴(yán)格把控消費(fèi)級(jí)設(shè)備的接入,保證企業(yè)網(wǎng)絡(luò)的安全,但這顯然并不現(xiàn)實(shí)。
“企業(yè)必須認(rèn)清現(xiàn)實(shí),即薄弱環(huán)節(jié)已經(jīng)客觀存在,并就此作出反應(yīng)。這并不是鼓勵(lì)企業(yè)放棄防線,而是說(shuō)我們應(yīng)當(dāng)假設(shè)攻擊者已經(jīng)成功進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò),再以此為前提部署防御戰(zhàn)略,”他解釋道。
物聯(lián)網(wǎng)將構(gòu)建起異構(gòu)、嵌入式設(shè)備的世界
物聯(lián)網(wǎng)世界中,大多數(shù)“物”都將以內(nèi)嵌應(yīng)用程序的電器或設(shè)備的形式出現(xiàn),SANS協(xié)會(huì)研究主管John Pescatore指出。
這樣一來(lái),物聯(lián)網(wǎng)與傳統(tǒng)IT架構(gòu)中分層的軟件模式將完全不同,IT安全機(jī)構(gòu)也并不熟悉這種模式。
未來(lái),物聯(lián)網(wǎng)世界中將同時(shí)使用多種不同類型的通信協(xié)議。除了TCP/IP、802.11以及HTML 5之外,IT組織還將面對(duì)包括Zigbee、WebHooks以及IoT6在內(nèi)的多種新型協(xié)議。而且與以往2~3年的常規(guī)IT生命周期不同,物聯(lián)網(wǎng)的普及將使IT生命周期擴(kuò)展至短到幾個(gè)月、長(zhǎng)達(dá)二十年以上的廣泛區(qū)間,他解釋道。
“物聯(lián)網(wǎng)世界中的各類終端所使用的嵌入式系統(tǒng)在管理與安全保護(hù)方面完全不同于PC及服務(wù)器中傳統(tǒng)的分層軟件模式,而這將給現(xiàn)有IT管理及安全審查機(jī)制帶來(lái)重大挑戰(zhàn),”Pescatore表示。
物聯(lián)網(wǎng)將不可避免地與企業(yè)網(wǎng)絡(luò)對(duì)接
正如根本不存在真正獨(dú)立的工業(yè)控制網(wǎng)絡(luò)一樣,物聯(lián)網(wǎng)世界中也不存在能夠與之完全隔離的企業(yè)網(wǎng)絡(luò),RSA總經(jīng)理Amit Yoran指出。
無(wú)論采取怎樣的網(wǎng)絡(luò)分割與隔離技術(shù),物聯(lián)網(wǎng)最終仍然會(huì)通過(guò)互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)對(duì)接,這些接口將成為惡意攻擊的主要目標(biāo)。
物聯(lián)網(wǎng)將無(wú)所不在、無(wú)所不通,其中也包括企業(yè)網(wǎng)絡(luò)。Yoran指出。“如今企業(yè)用戶已經(jīng)能夠通過(guò)BYOD的方式直接訪問(wèn)云資源,而無(wú)需通過(guò)企業(yè)網(wǎng)絡(luò)作為中轉(zhuǎn)路徑”。
而物聯(lián)網(wǎng)的出現(xiàn)將加劇這一事態(tài),屆時(shí)IT部門在試圖控制各種設(shè)備訪問(wèn)保存在內(nèi)部或者云端的業(yè)務(wù)數(shù)據(jù)時(shí),將面臨極度混亂的局面。
“物聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)難以區(qū)隔。一旦各類物聯(lián)網(wǎng)終端被攻破,企業(yè)網(wǎng)絡(luò)將同樣面臨巨大的風(fēng)險(xiǎn)。”Yoran表示。
物聯(lián)網(wǎng)將危及物理設(shè)備和生命安全
除了給在線數(shù)據(jù)帶來(lái)威脅外,物聯(lián)網(wǎng)的普及同樣會(huì)給物理設(shè)備乃至生理層面帶來(lái)風(fēng)險(xiǎn),Zscaler公司安全研究副總裁Michael Sutton表示。
黑客們已經(jīng)證實(shí)了具備IP功能的胰島素泵、血糖監(jiān)測(cè)儀以及心臟起搏器有可能遭遇安全攻擊,這將直接導(dǎo)致設(shè)備使用者遭受生理?yè)p傷。
隨著物聯(lián)網(wǎng)的興起,此類攻擊還可能指向汽車、智能采暖、通風(fēng)與空調(diào)系統(tǒng)、具備網(wǎng)絡(luò)功能的復(fù)印機(jī)、打印機(jī)、掃描儀乃至幾乎所有使用IP地址的設(shè)備。
一般情況下,黑客們甚至不需要利用設(shè)備中的軟件及硬件漏洞。而這意味著企業(yè)將面臨極其危險(xiǎn)的局面,因?yàn)檫@其中的每一套IP地址配置方案都有出現(xiàn)錯(cuò)誤的風(fēng)險(xiǎn)。
物聯(lián)網(wǎng)將構(gòu)建新的供應(yīng)鏈
大量接入企業(yè)網(wǎng)絡(luò)的設(shè)備很快將成為IT安全部門的管理對(duì)象,然而可怕的是這些部門對(duì)此并不熟悉。
“與BYOD類似,傳統(tǒng)企業(yè)需要就此制定并開發(fā)相應(yīng)的策略與管理系統(tǒng),并利用這套體系管理一個(gè)規(guī)模龐大的設(shè)備群體,”設(shè)備驗(yàn)證與身份管理技術(shù)供應(yīng)商Identiv公司CEO Jason Hart指出。
“除了員工自帶的物理設(shè)備、虛擬辦公環(huán)境內(nèi)的新型設(shè)備之外,傳統(tǒng)非連接型設(shè)備(從咖啡機(jī)到新型人體工程椅)都將轉(zhuǎn)向智能化,并成為IT部門的維護(hù)對(duì)象,”Hart表示。
要想在物聯(lián)網(wǎng)世界中取得成功,廠商必須能夠幫助企業(yè)用戶管理新型IP設(shè)備與企業(yè)網(wǎng)絡(luò)之間復(fù)雜的依存關(guān)系,英國(guó)計(jì)算機(jī)協(xié)會(huì)成員兼獨(dú)立安全顧問(wèn)Chris Yapp指出。
這其中,掌握復(fù)雜技術(shù)整合與管理經(jīng)驗(yàn)的企業(yè)最有可能在物聯(lián)網(wǎng)大潮中取得成功,他表示。
“而現(xiàn)有安全服務(wù)商則應(yīng)該集中資源、通力合作、完善解決方案,只有這樣才有機(jī)會(huì)與系統(tǒng)集成商一較高下,“Yapp說(shuō)。
物聯(lián)網(wǎng)將導(dǎo)致網(wǎng)絡(luò)攻擊規(guī)模、隱匿性及持久性顯著提升
至少?gòu)睦碚撋现v,完全互聯(lián)網(wǎng)化所帶來(lái)的威脅與大部分IT組織目前面臨的狀況并無(wú)太大區(qū)別。很多企業(yè)已經(jīng)適應(yīng)了由智能手機(jī)、平板電腦以及其它具備無(wú)線連接功能的設(shè)備所帶來(lái)的挑戰(zhàn)。唯一的區(qū)別在于,物聯(lián)網(wǎng)所帶來(lái)的安全威脅規(guī)模更龐大、范圍也更加廣泛。
“物聯(lián)網(wǎng)涵蓋每一臺(tái)接入互聯(lián)網(wǎng)的設(shè)備,”安全即服務(wù)廠商Proofpoint公司高級(jí)安全副總裁Kevin Epstein表示。
其中包括各類家庭自動(dòng)化產(chǎn)品,例如智能溫控裝置、安保攝像機(jī)、冰箱等,此外工業(yè)控制機(jī)械與智能化零售貨架也將逐漸走入我們的生活。
如此多的設(shè)備必然會(huì)帶來(lái)嚴(yán)峻的挑戰(zhàn)。“挑戰(zhàn)的核心在于攻擊活動(dòng)的規(guī)模、隱匿性以及持久性”。當(dāng)前情況下,攻擊者就能夠相對(duì)輕松地滲透到企業(yè)防御體系當(dāng)中,Epstein解釋稱,“想象一下攻擊數(shù)量如果陡增10倍,情況會(huì)變得多么糟糕。”