2018年是物聯(lián)網(wǎng)的一年,我們看到:一方面���,大規(guī)模攻擊層出不窮���,各種僵尸網(wǎng)絡(luò)死灰復(fù)燃,屢出新意��,另一方面��,政府監(jiān)管和相關(guān)標(biāo)準(zhǔn)得到進(jìn)一步發(fā)展���。盡管安全和隱私問題愈加嚴(yán)重���,但是普通消費(fèi)者和企業(yè)正越來越多地采用物聯(lián)網(wǎng)設(shè)備,比如智能家居���、智慧辦公等��。2019年��,這些趨勢(shì)的發(fā)展速度將更快��。
2018年的物聯(lián)網(wǎng)攻擊
在2018年多次物聯(lián)網(wǎng)攻擊中����,我們看到了Wicked、OMG Mirai����、ADB.Miner、DoubleDoor��、Hide'N Seek以及針對(duì)金融業(yè)的Mirai-Variant IoT僵尸網(wǎng)絡(luò)���。
但是����,2018年的主要攻擊肯定是VPNFilter��,它攻擊了全球范圍內(nèi)的超過50萬臺(tái)設(shè)備����,大多數(shù)設(shè)備為路由器,包括Linksys�、MikroTik、Netgear���、TP-Link�、QNAP����、華碩、D-Link�、華為、Ubiquiti�、UPVEL 和中興等廠商產(chǎn)品無一幸免。雖然這種攻擊相對(duì)較大�,但它不再是罕見或一種意外。
監(jiān)管工作將會(huì)進(jìn)一步增加
這種攻擊的增加�,是否意味著該行業(yè)已經(jīng)習(xí)慣于物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊?圍繞物聯(lián)網(wǎng)安全的監(jiān)管,今年的回答是沒有����,不同層面的多項(xiàng)監(jiān)管行動(dòng)正在實(shí)施。
英國政府的DCMS部門(數(shù)字��、文化、媒體和體育)發(fā)布了"消費(fèi)者物聯(lián)網(wǎng)安全實(shí)踐守則"和"設(shè)計(jì)安全:改善消費(fèi)者物聯(lián)網(wǎng)報(bào)告的網(wǎng)絡(luò)安全"����,制定有關(guān)物聯(lián)網(wǎng)設(shè)備安全的指南和建議。
美國加州政府更進(jìn)一步��,通過"B-327信息隱私:設(shè)備連接"法案���,這是第一個(gè)專注于物聯(lián)網(wǎng)設(shè)備安全及用戶隱私保護(hù)的法案���。
該法案表明,政府可以且有意愿參與物聯(lián)網(wǎng)設(shè)備監(jiān)管���。
即將到來的政府標(biāo)準(zhǔn)化工作將在2019年繼續(xù)大幅增加���。我們預(yù)計(jì),相關(guān)法規(guī)將擴(kuò)展到認(rèn)證和數(shù)據(jù)隱私之外����,以及更詳細(xì)的網(wǎng)絡(luò)安全要求和對(duì)設(shè)備物料清單的可見性。這些操作將增加對(duì)供應(yīng)商的要求��,從安全建議道實(shí)際工作任務(wù)��。
此外,在2018年��,我們看到物聯(lián)網(wǎng)安全事件的報(bào)告超越了安全和技術(shù)媒體��,進(jìn)入主流媒體視野��。我們相信��,這在2019年會(huì)繼續(xù)增加��,因?yàn)檫@將提高物聯(lián)網(wǎng)用戶對(duì)威脅的認(rèn)識(shí)����,反過來又會(huì)加速監(jiān)管過程���,并對(duì)制造商施加更大壓力����,提高其產(chǎn)品的安全標(biāo)準(zhǔn)���。
2019年三個(gè)物聯(lián)網(wǎng)攻擊途徑
在2019年�,針對(duì)物聯(lián)網(wǎng)的三種攻擊途徑將繼續(xù)快速增長(zhǎng)�。通過直接互聯(lián)網(wǎng)接口感染大量設(shè)備的攻擊���,以及對(duì)數(shù)據(jù)中心和云服務(wù)或加密貨幣挖掘?yàn)槟康倪M(jìn)行的DDoS攻擊。
針對(duì)勒索個(gè)人和組織(如酒店�、醫(yī)院或賭場(chǎng))的特定設(shè)備進(jìn)行有針對(duì)性的開發(fā)。我們預(yù)見到一些攻擊行為:
劫持設(shè)備���,在支付贖金后才釋放;
錄制令人尷尬或犯罪的視頻和音頻;
將設(shè)備作為APT(高級(jí)持續(xù)性威脅)攻擊的一部分進(jìn)行攻擊��,并利用它們進(jìn)行橫向移動(dòng)來獲取對(duì)敏感數(shù)據(jù)資產(chǎn)的訪問(比如���,通過直接與網(wǎng)絡(luò)服務(wù)交互的打印機(jī)、通過智能電話會(huì)議系統(tǒng)等���。);
利用連接設(shè)備的功能����,由國家贊助的機(jī)構(gòu)和攻擊性網(wǎng)絡(luò)安全公司收集情報(bào);
大型安全公司以及個(gè)人安全研究人員在沒有供應(yīng)商協(xié)作的情況下��,在各種設(shè)備(包括相機(jī)���、路由器�、網(wǎng)關(guān)����、NAS和真空吸塵器等)中查找和披露零日漏洞的大量研究工作����。這些研究工作雖然有意義���,但是會(huì)導(dǎo)致攻擊者利用被發(fā)現(xiàn)易受攻擊但尚未被供應(yīng)商修補(bǔ)的設(shè)備。
攻擊復(fù)雜性會(huì)增加
雖然大多數(shù)物聯(lián)網(wǎng)安全研究是在容易購買的設(shè)備上進(jìn)行����,在實(shí)驗(yàn)室進(jìn)行拆解和破解,但是我們預(yù)計(jì)對(duì)更高端連接設(shè)備的研究將逐步增加�,比如智能建筑的關(guān)鍵基礎(chǔ)設(shè)施、火災(zāi)報(bào)警系統(tǒng)和公用事業(yè)基礎(chǔ)設(shè)施��。
現(xiàn)在的情況是�,攻擊者越來越精明和大膽,例如VPNFilter對(duì)烏克蘭氯蒸餾廠的攻擊就是一個(gè)很好的例子����。這種威脅有能力擴(kuò)展到大量設(shè)備,它基于適用于不同架構(gòu)的模塊化機(jī)制�,能在設(shè)備重啟后繼續(xù)生存,以及附帶監(jiān)控和攔截通過設(shè)備流量的能力�。
這種復(fù)雜性將繼續(xù)發(fā)展���,并且只是我們?cè)谖磥砦锫?lián)網(wǎng)設(shè)備中缺乏安全性實(shí)施所看到的一個(gè)例子。
增強(qiáng)設(shè)備安全的設(shè)計(jì)能力
我們已經(jīng)看到一些關(guān)于安全和隱私問題的案件�,它們被裁定有利于用戶,對(duì)設(shè)備制造商施加責(zé)任�。在2019年期間,我們預(yù)測(cè)這些案件和裁決的數(shù)量將繼續(xù)增加����。
即使在法庭外解決,這一趨勢(shì)也將成為物聯(lián)網(wǎng)制造商更加重視安全的強(qiáng)大動(dòng)力���,使安全成為開發(fā)階段的關(guān)鍵問題����。
此外���,物聯(lián)網(wǎng)制造商將受到激勵(lì)以保護(hù)他們的設(shè)備���,因?yàn)槠髽I(yè)買家將要求適配于企業(yè)環(huán)境的安全設(shè)備,以減少他們的風(fēng)險(xiǎn)和攻擊面����。
網(wǎng)絡(luò)安全自動(dòng)化時(shí)代到來
來自連接設(shè)備的網(wǎng)絡(luò)威脅不斷增加�,將對(duì)業(yè)務(wù)和運(yùn)營連續(xù)性以及消費(fèi)者的生活產(chǎn)生更大的影響�。
對(duì)某些情況,物聯(lián)網(wǎng)設(shè)備制造商必須對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全有更快的響應(yīng)和應(yīng)對(duì)����。我們預(yù)計(jì),為了開發(fā)安全的新設(shè)備�,以及修補(bǔ)傳統(tǒng)設(shè)備的大量目錄,制造商轉(zhuǎn)向自動(dòng)化����,這可能作為解決安全和隱私問題真正有效的唯一方法���。
2019年��,將是基于技術(shù)的解決方案一年���,依靠自動(dòng)化可能成為物聯(lián)網(wǎng)安全生態(tài)系統(tǒng)的指路燈。
