揭示物联网安全的5大噩梦（附缓解措施）

前情提要：物联网安全成本攀升

一份来自marketsandmarkets.com的报告数据显示：到2021年，物联网安全市场的估值将达到369亿5000万美元。网络安全行业混乱的增长，又一波资本投资浪潮来袭。

2017年，专家预测，开放的物联网安全漏洞将导致关键基础设施被破坏，来自竞争对手的情报收集和知识产权盗窃事件将增加。与此同时，2017年DDOS攻击的威胁将进一步蔓延。

1. IoT安全五大噩梦

这部分首先列举CSO们面临的五大IoT安全噩梦

噩梦1号

每天新增近500万个物联网设备，等于每天有更多的新增安全漏洞。根据Gartner的统计报告，2016年全球新增了550万个物联网设备。越多的物联网设备，意味着越多的安全漏洞，因为每个设备自身都存在多个安全问题，而且由于这些设备如雨后春笋般的涌现到互联网上，使得网络威胁的攻击面更加广泛。

噩梦2号

物联网设备广受欢迎，无处不在。对黑客而言，这些不设防/弱保护的物联网设备简直就像是美味的水果一样诱人。越来越多的已被黑客攻击的物联网消费产品投入市场，无疑会加重互联网安全的噩梦，攻击对象包括对企业数据、厂房和设备、员工以及消费者。

对于攻击者而言，以任意一个物联网设备的任一漏洞为突破口从而控制整个网络，都不是一件难事。举例说明，2015年，TrapX的安全工程师利用NEST恒温器的一个迷你USB端口，使用ARP欺骗程序成功对通信系统发起了MITM中间人攻击。黑客采用MITM攻击可以获得设备两端或通信系统的控制权，包括企业的网络系统。即使物联网设备是家用的，不是企业财产，但鉴于目前大量的远程和移动办公情景，攻破家庭网络也就间接的入侵了企业的网络。黑客的目标可能不止是数据，还会危及生命和财产安全。

噩梦3号

IoT是解锁消费者私密数据的关键，增加了黑客的攻击目标和攻击面，使得攻击者很容易猜解到用户常用密码。在针对一些关键业务、政府、军事、政治和文化目标寻找突破口时，这是一个很好的途径。

IoT会收集消费者的数据便于根据消费者的喜好和特点做精准的市场营销。攻击者窃取并整合这些数据来分析消费者的兴趣和习惯，猜解用户的密码和安全问题的答案，使用相同的账号和密码登录到企业的网络系统。(账号密码安全，真是一个硬伤啊)

噩梦4号

大量伴随IoT设备而新增的SCADA和工控系统，使得广泛性的破坏成为可能。比如当工业控制系统连接到互联网，如何保护公用事业和国家基础设施免受攻击成为了一件非常具有挑战性的任务。

“想象一下，攻击者使用10%～15%的物联网设备在美国发动DDOS攻击，能够直接打垮整个华尔街的流量”

———Ben Simon，曾就职于以色列空军网络和安全部

最近发生了一个真实的案例，黑客攻击乌克兰电厂，导致该地区成千上万个居民无法用电。这次攻击中，黑客瞄准的是关键基础设施的管理系统致使服务中断，而这仅仅是一个非常小的例子。

噩梦5号

广受欢迎的、开放的物联网，使得很多电影剧情得以在现实中真实的上演。“Live Free or Die Hard”，这个哲学问题再次引起了人们的深思。

物联网让黑客创建和使用大规模的僵尸网络成为可能，可以想象，利用这些基础设施发动DDOS攻击，将变的更加常规。

2. 如何减缓物联网安全五大噩梦和其它安全问题

据Gartner预测，2020年物联网设备使用总量将达到208亿。

想要保障设备安全，企业应当首先衡量对抗风险时的便利性和效率优势。行业安全解决方案和产品覆盖到各类设备，物联网安全培训加入到员工安全教育培训体系中。基于行为监测和IDS/IPS安全技术应该将物联网设备相关的潜在恶意行为纳入监测范围。

比如，当企业在安装和使用一个物联网设备时，需要实施新一代的防火墙设备的安全策略，只允许指定IP地址的连接，应用第二代终端安全产品。当前物联网设备安全面临的主要问题时员工安全意识培训，增加员工网络连接和通信的安全性。

无论攻击者如何猜解密码和安全问题的答案，使用额外的身份认证可以保护系统安全。例如使用PINs和向用户电子邮件发送认证码的方式进行身份认证是很好的例子。随着猜解密码的广泛使用，企业必须适用并采取应对措施。“企业必须依靠安全专家去了解心技术的风险，确保他们不断更新的技术没有引入心的风险，并在发现新风险时采取应对措施”。

对于SCADA和传统的工控系统而言，安全是一个挑战，因为这些系统往往都是封闭式的、甚至没有基本的网络安全机制。“至少，企业应该对这些网络进行隔离，密切监视，做好访问权限的控制”。

“工业控制系统具有高可用性的要求，这就意味着停机进行升级是不可接受的事情。在理想的情况下，这些系统需要具备最先进的网络安全防御能力，并与互联网隔离”。

需要注意，为了防止物联网设备被用于DDOS攻击，需要遵从两个原则：保护设备，假设网络是恶意的;保护网络，假设设备是恶意的。这种方法符合最小特权零信任模型的安全性规范。

[[193405]]

企业可以通过向包含了物联网的系统中增加安全策略，来减轻黑客将物联网设备变为肉鸡的可能。争取机构和企业应加强内网安全解决方案的研究。使用欺骗性的新技术有助于组织识别已经在网络中存在的攻击者。

另外，可以从其他方面考虑，加强IoT安全

物联网安全的未来充满挑战，但也并非无路可走。

首先，政府相关机构应当对那些销售安全性差的设备的公司开罚单，直到他们召回并修理自己的产品。

其次，立法方面应当有明确的规范，要求物联网设备定期恢复到软件的初始状态，这个要求可以踢出任何设法渗透到设备中的恶意软件。

第三，将新的物联网硬件设备对应的IPv6地址限定在某一范围内，这样做会让遭受DDOS攻击的受害者可以更容易的通过ISP运营商拒绝掉所有来自物联网设备的通信请求。