物聯(lián)網(wǎng)(IoT)設備是最新一波直接連接到IP網(wǎng)絡的設備，這也帶來新的網(wǎng)絡安全風險。

在過去，網(wǎng)絡靜態(tài)連接首先預留給有限數(shù)量的昂貴的計算機，隨后網(wǎng)絡連接開始提供給企業(yè)、用戶家中、移動設備，現(xiàn)在開始連接到大量IoT設備。

[[147447]]

過去大量資源專門用于連接計算機到靜態(tài)網(wǎng)絡，但在物聯(lián)網(wǎng)時代，這些資源已經減少。而專用于連接這些設備到網(wǎng)絡的資源減少造成更少的資源來防止IoT安全威脅。

如果企業(yè)還沒有受到IoT攻擊，這應該是企業(yè)計劃要處理的事情。IoT攻擊最終將會到來，所以企業(yè)要學會在為時已晚之前如何最有效地防止或低于它們。

日益增加的IoT安全威脅

如果制造商和工程師第一次添加新的技術功能來連接其設備到互聯(lián)網(wǎng)，但還沒有學習到前輩開發(fā)人員的慘痛教訓，那么，他們在設計產品時將不可避免地犯同樣的錯誤—例如假定網(wǎng)絡是可信，而沒有為安全事故做計劃。

雖然企業(yè)很難阻止因設備制造問題而導致的安全風險，但企業(yè)可以評估軟件開發(fā)做法，以了解信息安全是如何整合到制造商的軟件開發(fā)過程。如果制造商外包了設備聯(lián)網(wǎng)的部分工作，這可能是一個好跡象，因為這意味著經驗豐富的軟件開發(fā)人員正在幫助制造商部署正確的開發(fā)做法。

同樣需要注意的是，IoT設備與其他聯(lián)網(wǎng)設備一樣面臨著相同的攻擊，例如拒絕服務攻擊或者使用默認賬號和默認密碼，企業(yè)可能已經遇到過這樣的問題。盡管IoT設備的攻擊面比傳統(tǒng)桌面或服務器要小，但當考慮到IoT設備的數(shù)量時，即使是很小的安全問題都可能帶來嚴重影響，這很像過去連接到互聯(lián)網(wǎng)的打印機或SCADA設備遇到的問題。

Akamai Technologies公司最近披露了重大IoT攻擊事件，該公司研究人員報告稱拒絕服務(DDoS)攻擊開始利用不安全的IoT設備配置。更具體地講，攻擊者發(fā)現(xiàn)可濫用簡單服務發(fā)現(xiàn)協(xié)議(SSDP)來放大惡意響應到偽造的IP流量以加入DDoS攻擊。研究人員指出，攻擊者通過掃描來瞄準網(wǎng)絡范圍，并發(fā)送SSDP搜索請求來確定IoT設備;然后響應流量發(fā)送到目標網(wǎng)絡作為DDoS攻擊的一部分。

如何抵御IoT安全威脅?

一方面，企業(yè)應該確保SSDP的安全使用。SSDP使用應該限于特定網(wǎng)絡以及速率限制，以最大限度地減少在攻擊中可產生的流量。企業(yè)可能還需要掃描其網(wǎng)絡(類似于Shadowserver Project掃描互聯(lián)網(wǎng))以尋找不安全配置的設備，如果發(fā)現(xiàn)這種設備，SSDP應該要被禁用或者限制在受批準的網(wǎng)絡。該設備可能還需要操作系統(tǒng)或軟件更新來修復任何SSDP漏洞。

在另一方面，企業(yè)還必須知道如何抵御基本的DDoS攻擊，企業(yè)需要在開發(fā)過程中或者生產環(huán)境中做好DDoS抵御計劃。

然而，抵御IoT相關的DDoS攻擊還需要額外的步驟。首先，強大的互聯(lián)網(wǎng)外圍保護必須只允許受批準的入站網(wǎng)絡連接。如果IoT設備不能直接通過互聯(lián)網(wǎng)來連接，那么，攻擊者更難以讓它們參與DDoS攻擊。如果IoT設備需要通過互聯(lián)網(wǎng)來直接訪問，它應該分隔在其自己的網(wǎng)絡，并有網(wǎng)絡訪問限制。這個網(wǎng)絡分段應該受到監(jiān)控以發(fā)現(xiàn)潛在的惡意流量，當出現(xiàn)問題時，應立即采取行動。

企業(yè)可以通過常規(guī)資產管理或漏洞掃描來檢測其網(wǎng)絡中的IoT設備。任何不匹配已知企業(yè)設備配置文件的新設備都應該被隔離，并將其流量重定向到注冊門戶網(wǎng)站或者網(wǎng)絡管理系統(tǒng)，以自動檢查設備的安全性。這也可能讓這些設備部署在自己的網(wǎng)絡段。

IoT設備開發(fā)人員應該投入更多資源來確保安全性，這包括在設備設計和配置中考慮更多安全性，因為這可能確保從供應商發(fā)貨的設備在默認情況下的安全性，并可能完全避免IoT DDoS安全問題。然而，對于開發(fā)人員來說，便利性、可用性和速度通常是比安全更重要的因素，實現(xiàn)這一目標就像是一場白日夢。

企業(yè)和互聯(lián)網(wǎng)服務提供商還倡導部署互聯(lián)網(wǎng)工程任務組的Best Current Practice 38，BCP 38專門用于減少欺騙性IP流量，這可以幫助防止不知情的設備參與DDoS攻擊。如果攻擊者不能發(fā)送偽造流量到設備，那么，設備就不能發(fā)送網(wǎng)絡流量用于DDoS攻擊。

IoT安全威脅的未來發(fā)展

物聯(lián)網(wǎng)給企業(yè)和個人提供了巨大的優(yōu)勢，并且，物聯(lián)網(wǎng)的發(fā)展不太可能受到安全問題的影響，例如本文中所討論的安全問題。

很多通過IoT連接到網(wǎng)絡的設備并沒有使用傳統(tǒng)技術來實現(xiàn)網(wǎng)絡連接。對于這些新設備，應該會帶來新的默認安全設計，以及在默認安全的操作系統(tǒng)的頂部建立配置，其中，只有設備的核心操作功能會啟用并受到保護。新的和現(xiàn)有的開發(fā)人員應該在設計設備時解決這些安全挑戰(zhàn)，以防止未來的安全事故。

不過，在實現(xiàn)這一點之前，用戶和企業(yè)需要采取必要的預防措施和適當?shù)目刂苼頊p少潛在的IoT安全威脅。