物聯(lián)網(wǎng)安全風險分析 兩種類型最可怕
鑒于物聯(lián)網(wǎng)設(shè)備已經(jīng)在整個企業(yè)范圍內(nèi)得到廣泛的使用和傳播,企業(yè)的生產(chǎn)環(huán)境到底有多安全?而通過這些物聯(lián)網(wǎng)設(shè)備來入侵企業(yè)網(wǎng)絡(luò)有多容易?企業(yè)如何保護自身的安全?本文分析物聯(lián)網(wǎng)所帶來的相關(guān)安全風險,并確定哪些安全風險是最為重要的,以及如何防范提供一些針對性的建議。
物聯(lián)網(wǎng)安全風險分析 兩種類型最可怕
物聯(lián)網(wǎng)安全問題是否真的存在?
讓我們從最基本的問題開始:企業(yè)當前正面臨怎樣的物聯(lián)網(wǎng)相關(guān)的風險?
OpenDNS安全實驗室安全研究部門高級總監(jiān)AndrewHay說:“我們所觀察到的最大問題是,對于面向消費者的網(wǎng)絡(luò)攝像頭和智能電視設(shè)備,當期在被廠商制造時,確實是進行了安全測試的,但只有當運行在一個非關(guān)鍵性的環(huán)境。他們沒有針對企業(yè)級的安全進行測試。這是相當令人震驚的,因為在現(xiàn)如今的企業(yè)中,這些設(shè)備越來越被頻繁的用于訪問企業(yè)網(wǎng)絡(luò)。他們能連接到企業(yè)網(wǎng)絡(luò),但企業(yè)只是像玩具一樣對待他們。并沒有像針對其他移動設(shè)備一樣實施相同的安全BYOD管理策略。只被認為是一些玩具和小玩意兒?!?/p>
安全公司Bastille的創(chuàng)始人和首席執(zhí)行官克里斯·魯蘭補充說,通常情況下,企業(yè)甚至沒有針對在他們的辦公室和設(shè)施中使用的所有無線設(shè)備進行跟蹤記錄。
“我敢肯定,每家企業(yè)在他們的辦公環(huán)境中都有無線發(fā)射器,但他們卻并沒有意識到,這是相當不安全的。”他說?!皢栴}就在于,對于物聯(lián)網(wǎng)設(shè)備而言,目前還沒有發(fā)生類似于1999年的梅麗莎病毒(Melissavirus)這樣的分水嶺事件?!痹谀且荒?,梅麗莎病毒的傳播是如此廣泛——包括微軟和英特爾網(wǎng)絡(luò)都慘遭不幸——其提高了人們對于保護企業(yè)計算機和網(wǎng)絡(luò),免受病毒侵害的重要性的意識。
兩種類型的物聯(lián)網(wǎng)危險
在一般情況下,企業(yè)面臨著兩種主要的物聯(lián)網(wǎng)威脅——通過物聯(lián)網(wǎng)設(shè)備所帶來的專門針對企業(yè)的威脅,以及那些主要針對消費者的威脅。您可能會想到,消費類設(shè)備所構(gòu)成的危險比那些專門針對企業(yè)的威脅更大。但許多安全專家表示說,情況并非如此。
思科安全業(yè)務(wù)部門產(chǎn)品營銷經(jīng)理MarcBlackmer解釋說,“現(xiàn)如今,圍繞著諸如Nest恒溫器或智能電視可能成為企業(yè)??的安全隱患有太多太多的炒作了?!钡蟮膯栴}則是由企業(yè)級的物聯(lián)網(wǎng)設(shè)備的復雜性,及企業(yè)對于這些危險性的不完全的理解所帶來的。他認為:“我們太過關(guān)注于我們的冰箱在做什么。這可能使得我們可能會忽略了這樣一個事實,即目前的企業(yè)網(wǎng)絡(luò)中更多的路由協(xié)議。您甚至可以通過智能手機來自管理企業(yè)設(shè)備。”
為此,他列舉了2008年在土耳其的一個石油管道被攻擊的例子。該石油管道是通過IP連接的網(wǎng)絡(luò)監(jiān)控攝像頭所監(jiān)控的,旨在保護管道設(shè)施。但具有諷刺意味的是,攻擊者利用攝像頭的漏洞闖入網(wǎng)絡(luò),控制了石油管道。然后他們植入惡意軟件并遠程獲得控制器在管道閥門站的控制權(quán)。之后,他們通過改變石油壓力炸毀了管道。他們還遠程關(guān)閉了管道的應(yīng)急系統(tǒng),使管道的業(yè)主沒有立即意識到被攻擊。
另一個嚴重的問題是由外部承包商連接到企業(yè)網(wǎng)絡(luò),但其并不具備與企業(yè)相同的安全系統(tǒng)和規(guī)則所導致的。他們的設(shè)備可能不安全,可能會對企業(yè)網(wǎng)絡(luò)造成安全風險。
比利里奧斯,云安全公司Qualys的威脅情報總監(jiān)比利·里奧斯告訴《紐約時報》的記者說,“遠程訪問這些(企業(yè))系統(tǒng)是很常見的,而集成商幾乎總是在企業(yè)網(wǎng)絡(luò)上?!庇蒕ualys公司所進行的一項研究發(fā)現(xiàn),有55000個采暖,通風,空調(diào)(HVAC)系統(tǒng)連接到互聯(lián)網(wǎng)。而在大多數(shù)情況下,這些系統(tǒng)包含了基本的安全漏洞,可能使得攻擊者能夠很容易的進入企業(yè)網(wǎng)絡(luò)。該公司表示。
約翰·佩斯卡托是一名安全專家,擁有漫長的職業(yè)生涯,曾就職于美國國家安全局和GTE,現(xiàn)在是SANS研究所新興安全趨勢主管。他表示,企業(yè)一般擅長管理電腦,移動設(shè)備和用戶級交換機的威脅——而這些通常被認為是IT部門的傳統(tǒng)領(lǐng)域。但是,當非IT設(shè)備和系統(tǒng)連接到他們的網(wǎng)絡(luò)時,他們就有問題了。
“一家企業(yè)搬遷到了一幢新的建筑,而且空調(diào)系統(tǒng)、電梯以及攝像機卻仍在原來的同一個網(wǎng)絡(luò)上,這些東西不一定是被保護的。如果您企業(yè)甚至無法檢測您自己的網(wǎng)絡(luò),那么您甚至都無法保護自己?!?/p>
來自消費者物聯(lián)網(wǎng)的威脅
上述所有這一切并不意味著消費者的物聯(lián)網(wǎng)設(shè)備并不對企業(yè)網(wǎng)絡(luò)構(gòu)成威脅。他們同樣也會構(gòu)成安全威脅。有安全專家警告說,諸如電視機,照相機,可穿戴設(shè)備等智能設(shè)備的大量泛濫,更會對許多企業(yè)網(wǎng)絡(luò)造成嚴重的安全漏洞。
或許,針對這方面的安全威脅最廣泛全面的研究是由OpenDNS完成的。其題為《2015年企業(yè)物聯(lián)網(wǎng)》的報告分析了超過160個國家的約5000萬名個人和企業(yè)用戶的網(wǎng)絡(luò)流量,其調(diào)查結(jié)果令人擔憂。研究發(fā)現(xiàn),“在美國,亞洲和歐洲的消費設(shè)備,如Dropcam網(wǎng)絡(luò)視頻攝像頭、Fitbit穿戴式健身器材、西數(shù)公司的‘我的云’存儲設(shè)備、各種連接的醫(yī)療設(shè)備以及三星的智能電視都無時無刻不連接到服務(wù)器——即使在不使用時也是如此?!闭{(diào)查發(fā)現(xiàn),智能電視似乎是通過不可信的安全證書與現(xiàn)有的基礎(chǔ)設(shè)施連接溝通的,而這種連接無疑是為大量知名的網(wǎng)絡(luò)攻擊打開了傳播途徑。
OpenDNS還發(fā)現(xiàn)了其他安全威脅,包括物聯(lián)網(wǎng)基礎(chǔ)設(shè)施與連接其的設(shè)備進行通信很容易受到攻擊,這包括“Heartbleed”安全漏洞和FREAK。(有關(guān)該報告的更多細節(jié),請參閱《兩項調(diào)查顯示物聯(lián)網(wǎng)安全危險在企業(yè)中普遍存在》)
關(guān)于物聯(lián)網(wǎng)的安全威脅,還有一個鮮為人知的方面。安全公司PwnieExpress的首席執(zhí)行官保羅·佩吉特警告說:內(nèi)置Wi-Fi功能的小型廉價可編程處理器可以在一家企業(yè)留下“武器”來攻擊企業(yè)網(wǎng)絡(luò)。VoCore便是這樣的一個設(shè)備,用其制造商的話來形容就是:“一個具有Wi-Fi功能的硬幣大小的Linux電腦”,其售價僅為20美元。一份PwnieExpress的題為《邪惡的物聯(lián)網(wǎng)》的報告警告說,“只要稍稍具備一些如何正確利用其全部功能的相關(guān)知識,VoCore就可以被用來危及整個網(wǎng)絡(luò)。而且,即使是沒有經(jīng)驗的用戶,也可以通過簡單地將設(shè)備插入到以太網(wǎng)插孔,對網(wǎng)絡(luò)防御造成相當大的安全漏洞?!?/p>
對物聯(lián)網(wǎng)的安全建議
鑒于上述這一切,企業(yè)要如何處理物聯(lián)網(wǎng)的安全威脅呢?如下是一些專家的建議。
找到您企業(yè)網(wǎng)絡(luò)上的所有物聯(lián)網(wǎng)設(shè)備并關(guān)閉。這是最簡單的:您無法保護您根本不知道其存在的東西。找到所有連接到您企業(yè)網(wǎng)絡(luò)的設(shè)備,這不僅包括傳統(tǒng)的IT設(shè)備,而且還包括智能電視,恒溫器,員工的可穿戴設(shè)備,等等。但是,這僅僅只是一個開始。您還需要尋找并未連接到您網(wǎng)絡(luò)的Wi-Fi熱點,如可能是員工自己設(shè)置的熱點,以及諸如VoCore等設(shè)備。您企業(yè)還應(yīng)該確定識別使用移動蜂窩數(shù)據(jù)的設(shè)備。
如果您企業(yè)沒有能力這樣做,有許多公司能夠提供這方面的服務(wù)。OpenDNS可以幫助您企業(yè)跟蹤網(wǎng)絡(luò)活動及網(wǎng)絡(luò)與這些網(wǎng)絡(luò)活動相關(guān)的個人設(shè)備上。SysAid公司能夠提供網(wǎng)絡(luò)發(fā)現(xiàn)工具,幫助您找到網(wǎng)絡(luò)上的所有設(shè)備。PwnieExpress和Bastille還能夠幫助您發(fā)現(xiàn)在辦公室的所有有線和無線設(shè)備,以及這些設(shè)備是否連接到網(wǎng)絡(luò)?;萜蘸退伎贫继峁┒喾N安全服務(wù),從發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備開始,然后將其添加安全層。
檢查網(wǎng)絡(luò)身份驗證和訪問權(quán)限。哪些規(guī)則控制怎樣的設(shè)備可以連接到您企業(yè)的網(wǎng)絡(luò),以及他們有什么樣的訪問權(quán)限?此前,在制定這些規(guī)則和訪問權(quán)限時,并為考慮到物聯(lián)網(wǎng)設(shè)備的因素,那么,現(xiàn)在是將眼光擴展到物聯(lián)網(wǎng)領(lǐng)域,針對這些規(guī)則進行審視的一個很好的機會。例如,員工的智能手表是否被允許連接到企業(yè)網(wǎng)絡(luò),如果有,他們有什么樣的訪問權(quán)限?溫控器呢?電燈泡呢?暖通空調(diào)設(shè)備呢?
鎖定外部連接到您的網(wǎng)絡(luò)。什么樣的外部服務(wù),網(wǎng)絡(luò)和承包商能夠連接到您的網(wǎng)絡(luò)?您企業(yè)的暖通空調(diào)承包商是否有權(quán)限連接到您企業(yè)網(wǎng)絡(luò)?您企業(yè)的設(shè)施部門與制造車間的連接狀況如何?他們有很多的設(shè)備可能會導致問題。思科安全解決方案的安全實踐經(jīng)理馬克·哈蒙德說,“一套全面的安全計劃的一部分是對第三方風險和供應(yīng)商風險的管理。了解企業(yè)所有的供應(yīng)商,畢竟,您企業(yè)的相關(guān)數(shù)據(jù)是在這些企業(yè)之間傳輸,并且要讓您企業(yè)的安全控制到位?!币虼似髽I(yè)必須進行詳細的審查,加強網(wǎng)絡(luò)安全連接,建立相關(guān)的規(guī)則,規(guī)定承包商是否可以訪問您企業(yè)的網(wǎng)絡(luò),以及如何訪問。
對所有物聯(lián)網(wǎng)設(shè)備制定安全標準。SANS研究所的約翰·佩斯卡托建議說,從采購周期開始,您企業(yè)就需要考慮網(wǎng)絡(luò)安全了。這適用于任何連接到企業(yè)網(wǎng)絡(luò)的設(shè)備,而并不僅僅意味著IT設(shè)備?,F(xiàn)在,除了有智能恒溫器,已經(jīng)有智能冰箱和智能燈泡了。因此,安全標準需要針對一切會進入企業(yè)的設(shè)備來設(shè)置。除非相關(guān)設(shè)備符合這些標準,否則就不應(yīng)該被允許訪問企業(yè)網(wǎng)絡(luò)。
重新反思IT在安全中的作用。專家認為,在物聯(lián)網(wǎng)世界中,企業(yè)需要做的最重要的事情之一是重新思考安全在整個企業(yè)的角色作用。一家企業(yè)通常都是按照職能所組織架構(gòu)起來的,如設(shè)備部門負責采購和維護采暖和空調(diào)系統(tǒng)等設(shè)備;而生產(chǎn)部門則負責處理生產(chǎn)相關(guān)的設(shè)備,包括控制設(shè)備;而IT部門則負責電腦,BYOD設(shè)備以及網(wǎng)絡(luò)。但在物聯(lián)網(wǎng)的世界中,這可能會導致問題。
SysAidTechnologies公司的首席執(zhí)行官SarahLahav說,“今天,如果您想要購買電腦或者想要帶上您自己的設(shè)備到公司,您需要與您企業(yè)的IT部門商量。但如果您是在設(shè)施部門,您想買一個溫控器,您不應(yīng)該向IT部門或公司的首席安全官打招呼。在物聯(lián)網(wǎng)時代,這已經(jīng)發(fā)生了改變。必須企業(yè)級的廣泛的安全規(guī)則?!?/p>
不同的企業(yè)將以不同的方式來處理這些變化。有些企業(yè)可能會在IT部門的支持下,采用許多類型的設(shè)備,而其他企業(yè)可能會擴大首席安全官的作用,所以他們都會參與到對所有設(shè)備的采購和安全要求的制定中,而不僅僅只是IT部門。但無論如何,Lahav說,重組必須發(fā)生。
回歸基本層面。思科公司的Marc Blackmer說,“從我的角度來看,您不能忘記的基本層面。人們擔心,“冰箱智能化,我們該怎么辦?”但是這一切其實都要歸結(jié)為風險分析和風險管理。如果您真的把它分解到詳細的具體是什么的層面,其只是設(shè)備的連接。對此,我們一直在處理,而且已經(jīng)有很長一段時間了。解決方案是部署安全控制以減輕風險,然后重復循環(huán)該安全控制。如果您企業(yè)沒有這方面的認識,那么物聯(lián)網(wǎng)只是一個大的,可怕的空間,而您企業(yè)也只是在黑暗中摸索?!?/p>