2018年是物聯(lián)網(wǎng)的一年����,我們看到:一方面,大規(guī)模攻擊層出不窮�,各種僵尸網(wǎng)絡死灰復燃,屢出新意����,另一方面,政府監(jiān)管和相關標準得到進一步發(fā)展��。盡管安全和隱私問題愈加嚴重�����,但是普通消費者和企業(yè)正越來越多地采用物聯(lián)網(wǎng)設備���,比如智能家居��、智慧辦公等��。2019年��,這些趨勢的發(fā)展速度將更快�。
2018年的物聯(lián)網(wǎng)攻擊
在2018年多次物聯(lián)網(wǎng)攻擊中,我們看到了Wicked�、OMG Mirai、ADB.Miner����、DoubleDoor、Hide'N Seek以及針對金融業(yè)的Mirai-Variant IoT僵尸網(wǎng)絡�。
但是,2018年的主要攻擊肯定是VPNFilter�����,它攻擊了全球范圍內(nèi)的超過50萬臺設備����,大多數(shù)設備為路由器����,包括Linksys�、MikroTik�、Netgear、TP-Link���、QNAP�����、華碩��、D-Link�、華為��、Ubiquiti�、UPVEL 和中興等廠商產(chǎn)品無一幸免。雖然這種攻擊相對較大����,但它不再是罕見或一種意外。
監(jiān)管工作將會進一步增加
這種攻擊的增加���,是否意味著該行業(yè)已經(jīng)習慣于物聯(lián)網(wǎng)網(wǎng)絡攻擊?圍繞物聯(lián)網(wǎng)安全的監(jiān)管�,今年的回答是沒有�����,不同層面的多項監(jiān)管行動正在實施。
英國政府的DCMS部門(數(shù)字����、文化、媒體和體育)發(fā)布了"消費者物聯(lián)網(wǎng)安全實踐守則"和"設計安全:改善消費者物聯(lián)網(wǎng)報告的網(wǎng)絡安全"�����,制定有關物聯(lián)網(wǎng)設備安全的指南和建議�。
美國加州政府更進一步,通過"B-327信息隱私:設備連接"法案��,這是第一個專注于物聯(lián)網(wǎng)設備安全及用戶隱私保護的法案�。
該法案表明,政府可以且有意愿參與物聯(lián)網(wǎng)設備監(jiān)管���。
即將到來的政府標準化工作將在2019年繼續(xù)大幅增加����。我們預計�,相關法規(guī)將擴展到認證和數(shù)據(jù)隱私之外,以及更詳細的網(wǎng)絡安全要求和對設備物料清單的可見性。這些操作將增加對供應商的要求��,從安全建議道實際工作任務����。
此外���,在2018年�����,我們看到物聯(lián)網(wǎng)安全事件的報告超越了安全和技術媒體����,進入主流媒體視野���。我們相信�����,這在2019年會繼續(xù)增加���,因為這將提高物聯(lián)網(wǎng)用戶對威脅的認識,反過來又會加速監(jiān)管過程�����,并對制造商施加更大壓力,提高其產(chǎn)品的安全標準��。
2019年三個物聯(lián)網(wǎng)攻擊途徑
在2019年�����,針對物聯(lián)網(wǎng)的三種攻擊途徑將繼續(xù)快速增長�。通過直接互聯(lián)網(wǎng)接口感染大量設備的攻擊,以及對數(shù)據(jù)中心和云服務或加密貨幣挖掘為目的進行的DDoS攻擊�����。
針對勒索個人和組織(如酒店���、醫(yī)院或賭場)的特定設備進行有針對性的開發(fā)����。我們預見到一些攻擊行為:
劫持設備����,在支付贖金后才釋放;
錄制令人尷尬或犯罪的視頻和音頻;
將設備作為APT(高級持續(xù)性威脅)攻擊的一部分進行攻擊,并利用它們進行橫向移動來獲取對敏感數(shù)據(jù)資產(chǎn)的訪問(比如,通過直接與網(wǎng)絡服務交互的打印機�、通過智能電話會議系統(tǒng)等。);
利用連接設備的功能��,由國家贊助的機構和攻擊性網(wǎng)絡安全公司收集情報;
大型安全公司以及個人安全研究人員在沒有供應商協(xié)作的情況下�,在各種設備(包括相機��、路由器���、網(wǎng)關����、NAS和真空吸塵器等)中查找和披露零日漏洞的大量研究工作�。這些研究工作雖然有意義,但是會導致攻擊者利用被發(fā)現(xiàn)易受攻擊但尚未被供應商修補的設備�。
攻擊復雜性會增加
雖然大多數(shù)物聯(lián)網(wǎng)安全研究是在容易購買的設備上進行,在實驗室進行拆解和破解�,但是我們預計對更高端連接設備的研究將逐步增加,比如智能建筑的關鍵基礎設施����、火災報警系統(tǒng)和公用事業(yè)基礎設施。
現(xiàn)在的情況是���,攻擊者越來越精明和大膽�,例如VPNFilter對烏克蘭氯蒸餾廠的攻擊就是一個很好的例子。這種威脅有能力擴展到大量設備����,它基于適用于不同架構的模塊化機制,能在設備重啟后繼續(xù)生存����,以及附帶監(jiān)控和攔截通過設備流量的能力。
這種復雜性將繼續(xù)發(fā)展��,并且只是我們在未來物聯(lián)網(wǎng)設備中缺乏安全性實施所看到的一個例子��。
增強設備安全的設計能力
我們已經(jīng)看到一些關于安全和隱私問題的案件�����,它們被裁定有利于用戶���,對設備制造商施加責任�����。在2019年期間�����,我們預測這些案件和裁決的數(shù)量將繼續(xù)增加����。
即使在法庭外解決,這一趨勢也將成為物聯(lián)網(wǎng)制造商更加重視安全的強大動力��,使安全成為開發(fā)階段的關鍵問題���。
此外,物聯(lián)網(wǎng)制造商將受到激勵以保護他們的設備�����,因為企業(yè)買家將要求適配于企業(yè)環(huán)境的安全設備���,以減少他們的風險和攻擊面����。
網(wǎng)絡安全自動化時代到來
來自連接設備的網(wǎng)絡威脅不斷增加���,將對業(yè)務和運營連續(xù)性以及消費者的生活產(chǎn)生更大的影響�����。
對某些情況����,物聯(lián)網(wǎng)設備制造商必須對物聯(lián)網(wǎng)網(wǎng)絡安全有更快的響應和應對。我們預計�,為了開發(fā)安全的新設備,以及修補傳統(tǒng)設備的大量目錄��,制造商轉(zhuǎn)向自動化�,這可能作為解決安全和隱私問題真正有效的唯一方法。
2019年����,將是基于技術的解決方案一年,依靠自動化可能成為物聯(lián)網(wǎng)安全生態(tài)系統(tǒng)的指路燈���。
