您当前的位置：首页 > 无限物联

物联网的安全威胁及其如何处理

2017-06-04 08:23:26

3216-150ZGG210F2

现如今，会议室的智能电视、智能化的加热和空调系统、互联网连接的电灯、智能装备控制的生产进程、智能手表和健身器材几近可以说是无处不在。

而这些还仅仅只是现在企业物联网(IoT)的非常小的1部份。在更大的部份，几近所有的物理对象都能够被智能化的连接到网络。固然，企业在享遭到物联网所带来的便捷的同时，也要警惕黑客攻击和数据泄漏。

今年7月，物联网的安全问题曾引发过人们的深切关注。彼时，两名黑客远程控制了1辆大切诺基，使其在高速公路上以每小时70英里的速度行驶。他们通过无线控制雨刷的开启和关闭，把空调开到最大，并在行驶进程中切换到1个不同的电台广播，然后禁用传输功能，所以这辆吉普车行至州际公路时放缓了速度。

这两名黑客是为了宣扬汽车所面临的物联网所带来的安全风险，而其也的确产生了效果——终究致使140万辆汽车被召回，不能不针对他们的系统打补钉。

不幸的是，面临物联网所带来的安全问题，大部份企业其实不能仅仅通过召回汽车和修补他们的计算系统就可以够轻易解决的。企业当前所面临的最大问题是：鉴于物联网装备已在全部企业范围内得到广泛的使用和传播，企业的生产环境到底有多安全?而通过这些物联网装备来入侵企业网络有多容易?企业如何保护本身的安全?

在这篇文章中，我们将与大家分析有物联网所带来的相干安全风险，并肯定哪些安全风险是最为重要的，和如何防范提供1些针对性的建议。

物联网安全问题是不是真的存在?

让我们从最基本的问题开始：企业当前正面临怎样的物联网相干的风险?

OpenDNS安全实验室安全研究部门高级总监Andrew Hay说：“我们所视察到的最大问题是，对面向消费者的网络摄像头和智能电视装备，当期在被厂商制造时，确切是进行了安全测试的，但只有当运行在1个非关键性的环境。他们没有针对企业级的安全进行测试。这是相当使人震惊的，由于在现如今的企业中，这些装备愈来愈被频繁的用于访问企业网络。他们能连接到企业网络，但企业只是像玩具1样对待他们。并没有像针对其他移动装备1样实行相同的安全BYOD管理策略。只被认为是1些玩具和小玩艺儿。”

安全公司Bastille的开创人和首席履行官克里斯·鲁兰补充说，通常情况下，企业乃至没有针对在他们的办公室和设施中使用的所有没有线装备进行跟踪记录。

“我敢肯定，每家企业在他们的办公环境中都有没有线发射器，但他们却并没成心识到，这是相当不安全的。”他说。“问题就在于，对物联网装备而言，目前还没有产生类似于1999年的梅丽莎病毒(Melissa virus)这样的分水岭事件。”在那1年，梅丽莎病毒的传播是如此广泛——包括微软和英特尔网络都惨遭不幸——其提高了人们对保护企业计算机和网络，免受病毒侵害的重要性的意识。

两种类型的物联网危险

在1般情况下，企业面临着两种主要的物联网要挟——通过物联网装备所带来的专门针对企业的要挟，和那些主要针对消费者的要挟。您可能会想到，消费类装备所构成的危险比那些专门针对企业的要挟更大。但许多安全专家表示说，情况并不是如此。

思科安全业务部门产品营销经理Marc Blackmer解释说，“现如今，围绕着诸如Nest恒温器或智能电视可能成为企业的安全隐得了太多太多的炒作了。”但更大的问题则是由企业级的物联网装备的复杂性，及企业对这些危险性的不完全的理解所带来的。他认为：“我们太过关注于我们的冰箱在做甚么。这可能使得我们可能会疏忽了这样1个事实，即目前的企业网络中更多的路由协议。您乃至可以通过智能手机来自管理企业装备。”

为此，他罗列了2008年在土耳其的1个石油管道被攻击的例子。该石油管道是通过IP连接的网络监控摄像头所监控的，旨在保护管道设施。但具有讽刺意味的是，攻击者利用摄像头的漏洞闯入网络，控制了石油管道。然后他们植入歹意软件并远程取得控制器在管道阀门站的控制权。以后，他们通过改变石油压力炸毁了管道。他们还远程关闭了管道的应急系统，使管道的业主没有立即意想到被攻击。

另外一个严重的问题是由外部承包商连接到企业网络，但其其实不具有与企业相同的安全系统和规则所致使的。他们的装备可能不安全，可能会对企业网络造成安全风险。

比利里奥斯，云安全公司Qualys的要挟情报总监比利·里奥斯告知《纽约时报》的记者说，“远程访问这些(企业)系统是很常见的，而集成商几近总是在企业网络上。”由Qualys 公司所进行的1项研究发现，有55000个采暖，透风，空调(HVAC)系统连接到互联网。而在大多数情况下，这些系统包括了基本的安全漏洞，可能使得攻击者能够很容易的进入企业网络。该公司表示。

约翰·佩斯卡托是1名安全专家，具有漫长的职业生涯，曾就职于美国国家安全局和GTE，现在是SANS研究所新兴安全趋势主管。他表示，企业1般善于管理电脑，移动装备和用户级交换机的要挟——而这些通常被认为是IT部门的传统领域。但是，当非IT装备和系统连接到他们的网络时，他们就有问题了。

“1家企业搬迁到了1幢新的建筑，而且空调系统、电梯和摄像机却仍在原来的同1个网络上，这些东西不1定是被保护的。如果您企业乃至没法检测您自己的网络，那末您乃至都没法保护自己。”

来自消费者物联网的要挟

上述所有这1切其实不意味着消费者的物联网装备其实不对企业网络构成要挟。他们一样也会构成安全要挟。有安全专家正告说，诸如电视机，照相机，可穿着装备等智能装备的大量泛滥，更会对许多企业网络造成严重的安全漏洞。

也许，针对这方面的安全要挟最广泛全面的研究是由OpenDNS完成的。其题为《2015年企业物联网》的报告分析了超过160个国家的约5000万名个人和企业用户的网络流量，其调查结果使人耽忧。研究发现，“在美国，亚洲和欧洲的消费装备，如Dropcam网络视频摄像头、Fitbit穿着式健身器材、西数公司的‘我的云’存储装备、各种连接的医疗装备和3星的智能电视都无时无刻不连接到服务器——即便在不使用时也是如此。” 调查发现，智能电视仿佛是通过不可信的安全证书与现有的基础设施连接沟通的，而这类连接无疑是为大量知名的网络攻击打开了传播途径。

OpenDNS还发现了其他安全要挟，包括物联网基础设施与连接其的装备进行通讯很容易遭到攻击，这包括“Heartbleed”安全漏洞和FREAK。(有关该报告的更多细节，请参阅《两项调查显示物联网安全危险在企业中普遍存在》)

关于物联网的安全要挟，还有1个不为人知的方面。安全公司Pwnie Express的首席履行官保罗·佩吉特正告说：内置Wi-Fi功能的小型便宜可编程处理器可以在1家企业留下“武器”来攻击企业网络。VoCore便是这样的1个装备，用其制造商的话来形容就是：“1个具有Wi-Fi功能的硬币大小的Linux电脑”，其售价仅为20美元。1份Pwnie Express的题为《邪恶的物联网》的报告正告说，“只要稍稍具有1些如何正确利用其全部功能的相干知识，VoCore就能够被用来危及全部网络。而且，即便是没有经验的用户，也能够通过简单地将装备插入到以太网插孔，对网络防御造成相当大的安全漏洞。”

对物联网的安全建议

鉴于上述这1切，企业要如何处理物联网的安全要挟呢?以下是1些专家的建议。

找到您企业网络上的所有物联网装备并关闭。这是最简单的：您没法保护您根本不知道其存在的东西。找到所有连接到您企业网络的装备，这不但包括传统的IT装备，而且还包括智能电视，恒温器，员工的可穿着装备，等等。但是，这仅仅只是1个开始。您还需要寻觅并未连接到您网络的Wi-Fi热门，如多是员工自己设置的热门，和诸如VoCore等装备。您企业还应当肯定辨认使用移动蜂窝数据的装备。

如果您企业没有能力这样做，有许多公司能够提供这方面的服务。OpenDNS可以帮助您企业跟踪网络活动及网络与这些网络活动相干的个人装备上。SysAid公司能够提供网络发现工具，帮助您找到网络上的所有装备。Pwnie Express和Bastille还能够帮助您发现在办公室的所有有线和无线装备，和这些装备是不是连接到网络。惠普和思科都提供多种安全服务，从发现网络上的装备开始，然后将其添加安全层。

检查网络身份验证和访问权限。哪些规则控制怎样的装备可以连接到您企业的网络，和他们有甚么样的访问权限?此前，在制定这些规则和访问权限时，并为斟酌到物联网装备的因素，那末，现在是将眼光扩大到物联网领域，针对这些规则进行审视的1个很好的机会。例如，员工的智能手表是不是被允许连接到企业网络，如果有，他们有甚么样的访问权限?温控器呢?电灯泡呢?暖通空调装备呢?

锁定外部连接到您的网络。甚么样的外部服务，网络和承包商能够连接到您的网络?您企业的暖通空调承包商是不是有权限连接到您企业网络?您企业的设施部门与制造车间的连接状态如何?他们有很多的装备可能会致使问题。思科安全解决方案的安全实践经理马克·哈蒙德说，“1套全面的安全计划的1部份是对第3方风险和供应商风险的管理。了解企业所有的供应商，毕竟，您企业的相干数据是在这些企业之间传输，并且要让您企业的安全控制到位。” 因此企业必须进行详细的审查，加强网络安全连接，建立相干的规则，规定承包商是不是可以访问您企业的网络，和如何访问。

对所有物联网装备制定安全标准。SANS研究所的约翰·佩斯卡托建议说，从采购周期开始，您企业就需要斟酌网络安全了。这适用于任何连接到企业网络的装备，而其实不仅仅意味着IT装备。现在，除有智能恒温器，已有智能冰箱和智能灯泡了。因此，安全标准需要针对1切会进入企业的装备来设置。除非相干装备符合这些标准，否则就不应当被允许访问企业网络。

重新反思IT在安全中的作用。专家认为，在物联网世界中，企业需要做的最重要的事情之1是重新思考安全在全部企业的角色作用。1家企业通常都是依照职能所组织架构起来的，如装备部门负责采购和保护采暖和空调系统等装备;而生产部门则负责处理生产相干的装备，包括控制装备;而IT部门则负责电脑，BYOD装备和网络。但在物联网的世界中，这可能会致使问题。

SysAid Technologies公司的首席履行官Sarah Lahav说，“今天，如果您想要购买电脑或想要带上您自己的装备到公司，您需要与您企业的IT部门商量。但如果您是在设施部门，您想买1个温控器，您不应当向IT部门或公司的首席安全官打招呼。在物联网时期，这已产生了改变。必须企业级的广泛的安全规则。”

不同的企业将以不同的方式来处理这些变化。有些企业可能会在IT部门的支持下，采取许多类型的装备，而其他企业可能会扩大首席安全官的作用，所以他们都会参与到对所有装备的采购和安全要求的制定中，而不单单只是IT部门。但不管如何，Lahav说，重组必须产生。

回归基本层面。思科公司的Marc Blackmer说，“从我的角度来看，您不能忘记的基本层面。人们担心，“冰箱智能化，我们该怎样办?”但是这1切其实都要归结为风险分析和风险管理。如果您真的把它分解到详细的具体是甚么的层面，其只是装备的连接。对此，我们1直在处理，而且已有很长1段时间了。解决方案是部署安全控制以减微风险，然后重复循环该安全控制。如果您企业没有这方面的认识，那末物联网只是1个大的，可怕的空间，而您企业也只是在黑暗中摸索。”

TAG：