物聯(lián)網(wǎng)威脅企業(yè)安全的六種方式

想必大多數(shù)組織的安全機(jī)構(gòu)都不太可能把冰箱列在注意事項(xiàng)當(dāng)中。然而今時不同往日——就在今年年初，有消息稱接入互聯(lián)網(wǎng)的智能冰箱淪為僵尸網(wǎng)絡(luò)中的肉雞并發(fā)送大量垃圾郵件，一石激起千層浪。

這一事件證明即便是家用電器，如果缺乏必要的安全保護(hù)，在接入互聯(lián)網(wǎng)后同樣有可能引發(fā)安全問題。

專家預(yù)計(jì)，在未來幾年中，將有數(shù)十甚至上百億臺設(shè)備以類似的方式接入互聯(lián)網(wǎng)，這就是所謂的物聯(lián)網(wǎng)浪潮。物聯(lián)網(wǎng)的到來到底是一場生活方式變革還是網(wǎng)絡(luò)安全的末日？答案仁者見仁智者見智。無論如何，它的出現(xiàn)已經(jīng)顛覆了我們對于互聯(lián)網(wǎng)以及網(wǎng)絡(luò)世界的認(rèn)知。

本文中，我們將具體探討物聯(lián)網(wǎng)威脅企業(yè)安全的六種方式。

物聯(lián)網(wǎng)將帶來數(shù)十億非安全終端

研究機(jī)構(gòu)對于2020年接入互聯(lián)網(wǎng)設(shè)備（或者稱為“物”）的數(shù)量存在顯著分歧。Gartner給出的答案是260億臺，IDC則認(rèn)為屆時將有2120億臺設(shè)備接入互聯(lián)網(wǎng)。無論哪個數(shù)字更接近事實(shí)，可以肯定的是，到時候大量具備IP功能的設(shè)備最終會找到入侵企業(yè)網(wǎng)絡(luò)的方式。這樣的例子不勝枚舉，包括智能取暖與照明系統(tǒng)、智能儀表、設(shè)備維護(hù)與監(jiān)測傳感器、工業(yè)機(jī)器人、資產(chǎn)追蹤系統(tǒng)、智能零售貨架、工廠控制系統(tǒng)以及智能手機(jī)、眼鏡等都有可能成為入侵設(shè)備。

這其中，大部分產(chǎn)品屬于消費(fèi)級設(shè)備，還有一些則屬于添加了網(wǎng)絡(luò)連接功能的傳感裝置。且其中大多數(shù)設(shè)備并不具備對抗常見網(wǎng)絡(luò)攻擊的保護(hù)機(jī)制，而IT部門長久以來習(xí)以為常的操作系統(tǒng)、固件以及補(bǔ)丁維護(hù)方案在這里毫無用處。

從本質(zhì)上講，物聯(lián)網(wǎng)相當(dāng)于新增了數(shù)10億個非安全終端，云安全廠商Hytrust公司總裁Eric Chiu表示。這些具備IP連接功能的設(shè)備將引發(fā)新型的攻擊方式，從而攻破設(shè)備并取得企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。

雖然有觀點(diǎn)認(rèn)為，企業(yè)自身可以通過嚴(yán)格把控消費(fèi)級設(shè)備的接入，保證企業(yè)網(wǎng)絡(luò)的安全，但這顯然并不現(xiàn)實(shí)。

“企業(yè)必須認(rèn)清現(xiàn)實(shí)，即薄弱環(huán)節(jié)已經(jīng)客觀存在，并就此作出反應(yīng)。這并不是鼓勵企業(yè)放棄防線，而是說我們應(yīng)當(dāng)假設(shè)攻擊者已經(jīng)成功進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，再以此為前提部署防御戰(zhàn)略，”他解釋道。

物聯(lián)網(wǎng)將構(gòu)建起異構(gòu)、嵌入式設(shè)備的世界

物聯(lián)網(wǎng)世界中，大多數(shù)“物”都將以內(nèi)嵌應(yīng)用程序的電器或設(shè)備的形式出現(xiàn)，SANS協(xié)會研究主管John Pescatore指出。

這樣一來，物聯(lián)網(wǎng)與傳統(tǒng)IT架構(gòu)中分層的軟件模式將完全不同，IT安全機(jī)構(gòu)也并不熟悉這種模式。

未來，物聯(lián)網(wǎng)世界中將同時使用多種不同類型的通信協(xié)議。除了TCP/IP、802.11以及HTML 5之外，IT組織還將面對包括Zigbee、WebHooks以及IoT6在內(nèi)的多種新型協(xié)議。而且與以往2～3年的常規(guī)IT生命周期不同，物聯(lián)網(wǎng)的普及將使IT生命周期擴(kuò)展至短到幾個月、長達(dá)二十年以上的廣泛區(qū)間，他解釋道。

“物聯(lián)網(wǎng)世界中的各類終端所使用的嵌入式系統(tǒng)在管理與安全保護(hù)方面完全不同于PC及服務(wù)器中傳統(tǒng)的分層軟件模式，而這將給現(xiàn)有IT管理及安全審查機(jī)制帶來重大挑戰(zhàn)，”Pescatore表示。

物聯(lián)網(wǎng)將不可避免地與企業(yè)網(wǎng)絡(luò)對接

正如根本不存在真正獨(dú)立的工業(yè)控制網(wǎng)絡(luò)一樣，物聯(lián)網(wǎng)世界中也不存在能夠與之完全隔離的企業(yè)網(wǎng)絡(luò)，RSA總經(jīng)理Amit Yoran指出。

無論采取怎樣的網(wǎng)絡(luò)分割與隔離技術(shù)，物聯(lián)網(wǎng)最終仍然會通過互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)對接，這些接口將成為惡意攻擊的主要目標(biāo)。

物聯(lián)網(wǎng)將無所不在、無所不通，其中也包括企業(yè)網(wǎng)絡(luò)。Yoran指出。“如今企業(yè)用戶已經(jīng)能夠通過BYOD的方式直接訪問云資源，而無需通過企業(yè)網(wǎng)絡(luò)作為中轉(zhuǎn)路徑”。

而物聯(lián)網(wǎng)的出現(xiàn)將加劇這一事態(tài)，屆時IT部門在試圖控制各種設(shè)備訪問保存在內(nèi)部或者云端的業(yè)務(wù)數(shù)據(jù)時，將面臨極度混亂的局面。

“物聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)難以區(qū)隔。一旦各類物聯(lián)網(wǎng)終端被攻破，企業(yè)網(wǎng)絡(luò)將同樣面臨巨大的風(fēng)險(xiǎn)。”Yoran表示。

物聯(lián)網(wǎng)將危及物理設(shè)備和生命安全

除了給在線數(shù)據(jù)帶來威脅外，物聯(lián)網(wǎng)的普及同樣會給物理設(shè)備乃至生理層面帶來風(fēng)險(xiǎn)，Zscaler公司安全研究副總裁Michael Sutton表示。

黑客們已經(jīng)證實(shí)了具備IP功能的胰島素泵、血糖監(jiān)測儀以及心臟起搏器有可能遭遇安全攻擊，這將直接導(dǎo)致設(shè)備使用者遭受生理損傷。

隨著物聯(lián)網(wǎng)的興起，此類攻擊還可能指向汽車、智能采暖、通風(fēng)與空調(diào)系統(tǒng)、具備網(wǎng)絡(luò)功能的復(fù)印機(jī)、打印機(jī)、掃描儀乃至幾乎所有使用IP地址的設(shè)備。

一般情況下，黑客們甚至不需要利用設(shè)備中的軟件及硬件漏洞。而這意味著企業(yè)將面臨極其危險(xiǎn)的局面，因?yàn)檫@其中的每一套IP地址配置方案都有出現(xiàn)錯誤的風(fēng)險(xiǎn)。

物聯(lián)網(wǎng)將構(gòu)建新的供應(yīng)鏈

大量接入企業(yè)網(wǎng)絡(luò)的設(shè)備很快將成為IT安全部門的管理對象，然而可怕的是這些部門對此并不熟悉。

“與BYOD類似，傳統(tǒng)企業(yè)需要就此制定并開發(fā)相應(yīng)的策略與管理系統(tǒng)，并利用這套體系管理一個規(guī)模龐大的設(shè)備群體，”設(shè)備驗(yàn)證與身份管理技術(shù)供應(yīng)商Identiv公司CEO Jason Hart指出。

“除了員工自帶的物理設(shè)備、虛擬辦公環(huán)境內(nèi)的新型設(shè)備之外，傳統(tǒng)非連接型設(shè)備（從咖啡機(jī)到新型人體工程椅）都將轉(zhuǎn)向智能化，并成為IT部門的維護(hù)對象，”Hart表示。

要想在物聯(lián)網(wǎng)世界中取得成功，廠商必須能夠幫助企業(yè)用戶管理新型IP設(shè)備與企業(yè)網(wǎng)絡(luò)之間復(fù)雜的依存關(guān)系，英國計(jì)算機(jī)協(xié)會成員兼獨(dú)立安全顧問Chris Yapp指出。

這其中，掌握復(fù)雜技術(shù)整合與管理經(jīng)驗(yàn)的企業(yè)最有可能在物聯(lián)網(wǎng)大潮中取得成功，他表示。

“而現(xiàn)有安全服務(wù)商則應(yīng)該集中資源、通力合作、完善解決方案，只有這樣才有機(jī)會與系統(tǒng)集成商一較高下，“Yapp說。

物聯(lián)網(wǎng)將導(dǎo)致網(wǎng)絡(luò)攻擊規(guī)模、隱匿性及持久性顯著提升

至少從理論上講，完全互聯(lián)網(wǎng)化所帶來的威脅與大部分IT組織目前面臨的狀況并無太大區(qū)別。很多企業(yè)已經(jīng)適應(yīng)了由智能手機(jī)、平板電腦以及其它具備無線連接功能的設(shè)備所帶來的挑戰(zhàn)。唯一的區(qū)別在于，物聯(lián)網(wǎng)所帶來的安全威脅規(guī)模更龐大、范圍也更加廣泛。

“物聯(lián)網(wǎng)涵蓋每一臺接入互聯(lián)網(wǎng)的設(shè)備，”安全即服務(wù)廠商Proofpoint公司高級安全副總裁Kevin Epstein表示。

其中包括各類家庭自動化產(chǎn)品，例如智能溫控裝置、安保攝像機(jī)、冰箱等，此外工業(yè)控制機(jī)械與智能化零售貨架也將逐漸走入我們的生活。

如此多的設(shè)備必然會帶來嚴(yán)峻的挑戰(zhàn)。“挑戰(zhàn)的核心在于攻擊活動的規(guī)模、隱匿性以及持久性”。當(dāng)前情況下，攻擊者就能夠相對輕松地滲透到企業(yè)防御體系當(dāng)中，Epstein解釋稱，“想象一下攻擊數(shù)量如果陡增10倍，情況會變得多么糟糕。”