物聯(lián)網(wǎng)安全風險分析 兩種類型最可怕

　　鑒于物聯(lián)網(wǎng)設(shè)備已經(jīng)在整個企業(yè)范圍內(nèi)得到廣泛的使用和傳播，企業(yè)的生產(chǎn)環(huán)境到底有多安全?而通過這些物聯(lián)網(wǎng)設(shè)備來入侵企業(yè)網(wǎng)絡(luò)有多容易?企業(yè)如何保護自身的安全?本文分析物聯(lián)網(wǎng)所帶來的相關(guān)安全風險，并確定哪些安全風險是最為重要的，以及如何防范提供一些針對性的建議。

　　物聯(lián)網(wǎng)安全風險分析 兩種類型最可怕

　　物聯(lián)網(wǎng)安全問題是否真的存在?

　　讓我們從最基本的問題開始：企業(yè)當前正面臨怎樣的物聯(lián)網(wǎng)相關(guān)的風險?

　　OpenDNS安全實驗室安全研究部門高級總監(jiān)AndrewHay說：“我們所觀察到的最大問題是，對于面向消費者的網(wǎng)絡(luò)攝像頭和智能電視設(shè)備，當期在被廠商制造時，確實是進行了安全測試的，但只有當運行在一個非關(guān)鍵性的環(huán)境。他們沒有針對企業(yè)級的安全進行測試。這是相當令人震驚的，因為在現(xiàn)如今的企業(yè)中，這些設(shè)備越來越被頻繁的用于訪問企業(yè)網(wǎng)絡(luò)。他們能連接到企業(yè)網(wǎng)絡(luò)，但企業(yè)只是像玩具一樣對待他們。并沒有像針對其他移動設(shè)備一樣實施相同的安全BYOD管理策略。只被認為是一些玩具和小玩意兒。”

　　安全公司Bastille的創(chuàng)始人和首席執(zhí)行官克里斯·魯蘭補充說，通常情況下，企業(yè)甚至沒有針對在他們的辦公室和設(shè)施中使用的所有無線設(shè)備進行跟蹤記錄。

　　“我敢肯定，每家企業(yè)在他們的辦公環(huán)境中都有無線發(fā)射器，但他們卻并沒有意識到，這是相當不安全的?！彼f?！皢栴}就在于，對于物聯(lián)網(wǎng)設(shè)備而言，目前還沒有發(fā)生類似于1999年的梅麗莎病毒(Melissavirus)這樣的分水嶺事件?！痹谀且荒?，梅麗莎病毒的傳播是如此廣泛——包括微軟和英特爾網(wǎng)絡(luò)都慘遭不幸——其提高了人們對于保護企業(yè)計算機和網(wǎng)絡(luò)，免受病毒侵害的重要性的意識。

　　兩種類型的物聯(lián)網(wǎng)危險

　　在一般情況下，企業(yè)面臨著兩種主要的物聯(lián)網(wǎng)威脅——通過物聯(lián)網(wǎng)設(shè)備所帶來的專門針對企業(yè)的威脅，以及那些主要針對消費者的威脅。您可能會想到，消費類設(shè)備所構(gòu)成的危險比那些專門針對企業(yè)的威脅更大。但許多安全專家表示說，情況并非如此。

　　思科安全業(yè)務(wù)部門產(chǎn)品營銷經(jīng)理MarcBlackmer解釋說，“現(xiàn)如今，圍繞著諸如Nest恒溫器或智能電視可能成為企業(yè)??的安全隱患有太多太多的炒作了?！钡蟮膯栴}則是由企業(yè)級的物聯(lián)網(wǎng)設(shè)備的復(fù)雜性，及企業(yè)對于這些危險性的不完全的理解所帶來的。他認為：“我們太過關(guān)注于我們的冰箱在做什么。這可能使得我們可能會忽略了這樣一個事實，即目前的企業(yè)網(wǎng)絡(luò)中更多的路由協(xié)議。您甚至可以通過智能手機來自管理企業(yè)設(shè)備?！?/p>

　　為此，他列舉了2008年在土耳其的一個石油管道被攻擊的例子。該石油管道是通過IP連接的網(wǎng)絡(luò)監(jiān)控攝像頭所監(jiān)控的，旨在保護管道設(shè)施。但具有諷刺意味的是，攻擊者利用攝像頭的漏洞闖入網(wǎng)絡(luò)，控制了石油管道。然后他們植入惡意軟件并遠程獲得控制器在管道閥門站的控制權(quán)。之后，他們通過改變石油壓力炸毀了管道。他們還遠程關(guān)閉了管道的應(yīng)急系統(tǒng)，使管道的業(yè)主沒有立即意識到被攻擊。

　　另一個嚴重的問題是由外部承包商連接到企業(yè)網(wǎng)絡(luò)，但其并不具備與企業(yè)相同的安全系統(tǒng)和規(guī)則所導(dǎo)致的。他們的設(shè)備可能不安全，可能會對企業(yè)網(wǎng)絡(luò)造成安全風險。

　　比利里奧斯，云安全公司Qualys的威脅情報總監(jiān)比利·里奧斯告訴《紐約時報》的記者說，“遠程訪問這些(企業(yè))系統(tǒng)是很常見的，而集成商幾乎總是在企業(yè)網(wǎng)絡(luò)上。”由Qualys公司所進行的一項研究發(fā)現(xiàn)，有55000個采暖，通風，空調(diào)(HVAC)系統(tǒng)連接到互聯(lián)網(wǎng)。而在大多數(shù)情況下，這些系統(tǒng)包含了基本的安全漏洞，可能使得攻擊者能夠很容易的進入企業(yè)網(wǎng)絡(luò)。該公司表示。

　　約翰·佩斯卡托是一名安全專家，擁有漫長的職業(yè)生涯，曾就職于美國國家安全局和GTE，現(xiàn)在是SANS研究所新興安全趨勢主管。他表示，企業(yè)一般擅長管理電腦，移動設(shè)備和用戶級交換機的威脅——而這些通常被認為是IT部門的傳統(tǒng)領(lǐng)域。但是，當非IT設(shè)備和系統(tǒng)連接到他們的網(wǎng)絡(luò)時，他們就有問題了。

　　“一家企業(yè)搬遷到了一幢新的建筑，而且空調(diào)系統(tǒng)、電梯以及攝像機卻仍在原來的同一個網(wǎng)絡(luò)上，這些東西不一定是被保護的。如果您企業(yè)甚至無法檢測您自己的網(wǎng)絡(luò)，那么您甚至都無法保護自己?！?/p>

　　來自消費者物聯(lián)網(wǎng)的威脅

　　上述所有這一切并不意味著消費者的物聯(lián)網(wǎng)設(shè)備并不對企業(yè)網(wǎng)絡(luò)構(gòu)成威脅。他們同樣也會構(gòu)成安全威脅。有安全專家警告說，諸如電視機，照相機，可穿戴設(shè)備等智能設(shè)備的大量泛濫，更會對許多企業(yè)網(wǎng)絡(luò)造成嚴重的安全漏洞。

　　或許，針對這方面的安全威脅最廣泛全面的研究是由OpenDNS完成的。其題為《2015年企業(yè)物聯(lián)網(wǎng)》的報告分析了超過160個國家的約5000萬名個人和企業(yè)用戶的網(wǎng)絡(luò)流量，其調(diào)查結(jié)果令人擔憂。研究發(fā)現(xiàn)，“在美國，亞洲和歐洲的消費設(shè)備，如Dropcam網(wǎng)絡(luò)視頻攝像頭、Fitbit穿戴式健身器材、西數(shù)公司的‘我的云’存儲設(shè)備、各種連接的醫(yī)療設(shè)備以及三星的智能電視都無時無刻不連接到服務(wù)器——即使在不使用時也是如此。”調(diào)查發(fā)現(xiàn)，智能電視似乎是通過不可信的安全證書與現(xiàn)有的基礎(chǔ)設(shè)施連接溝通的，而這種連接無疑是為大量知名的網(wǎng)絡(luò)攻擊打開了傳播途徑。

　　OpenDNS還發(fā)現(xiàn)了其他安全威脅，包括物聯(lián)網(wǎng)基礎(chǔ)設(shè)施與連接其的設(shè)備進行通信很容易受到攻擊，這包括“Heartbleed”安全漏洞和FREAK。(有關(guān)該報告的更多細節(jié)，請參閱《兩項調(diào)查顯示物聯(lián)網(wǎng)安全危險在企業(yè)中普遍存在》)

　　關(guān)于物聯(lián)網(wǎng)的安全威脅，還有一個鮮為人知的方面。安全公司PwnieExpress的首席執(zhí)行官保羅·佩吉特警告說：內(nèi)置Wi-Fi功能的小型廉價可編程處理器可以在一家企業(yè)留下“武器”來攻擊企業(yè)網(wǎng)絡(luò)。VoCore便是這樣的一個設(shè)備，用其制造商的話來形容就是：“一個具有Wi-Fi功能的硬幣大小的Linux電腦”，其售價僅為20美元。一份PwnieExpress的題為《邪惡的物聯(lián)網(wǎng)》的報告警告說，“只要稍稍具備一些如何正確利用其全部功能的相關(guān)知識，VoCore就可以被用來危及整個網(wǎng)絡(luò)。而且，即使是沒有經(jīng)驗的用戶，也可以通過簡單地將設(shè)備插入到以太網(wǎng)插孔，對網(wǎng)絡(luò)防御造成相當大的安全漏洞?！?/p>

　　對物聯(lián)網(wǎng)的安全建議

　　鑒于上述這一切，企業(yè)要如何處理物聯(lián)網(wǎng)的安全威脅呢?如下是一些專家的建議。

　　找到您企業(yè)網(wǎng)絡(luò)上的所有物聯(lián)網(wǎng)設(shè)備并關(guān)閉。這是最簡單的：您無法保護您根本不知道其存在的東西。找到所有連接到您企業(yè)網(wǎng)絡(luò)的設(shè)備，這不僅包括傳統(tǒng)的IT設(shè)備，而且還包括智能電視，恒溫器，員工的可穿戴設(shè)備，等等。但是，這僅僅只是一個開始。您還需要尋找并未連接到您網(wǎng)絡(luò)的Wi-Fi熱點，如可能是員工自己設(shè)置的熱點，以及諸如VoCore等設(shè)備。您企業(yè)還應(yīng)該確定識別使用移動蜂窩數(shù)據(jù)的設(shè)備。

　　如果您企業(yè)沒有能力這樣做，有許多公司能夠提供這方面的服務(wù)。OpenDNS可以幫助您企業(yè)跟蹤網(wǎng)絡(luò)活動及網(wǎng)絡(luò)與這些網(wǎng)絡(luò)活動相關(guān)的個人設(shè)備上。SysAid公司能夠提供網(wǎng)絡(luò)發(fā)現(xiàn)工具，幫助您找到網(wǎng)絡(luò)上的所有設(shè)備。PwnieExpress和Bastille還能夠幫助您發(fā)現(xiàn)在辦公室的所有有線和無線設(shè)備，以及這些設(shè)備是否連接到網(wǎng)絡(luò)?；萜蘸退伎贫继峁┒喾N安全服務(wù)，從發(fā)現(xiàn)網(wǎng)絡(luò)上的設(shè)備開始，然后將其添加安全層。

　　檢查網(wǎng)絡(luò)身份驗證和訪問權(quán)限。哪些規(guī)則控制怎樣的設(shè)備可以連接到您企業(yè)的網(wǎng)絡(luò)，以及他們有什么樣的訪問權(quán)限?此前，在制定這些規(guī)則和訪問權(quán)限時，并為考慮到物聯(lián)網(wǎng)設(shè)備的因素，那么，現(xiàn)在是將眼光擴展到物聯(lián)網(wǎng)領(lǐng)域，針對這些規(guī)則進行審視的一個很好的機會。例如，員工的智能手表是否被允許連接到企業(yè)網(wǎng)絡(luò)，如果有，他們有什么樣的訪問權(quán)限?溫控器呢?電燈泡呢?暖通空調(diào)設(shè)備呢?

　　鎖定外部連接到您的網(wǎng)絡(luò)。什么樣的外部服務(wù)，網(wǎng)絡(luò)和承包商能夠連接到您的網(wǎng)絡(luò)?您企業(yè)的暖通空調(diào)承包商是否有權(quán)限連接到您企業(yè)網(wǎng)絡(luò)?您企業(yè)的設(shè)施部門與制造車間的連接狀況如何?他們有很多的設(shè)備可能會導(dǎo)致問題。思科安全解決方案的安全實踐經(jīng)理馬克·哈蒙德說，“一套全面的安全計劃的一部分是對第三方風險和供應(yīng)商風險的管理。了解企業(yè)所有的供應(yīng)商，畢竟，您企業(yè)的相關(guān)數(shù)據(jù)是在這些企業(yè)之間傳輸，并且要讓您企業(yè)的安全控制到位。”因此企業(yè)必須進行詳細的審查，加強網(wǎng)絡(luò)安全連接，建立相關(guān)的規(guī)則，規(guī)定承包商是否可以訪問您企業(yè)的網(wǎng)絡(luò)，以及如何訪問。

　　對所有物聯(lián)網(wǎng)設(shè)備制定安全標準。SANS研究所的約翰·佩斯卡托建議說，從采購周期開始，您企業(yè)就需要考慮網(wǎng)絡(luò)安全了。這適用于任何連接到企業(yè)網(wǎng)絡(luò)的設(shè)備，而并不僅僅意味著IT設(shè)備?，F(xiàn)在，除了有智能恒溫器，已經(jīng)有智能冰箱和智能燈泡了。因此，安全標準需要針對一切會進入企業(yè)的設(shè)備來設(shè)置。除非相關(guān)設(shè)備符合這些標準，否則就不應(yīng)該被允許訪問企業(yè)網(wǎng)絡(luò)。

　　重新反思IT在安全中的作用。專家認為，在物聯(lián)網(wǎng)世界中，企業(yè)需要做的最重要的事情之一是重新思考安全在整個企業(yè)的角色作用。一家企業(yè)通常都是按照職能所組織架構(gòu)起來的，如設(shè)備部門負責采購和維護采暖和空調(diào)系統(tǒng)等設(shè)備;而生產(chǎn)部門則負責處理生產(chǎn)相關(guān)的設(shè)備，包括控制設(shè)備;而IT部門則負責電腦，BYOD設(shè)備以及網(wǎng)絡(luò)。但在物聯(lián)網(wǎng)的世界中，這可能會導(dǎo)致問題。

　　SysAidTechnologies公司的首席執(zhí)行官SarahLahav說，“今天，如果您想要購買電腦或者想要帶上您自己的設(shè)備到公司，您需要與您企業(yè)的IT部門商量。但如果您是在設(shè)施部門，您想買一個溫控器，您不應(yīng)該向IT部門或公司的首席安全官打招呼。在物聯(lián)網(wǎng)時代，這已經(jīng)發(fā)生了改變。必須企業(yè)級的廣泛的安全規(guī)則?！?/p>

　　不同的企業(yè)將以不同的方式來處理這些變化。有些企業(yè)可能會在IT部門的支持下，采用許多類型的設(shè)備，而其他企業(yè)可能會擴大首席安全官的作用，所以他們都會參與到對所有設(shè)備的采購和安全要求的制定中，而不僅僅只是IT部門。但無論如何，Lahav說，重組必須發(fā)生。

　　回歸基本層面。思科公司的Marc Blackmer說，“從我的角度來看，您不能忘記的基本層面。人們擔心，“冰箱智能化，我們該怎么辦?”但是這一切其實都要歸結(jié)為風險分析和風險管理。如果您真的把它分解到詳細的具體是什么的層面，其只是設(shè)備的連接。對此，我們一直在處理，而且已經(jīng)有很長一段時間了。解決方案是部署安全控制以減輕風險，然后重復(fù)循環(huán)該安全控制。如果您企業(yè)沒有這方面的認識，那么物聯(lián)網(wǎng)只是一個大的，可怕的空間，而您企業(yè)也只是在黑暗中摸索。”