物聯(lián)網(wǎng)的風(fēng)險(xiǎn)怎樣去平衡

如今，物聯(lián)網(wǎng)的應(yīng)用越來(lái)越廣泛，而物聯(lián)網(wǎng)（IoT）承諾將提供諸如自動(dòng)化服務(wù)，優(yōu)化資源利用率，更好的綠色證書等諸多業(yè)務(wù)優(yōu)勢(shì)。但與所有的新技術(shù)一樣，存在新的風(fēng)險(xiǎn)，用戶必須考慮風(fēng)險(xiǎn)／價(jià)值平衡。

很多人都對(duì)去年針對(duì)Dyn進(jìn)行的分布式拒絕服務(wù)攻擊（DDoS）以及重大的服務(wù)中斷比較熟悉。早在21世紀(jì)初期，由于具有多個(gè)漏洞，并缺乏安全意識(shí)，工作站遭到DDoS攻擊，這往往是由大型僵尸網(wǎng)絡(luò)病毒造成的影響。如今，人們有了更好的安全意識(shí)，操作系統(tǒng)廠商已經(jīng)提高了他們產(chǎn)品的防御能力。但是在這里，人們?cè)俅卧庥鼋┦W(wǎng)絡(luò)的攻擊，對(duì)大量個(gè)人電腦造成嚴(yán)重破壞。2016年物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)病毒肆虐，數(shù)千個(gè)相對(duì)小型無(wú)害的閉路電視攝像頭和DVR可以用來(lái)以500 Gbps或更高的速度產(chǎn)生DDoS攻擊。

許多物聯(lián)網(wǎng)設(shè)備在不受監(jiān)控的網(wǎng)段上具有良好的連接性，以及足夠的處理能力來(lái)驅(qū)動(dòng)大量的DDoS攻擊流量。物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)是一個(gè)關(guān)鍵問題，并且正在產(chǎn)生大量的DDoS攻擊，而不僅僅是那些已經(jīng)成為頭條新聞的攻擊。例如，在2016年11月至2017年2月的三個(gè)月期間，來(lái)自特定的未來(lái)僵尸網(wǎng)絡(luò)發(fā)動(dòng)了11，400次攻擊。這些僵尸網(wǎng)絡(luò)的攻擊已寫入了Arbor網(wǎng)絡(luò)公司年度全球基礎(chǔ)設(shè)施中的DDoS活動(dòng)安全報(bào)告

應(yīng)對(duì)風(fēng)險(xiǎn)

DDoS攻擊只是不良行為者利用物聯(lián)網(wǎng)設(shè)備的一種方式，那么隨著可利用設(shè)備的數(shù)量的增加，人們應(yīng)該如何應(yīng)對(duì)風(fēng)險(xiǎn)？

首先，人們必須考慮如何保護(hù)目前的設(shè)備免受損害和被他人利用。這主要是應(yīng)用明智的安全措施，更改密碼和禁用人們不需要的默認(rèn)服務(wù)。但是人們也應(yīng)該確保隔離其設(shè)備，只允許他們?cè)L問所需要的基礎(chǔ)架構(gòu)。例如，照明系統(tǒng)和打印機(jī)不需要開放的互聯(lián)網(wǎng)訪問。人們還應(yīng)該選擇可以升級(jí)的設(shè)備，這些設(shè)備具有發(fā)現(xiàn)漏洞的修補(bǔ)程序的良好記錄。人們應(yīng)該確?？梢詮奈锫?lián)網(wǎng)設(shè)備的網(wǎng)段進(jìn)行遙測(cè)，以便識(shí)別異常行為。

來(lái)自互聯(lián)網(wǎng)服務(wù)提供商和內(nèi)容交付網(wǎng)絡(luò)的服務(wù)也可以通過有效的攔截漏洞和虛擬修補(bǔ)漏洞來(lái)幫助保護(hù)（不安全的）物聯(lián)網(wǎng)設(shè)備。這些服務(wù)通過服務(wù)提供商的保護(hù)服務(wù)路由與物聯(lián)網(wǎng)設(shè)備之間的通信，但與所有事情一樣，這些服務(wù)是平衡的。使用這樣的服務(wù)可能會(huì)阻止設(shè)備受到威脅，但它會(huì)對(duì)設(shè)備的所有通信引入單點(diǎn)故障，并且設(shè)備生成或使用的任何數(shù)據(jù)現(xiàn)在都可以由服務(wù)供應(yīng)商進(jìn)行監(jiān)控。雖然有好處，但也有風(fēng)險(xiǎn)。

除了盡可能保護(hù)設(shè)備之外，人們還需要確保自己能夠處理可能來(lái)自已經(jīng)存在的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)所面臨的威脅。DDoS是這些威脅之一，它是許多組織依賴于日常業(yè)務(wù)連續(xù)性的互聯(lián)網(wǎng)服務(wù)的可用性的主要威脅。 DDoS是一個(gè)眾所周知的問題，組織可以通過使用多層DDoS保護(hù)策略來(lái)維護(hù)自己。這被認(rèn)為是最佳實(shí)踐，并利用內(nèi)部部署數(shù)據(jù)中心和云計(jì)算或基于互聯(lián)網(wǎng)服務(wù)提供商的組件。Arbor公司的全球基礎(chǔ)設(shè)施安全報(bào)告顯示，30％的企業(yè)組織在2016年采用了這一模式，高于2015年的23％。

如今的復(fù)雜攻擊常常逃避常規(guī)的防范技術(shù)，如防火墻和基于簽名的惡意軟件檢測(cè)。因此，必須采取消除這些新威脅的新措施。

但是，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)不僅被用于DDoS，人們看到被盜用的設(shè)備被用作代理，隱藏流量的真正來(lái)源，以及強(qiáng)制輸入密碼。這兩個(gè)威脅應(yīng)該在受損的物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)活動(dòng)中顯而易見，強(qiáng)調(diào)在連接了物聯(lián)網(wǎng)設(shè)備的網(wǎng)段上需要進(jìn)行遙測(cè)。

組織中的最后一個(gè)可能最重要的一個(gè)方式可以抵御物聯(lián)網(wǎng)的威脅是將安全性建立在物聯(lián)網(wǎng)設(shè)備及其用例的購(gòu)買決策之中。這里有很多事情要考慮，第一個(gè)是價(jià)值與風(fēng)險(xiǎn)。人們的咖啡機(jī)真的需要“連接”嗎？這實(shí)際上增加了什么價(jià)值與其代表的額外風(fēng)險(xiǎn)？每一個(gè)連接的設(shè)備都是一個(gè)有操作系統(tǒng)和應(yīng)用程序的計(jì)算機(jī)，其中可能存在人們應(yīng)該管理的漏洞。人們需要考慮理解和管理這些漏洞的成本是否超過了“連接”設(shè)備的價(jià)值。

如果一個(gè)物聯(lián)網(wǎng)用例通過第一個(gè)門檻，則安全性必須是次級(jí)密鑰購(gòu)買標(biāo)準(zhǔn)。在許多情況下，物聯(lián)網(wǎng)設(shè)備是基于成本和功能作為設(shè)備購(gòu)買的，而沒有考慮安全性。這必須改變。人們應(yīng)該考慮供應(yīng)商的記錄。過去發(fā)現(xiàn)其產(chǎn)品存在漏洞，如果是這樣，它有什么反應(yīng)？是否快速提供補(bǔ)丁或修復(fù)？

如果安全性成為購(gòu)買考慮因素，那么供應(yīng)商將開始為其產(chǎn)品添加更多的安全功能，而隨著物聯(lián)網(wǎng)設(shè)備中的技術(shù)的成熟，這又將變得更加容易。諸如Thread Group和開放連接基金會(huì)提出的標(biāo)準(zhǔn)也可能有助于推動(dòng)事態(tài)發(fā)展。

從根本上說，與生活中的一切一樣，人們需要平衡。物聯(lián)網(wǎng)是一種具有許多用例和優(yōu)點(diǎn)的有利技術(shù)，但人們必須承認(rèn)和管理這些好處帶來(lái)的風(fēng)險(xiǎn)。