導語(yǔ)：2018年以來(lái)，隨著(zhù)總體網(wǎng)絡(luò )安全趨勢的暴露，全球范圍內大量正在使用中的物聯(lián)網(wǎng)設備如今已淪落為網(wǎng)絡(luò )犯罪分子的樂(lè )園。隨著(zhù)越來(lái)越多物聯(lián)網(wǎng)設備被引入市場(chǎng)，物聯(lián)網(wǎng)所面臨的風(fēng)險也在愈發(fā)增多，且威脅樣式也在發(fā)生轉變。

物聯(lián)網(wǎng)是一種包含網(wǎng)絡(luò )傳感器的設備，可以進(jìn)行遠程監測和控制。到2025年，物聯(lián)網(wǎng)設備的安裝數量預計將達到750億臺。這些設備包括家用路由器、遠程攝像頭、醫療設備等等。物聯(lián)網(wǎng)市場(chǎng)涵蓋的領(lǐng)域非常廣泛，包括工業(yè)、銀行業(yè)、零售業(yè)、制造業(yè)以及醫療保健等行業(yè)。2018年以來(lái)，隨著(zhù)總體網(wǎng)絡(luò )安全趨勢的暴露，全球范圍內大量正在使用中的物聯(lián)網(wǎng)設備如今已淪落為網(wǎng)絡(luò )犯罪分子的樂(lè )園。隨著(zhù)越來(lái)越多物聯(lián)網(wǎng)設備被引入市場(chǎng)，物聯(lián)網(wǎng)所面臨的風(fēng)險也在愈發(fā)增多，且威脅樣式也在發(fā)生轉變。

威脅之源

物聯(lián)網(wǎng)設備是多式多樣的，一些看似并不復雜的設備——比如IP攝像頭，或是連接外部網(wǎng)絡(luò )的硬盤(pán)驅動(dòng)器，由于它們的用途較為單一，因此被設計成易于部署、少量配置且容易設置的形態(tài)，這類(lèi)設備也被稱(chēng)為“啞巴”設備。然而，漏洞往往就藏在這些簡(jiǎn)單設計里，產(chǎn)品的易用性往往也意味著(zhù)產(chǎn)品安全性上的薄弱。為了急于將產(chǎn)品推廣上市，物聯(lián)網(wǎng)設備制造商幾乎很少會(huì )顧及到產(chǎn)品的安全方面，這就導致了一些惡意軟件——比如Mirai、Shishiga、Hajime、Okiru和Torii等，在暗中蔓延橫行，爭先恐后般的想要引導對企業(yè)、政府、ISP、電信等機構的下一代設備的攻擊。上述的這些惡意軟件，其意圖都是接管物聯(lián)網(wǎng)設備、積累僵尸網(wǎng)絡(luò )，進(jìn)而用于拒絕服務(wù)攻擊(DDoS、垃圾郵件和各種其他毀滅性的網(wǎng)絡(luò )病毒)。

就在不久之前，研究人員發(fā)現了一個(gè)新型的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )。它感染了累計超過(guò)10萬(wàn)個(gè)家庭路由器，并通過(guò)向用戶(hù)發(fā)送Hotmail、Outlook和Yahoo垃圾郵件的方式影響受害者。而它所利用的漏洞，早在2013年就由DefenseCode的安全研究人員指出了，這個(gè)漏洞存在于Broadcom UPnP SDK模件中，而該模件已經(jīng)嵌入了多個(gè)供應商的數千個(gè)路由器模型里。

美中經(jīng)濟與安全審查委員會(huì )則指出了物聯(lián)網(wǎng)發(fā)展所面臨的另一個(gè)威脅：

由于安全保障機制的寬松以及物聯(lián)網(wǎng)設備連接的通用性，中美兩國的政府機構、公司企業(yè)都會(huì )在未來(lái)面臨著(zhù)物聯(lián)網(wǎng)供應鏈所帶來(lái)的巨大風(fēng)險。并且隨著(zhù)5G的廣泛部署，利用物聯(lián)網(wǎng)設備的網(wǎng)絡(luò )攻擊只會(huì )加速產(chǎn)生和傳播。

增長(cháng)的風(fēng)險

物聯(lián)網(wǎng)設備的高速增長(cháng)，一方面是科技進(jìn)步的必然結果，另一方面卻為民眾埋下了嚴重的安全隱患，甚至可能會(huì )對電力、通信等行業(yè)的關(guān)鍵基礎設施造成災難性的后果。因此，政府促使物聯(lián)網(wǎng)制造商將安全機制嵌入到其設備的舉措就顯得愈發(fā)重要。

參議院特別情報委員會(huì )副主席、弗吉尼亞州參議員馬克·華納(Mark Warner)呼吁美國各機構對此采取舉措，而美國國會(huì )就是首批提出立法推進(jìn)物聯(lián)網(wǎng)安全的代表之一，加利福尼亞州當前則通過(guò)立法，要求制造商擁有“合理的安全功能或特征”。上個(gè)月，歐盟執法機構歐洲刑警組織和歐盟網(wǎng)絡(luò )和信息安全局ENISA召開(kāi)了物聯(lián)網(wǎng)安全會(huì )議，討論行業(yè)的當前核心問(wèn)題——如何在為時(shí)已晚之前保護物聯(lián)網(wǎng)。

可以想到，許多制造商會(huì )爭辯說(shuō)，要求物聯(lián)網(wǎng)設備的額外安全性必然會(huì )增加設備的成本。但只有當我們接受了安全性這個(gè)前提，才能防止對全國乃至全球產(chǎn)生影響的災難。

阻止物聯(lián)網(wǎng)入侵

立法是個(gè)好的長(cháng)期解決方案，但它并不是立竿見(jiàn)影的解決辦法。下列幾種方法可以防止物聯(lián)網(wǎng)設備受到感染，同時(shí)也必須采取其他步驟，以防止這些設備對連接到網(wǎng)絡(luò )的其他設備造成進(jìn)一步損害。

密碼設置是開(kāi)啟物聯(lián)網(wǎng)設備保護的最簡(jiǎn)單容易的步驟，但常常被人們忽視。密碼的初始默認值通過(guò)查看在線(xiàn)文檔就可以知曉了。由于這些設備安裝起來(lái)很容易，用戶(hù)通常不會(huì )更改初始密碼，當其連接到互聯(lián)網(wǎng)時(shí)，就相當于為惡意行為者提供了一扇大門(mén)，讓他們能夠隨意進(jìn)入、感染并利用設備。

而另一個(gè)漏洞利用機會(huì )對網(wǎng)絡(luò )犯罪分子們來(lái)說(shuō)就十分熟悉了——一旦在物聯(lián)網(wǎng)設備中發(fā)現漏洞，大多數在部署后不會(huì )更新。更麻煩的是，許多設備甚至無(wú)法更新。這意味著(zhù)只要制造商還沒(méi)有提供方法來(lái)修改漏洞，被部署后設備就只能維持原樣，這也是惡意軟件能大行其道的原因之一。設備一旦遭到感染，阻止惡意軟件的唯一方法就是將設備更換。

如前所述，物聯(lián)網(wǎng)設備是用途單一或有限的設備，它們不需要擁有完全的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限就能完成工作。因此將設備部署到網(wǎng)絡(luò )上時(shí)，應限制其他設備的訪(fǎng)問(wèn)權限，能防止感染的進(jìn)一步蔓延。在理想情況下，物聯(lián)網(wǎng)設備應該只能訪(fǎng)問(wèn)執行的基本內容，其他任何東西都應該被屏蔽。

最后，在企業(yè)網(wǎng)絡(luò )上部署物聯(lián)網(wǎng)設備時(shí)，如果設備能夠訪(fǎng)問(wèn)關(guān)鍵業(yè)務(wù)的應用程序，應當確保有方法能監控流量，并安裝相應的監控警報，提示惡意或異?；顒?dòng)的出現。例如，如果煙霧探測器開(kāi)始與郵件服務(wù)器通信，那么你就會(huì )知道當中肯定出現了問(wèn)題。網(wǎng)絡(luò )流量分析正是清楚了解這種活動(dòng)發(fā)生的途徑所在。

只有當眾人都認識到了內在的風(fēng)險，并立法推動(dòng)的情況下，物聯(lián)網(wǎng)制造商將不得不改進(jìn)這些設備的安全性，否則在災難性事件發(fā)生時(shí)我們才不至于追悔莫及。

文章來(lái)源：嘶吼