好久没有更新文章,让大家久等,最近因为忙于项目,忙于研发一款第三方物联网平台,让大家久等了,本项目将会在八月底九月初左右上线;到时希望各位粉丝朋友,一起加入平台进行测试。言归正传,我们一起聊聊物联网相关事项。
“物”是一个新的流行词,但我们在物联网的背景下谈论的“物”是什么?嗯,从我们的手机到智能手表、相机、冰箱、烟雾报警器、婴儿监视器、打印机、扬声器、咖啡机和安全摄像头,都是可以或可能与互联网有某种连接的设备,可以远程跟踪和管理。
由于IOT设备有能力连接到Internet,因此引入了攻击者可以利用的新路径作为攻击向量。也就是说,与大多数其他脆弱性一样,缓解这一生态系统风险的努力是滞后的。
目前,物联网领域存在一些相当大的脱节,这使得许多IT和安全专业人员受到了惊吓。这些设备存在的威胁来自几个薄弱领域:物联网设备缺乏固件安全性、公司内部管理流程缺乏以及对其第三方物联网安全实践缺乏尽职调查。下面,我将讨论这三个基本问题,这三个问题助长了这一地区的威胁。
物联网设备通常不会考虑到安全性
与互联网早期一样,为了跟上日益增长的需求,企业在没有充分解决互联网安全问题的情况下,迅速将产品推向生产线,这就造成了各种眼前的问题,需要快速解决。在许多方面,历史可能会随着物联网而重演。在配置到IOT设备中的几乎没有安全基础的情况下,这为攻击者为他们的利益操作这些设备提供了巨大的机会。风险包括犯罪分子利用物联网设备(如僵尸网络)攻击基础设施和恶意软件传播、垃圾邮件、,DDoS攻击和匿名恶意活动。”
这类风险的一个很好的例子是2016年的Marai攻击,这是一种恶意软件,它将运行Linux的网络设备变成远程控制的“机器人”,用作僵尸网络的一部分。此恶意软件的主要目标是物联网设备,目的是稍后使用这些设备执行各种分布式拒绝服务(DDoS)攻击。
将不安全的设备带入工作场所,然后未能对其进行监控和更新
物联网管理的另一个主要问题是缺乏对这些设备的责任。没有太多的责任来解决或管理物联网风险,为这些设备建立一个文件化的更新周期的方法是不实际的。在一个企业网络中,使用超过三到四年并充分使用的设备并不少见,尤其是当制造商停止生产某一产品,或者不再提供旧产品的补丁时。更重要的是,大多数组织并没有意识到他们环境中的每一个不安全的物联网设备,或者他们的第三方供应商。
让我们翻转一下脚本,同时考虑一下BYOD背后的新理想主义,允许这些设备访问公司的特权信息。大多数物联网设备都连接到移动设备上,随着公司现在允许在其网络上使用移动设备,攻击有可能以任何一种方式从侧面发起。如果没有针对员工个人设备安全的政策,风险似乎更大。让我们不要忘记,手机确实是物联网的开始。
只有29%的组织积极监控第三方物联网风险
与物联网设备相关的这种缺乏安全性的情况,给第三方物联网设备带来了一些可怕的危险。根据报告,26%的受访者承认,他们不确定自己的组织是否受到涉及物联网设备的网络攻击的影响。此外,不到一半的组织表示,他们正在积极监测其工作场所内的物联网设备风险,只有29%的组织在积极监测第三方物联网风险。
当94%的受访者认为在未来两年内有可能再次发生涉及不安全物联网设备的DDoS攻击时,这一巨大差距令人不安,而且这一事件将是灾难性的。
总结
随着物联网技术越来越多地融入到我们的日常生活中,很大比例的网络攻击将针对这个快速发展的行业。然而,企业终于意识到物联网设备给工作场所带来的风险,以及让设备通过第三方连接到企业网络意味着什么。
这一领域的风险管理尚未完全成熟,许多第三方尚未对这类风险进行适当评估。首先了解您网络中当前实施的所有物联网设备或应用程序,以及您的第三方,这一点很重要。在这一点上,围绕这些设备的安全性分配实施政策和评估审查的责任应该得到高度重视。