前情提要:物联网安全成本攀升 一份来自marketsandmarkets.com的报告数据显示:到2021年,物联网安全市场的估值将达到369亿5000万美元。网络安全行业混乱的增长,又一波资本投资浪潮来袭。 2017年,专家预测,开放的物联网安全漏洞将导致关键基础设施被破坏,来自竞争对手的情报收集和知识产权盗窃事件将增加。与此同时,2017年DDOS攻击的威胁将进一步蔓延。 1. IoT安全五大噩梦 这部分首先列举CSO们面临的五大IoT安全噩梦 噩梦1号 每天新增近500万个物联网设备,等于每天有更多的新增安全漏洞。根据Gartner的统计报告,2016年全球新增了550万个物联网设备。越多的物联网设备,意味着越多的安全漏洞,因为每个设备自身都存在多个安全问题,而且由于这些设备如雨后春笋般的涌现到互联网上,使得网络威胁的攻击面更加广泛。 噩梦2号 物联网设备广受欢迎,无处不在。对黑客而言,这些不设防/弱保护的物联网设备简直就像是美味的水果一样诱人。越来越多的已被黑客攻击的物联网消费产品投入市场,无疑会加重互联网安全的噩梦,攻击对象包括对企业数据、厂房和设备、员工以及消费者。 对于攻击者而言,以任意一个物联网设备的任一漏洞为突破口从而控制整个网络,都不是一件难事。举例说明,2015年,TrapX的安全工程师利用NEST恒温器的一个迷你USB端口,使用ARP欺骗程序成功对通信系统发起了MITM中间人攻击。黑客采用MITM攻击可以获得设备两端或通信系统的控制权,包括企业的网络系统。即使物联网设备是家用的,不是企业财产,但鉴于目前大量的远程和移动办公情景,攻破家庭网络也就间接的入侵了企业的网络。黑客的目标可能不止是数据,还会危及生命和财产安全。 噩梦3号 IoT是解锁消费者私密数据的关键,增加了黑客的攻击目标和攻击面,使得攻击者很容易猜解到用户常用密码。在针对一些关键业务、政府、*、政治和文化目标寻找突破口时,这是一个很好的途径。 IoT会收集消费者的数据便于根据消费者的喜好和特点做精准的市场营销。攻击者窃取并整合这些数据来分析消费者的兴趣和习惯,猜解用户的密码和安全问题的答案,使用相同的账号和密码登录到企业的网络系统。(账号密码安全,真是一个硬伤啊)
噩梦4号 大量伴随IoT设备而新增的SCADA和工控系统,使得广泛性的破坏成为可能。比如当工业控制系统连接到互联网,如何保护公用事业和国家基础设施免受攻击成为了一件非常具有挑战性的任务。 “想象一下,攻击者使用10%~15%的物联网设备在美国发动DDOS攻击,能够直接打垮整个华尔街的流量” ———Ben Simon,曾就职于以色列*网络和安全部 最近发生了一个真实的案例,黑客攻击乌克兰电厂,导致该地区成千上万个居民无法用电。这次攻击中,黑客瞄准的是关键基础设施的管理系统致使服务中断,而这仅仅是一个非常小的例子。 噩梦5号 广受欢迎的、开放的物联网,使得很多电影剧情得以在现实中真实的上演。“Live Free or Die Hard”,这个哲学问题再次引起了人们的深思。 物联网让黑客创建和使用大规模的僵尸网络成为可能,可以想象,利用这些基础设施发动DDOS攻击,将变的更加常规。 |