物聯網裝置所面臨的風險與挑戰
物聯網是一種包含網路感測器的裝置,可以進行遠端監測和控制。到2025年,物聯網裝置的安裝數量預計將達到750億臺。這些裝置包括家用路由器、遠端攝像頭、醫療裝置等等。物聯網市場涵蓋的領域非常廣泛,包括工業、銀行業、零售業、製造業以及醫療保健等行業。2018年以來,隨著總體網路安全趨勢的暴露,全球範圍內大量正在使用中的物聯網裝置如今已淪落為網路犯罪分子的樂園。隨著越來越多物聯網裝置被引入市場,物聯網所面臨的風險也在愈發增多,且威脅樣式也在發生轉變。
威脅之源
物聯網裝置是多式多樣的,一些看似並不複雜的裝置——比如IP攝像頭,或是連線外部網路的硬碟驅動器,由於它們的用途較為單一,因此被設計成易於部署、少量配置且容易設定的形態,這類裝置也被稱為“啞巴”裝置。然而,漏洞往往就藏在這些簡單設計裡,產品的易用性往往也意味著產品安全性上的薄弱。為了急於將產品推廣上市,物聯網裝置製造商幾乎很少會顧及到產品的安全方面,這就導致了一些惡意軟體——比如Mirai、Shishiga、Hajime、Okiru和Torii等,在暗中蔓延橫行,爭先恐後般的想要引導對企業、政府、ISP、電信等機構的下一代裝置的攻擊。上述的這些惡意軟體,其意圖都是接管物聯網裝置、積累殭屍網路,進而用於拒絕服務攻擊(DDoS、垃圾郵件和各種其他毀滅性的網路病毒)。
就在不久之前,研究人員發現了一個新型的物聯網殭屍網路。它感染了累計超過10萬個家庭路由器,並通過向用戶傳送Hotmail、Outlook和Yahoo垃圾郵件的方式影響受害者。而它所利用的漏洞,早在2013年就由DefenseCode的安全研究人員指出了,這個漏洞存在於Broadcom UPnP SDK模件中,而該模件已經嵌入了多個供應商的數千個路由器模型裡。
美中經濟與安全審查委員會則指出了物聯網發展所面臨的另一個威脅:
由於安全保障機制的寬鬆以及物聯網裝置連線的通用性,中美兩國的政府機構、公司企業都會在未來面臨著物聯網供應鏈所帶來的巨大風險。並且隨著5G的廣泛部署,利用物聯網裝置的網路攻擊只會加速產生和傳播。
增長的風險
物聯網裝置的高速增長,一方面是科技進步的必然結果,另一方面卻為民眾埋下了嚴重的安全隱患,甚至可能會對電力、通訊等行業的關鍵基礎設施造成災難性的後果。因此,政府促使物聯網製造商將安全機制嵌入到其裝置的舉措就顯得愈發重要。
參議院特別情報委員會副主席、弗吉尼亞州參議員馬克·華納(Mark Warner)呼籲美國各機構對此採取舉措,而美國國會就是首批提出立法推進物聯網安全的代表之一,加利福尼亞州當前則通過立法,要求製造商擁有“合理的安全功能或特徵”。上個月,歐盟執法機構歐洲刑警組織和歐盟網路和資訊保安局ENISA召開了物聯網安全會議,討論行業的當前核心問題——如何在為時已晚之前保護物聯網。
可以想到,許多製造商會爭辯說,要求物聯網裝置的額外安全性必然會增加裝置的成本。但只有當我們接受了安全性這個前提,才能防止對全國乃至全球產生影響的災難。
阻止物聯網入侵
立法是個好的長期解決方案,但它並不是立竿見影的解決辦法。下列幾種方法可以防止物聯網裝置受到感染,同時也必須採取其他步驟,以防止這些裝置對連線到網路的其他裝置造成進一步損害。
密碼設定是開啟物聯網裝置保護的最簡單容易的步驟,但常常被人們忽視。密碼的初始預設值通過檢視線上文件就可以知曉了。由於這些裝置安裝起來很容易,使用者通常不會更改初始密碼,當其連線到網際網路時,就相當於為惡意行為者提供了一扇大門,讓他們能夠隨意進入、感染並利用裝置。
而另一個漏洞利用機會對網路犯罪分子們來說就十分熟悉了——一旦在物聯網裝置中發現漏洞,大多數在部署後不會更新。更麻煩的是,許多裝置甚至無法更新。這意味著只要製造商還沒有提供方法來修改漏洞,被部署後設備就只能維持原樣,這也是惡意軟體能大行其道的原因之一。裝置一旦遭到感染,阻止惡意軟體的唯一方法就是將裝置更換。
如前所述,物聯網裝置是用途單一或有限的裝置,它們不需要擁有完全的網路訪問許可權就能完成工作。因此將裝置部署到網路上時,應限制其他裝置的訪問許可權,能防止感染的進一步蔓延。在理想情況下,物聯網裝置應該只能訪問執行的基本內容,其他任何東西都應該被遮蔽。
最後,在企業網路上部署物聯網裝置時,如果裝置能夠訪問關鍵業務的應用程式,應當確保有方法能監控流量,並安裝相應的監控警報,提示惡意或異常活動的出現。例如,如果煙霧探測器開始與郵件伺服器通訊,那麼你就會知道當中肯定出現了問題。網路流量分析正是清楚瞭解這種活動發生的途徑所在。
只有當眾人都認識到了內在的風險,並立法推動的情況下,物聯網製造商將不得不改進這些裝置的安全性,否則在災難性事件發生時我們才不至於追悔莫及。