雖然沒有人懷疑物聯(lián)網(wǎng)安全將會(huì)是一場災(zāi)難,但是災(zāi)難就那樣發(fā)生了——Mirai僵尸網(wǎng)絡(luò)通過一個(gè)相當(dāng)簡單、可預(yù)防的攻擊方式拿下大片互聯(lián)網(wǎng)。
專家認(rèn)為,2017年將會(huì)有比以往更易受影響的設(shè)備被黑客盯上。
“在2017年的某個(gè)時(shí)候,我們預(yù)計(jì)將發(fā)布一個(gè)自動(dòng)傳播的IoT蠕蟲,其安裝了一個(gè)很小的、充滿惡意的有效載荷,不僅繼續(xù)感染和傳播其他易受攻擊的IoT設(shè)備,而且會(huì)自動(dòng)更改遠(yuǎn)程管理設(shè)備時(shí)所需的所有密碼,“Vectra Networks的CSO Gunter Ollman說, “現(xiàn)在,被鎖定的設(shè)備所有者被迫支付贖金給蠕蟲背后的主機(jī)來獲得新密碼,這種做法最終將勒索軟件的威脅帶到一個(gè)新的水平。為了防止這種蠕蟲和未來版本的產(chǎn)生——設(shè)備所有者不僅必須搶占性地更改設(shè)備的默認(rèn)密碼,還要管理設(shè)備上內(nèi)核軟件的補(bǔ)丁級別,以防止黑客利用新的漏洞。”
Palo Alto Networks公司的CSO Rick Howard指出,雖然多年來安全研究人員一直在發(fā)出警報(bào),但我們需要確保我們不會(huì)錯(cuò)過更大的前景。
“事實(shí)是,網(wǎng)絡(luò)防御者社區(qū)作為一個(gè)整體已經(jīng)知道如何防止存在于互聯(lián)網(wǎng)上的大約99%的攻擊—— 包括2016年的DDoS攻擊,”Howard說, “我們沒有在整個(gè)社區(qū)部署這些預(yù)防控制。因此,在2017年,為了努力阻止未來利用物聯(lián)網(wǎng)設(shè)備的大規(guī)模攻擊,網(wǎng)絡(luò)防御者社區(qū)將開始部署這些控制,實(shí)施更好的預(yù)防。”
然而,除了加密和強(qiáng)身份驗(yàn)證等這些可靠的安全基礎(chǔ)知識之外,LogMeIn公司的IoT戰(zhàn)略總監(jiān)Ryan Lester說,物聯(lián)網(wǎng)安全問題需要一個(gè)新的解決方案。
“物聯(lián)網(wǎng)帶來了一整套新的安全挑戰(zhàn),通過改造當(dāng)前的安全解決方案和遵循相同的舊規(guī)則是無法解決的,”Lester 說, “公司必須深刻思考如何管理一對多的關(guān)系,這是一種異常的當(dāng)前更頻繁的1:1設(shè)備關(guān)系。”
E8 Security的安全戰(zhàn)略主管Matt Rodgers表示同意,他補(bǔ)充說,傳統(tǒng)工具在互聯(lián)世界中不會(huì)有效。
“在2017年,無論是成本方面還是技術(shù)上,使用傳統(tǒng)工具監(jiān)控物聯(lián)網(wǎng)環(huán)境將不再是一種選擇,”Rodgers說, “有這么多的設(shè)備做這么多事情,攻擊者將獲得非常大的攻擊表面來發(fā)現(xiàn)和泄漏個(gè)人身份信息,這將增加攻擊的數(shù)量,并進(jìn)一步降低攻擊者的每次攻擊的潛在成本。”
Micro Focus戰(zhàn)略副總裁Geoff Webb表示,Mirai可能只是一個(gè)開始——下一次的情況可能會(huì)更糟糕,現(xiàn)在是時(shí)候采取法規(guī)來達(dá)到達(dá)到預(yù)期效果。
“由于物聯(lián)網(wǎng)設(shè)備數(shù)量預(yù)計(jì)將達(dá)到數(shù)十億,潛在的大規(guī)模IoT攻擊可能會(huì)對這個(gè)國家的關(guān)鍵基礎(chǔ)設(shè)施、網(wǎng)上銀行、緊急服務(wù)和商業(yè)產(chǎn)生真正的威脅,“Webb說,“我們期待物聯(lián)網(wǎng)安全能夠早日成為國家安全議程的一部分,同時(shí)政府應(yīng)該開始對互聯(lián)網(wǎng)連接設(shè)備的立法和安全標(biāo)準(zhǔn)進(jìn)行評估。”
WhiteHat Security的安全策略師Jeannie Warner表示:“我期待也希望看到‘安全’這一術(shù)語轉(zhuǎn)變?yōu)?lsquo;保持安全’,增加立法要求更嚴(yán)格的物聯(lián)網(wǎng)安全測試。我認(rèn)為NIST的SP 800或類似的機(jī)構(gòu)將通過整合動(dòng)態(tài)應(yīng)用掃描技術(shù)和嚴(yán)格的設(shè)備控制測試,形成一個(gè)全面的安全保證指南。新指南將強(qiáng)制更多的應(yīng)用安全供應(yīng)商與設(shè)備控制測試實(shí)驗(yàn)室合作,在開發(fā)過程的早期支持制造,幫助創(chuàng)新組織通過在開發(fā)早期識別漏洞來管理風(fēng)險(xiǎn),在測試期間繼續(xù)監(jiān)控挑戰(zhàn),并幫助發(fā)布更安全的產(chǎn)品。”