網路安全風險
專業術語
網路安全可以從狹義及廣義兩個定位進行分析。狹義方面,網路安全主要可以分為軟硬體安全及數據安全,網路安全指的是網路信息安全,需對其中數據進行保護,保證相關程序不會被惡意攻擊,以免出現不能正常運行的情況;廣義方面,會直接涉及到網路信息的保密性及安全完整性,會隨重視角度的變化而變化。
1、計算機技術方面
網路設備及系統安全是網路系統中安全問題的潛在問題,計算機系統實際運行中會因為自身設備因素,導致相應安全問題的出現。除此之外,網路信息技術相關優勢一般會體現在信息資源共享及資源開放上,所以更容易被侵襲,計算機網路協議在整體安全方面也存在潛在問題。
2、由於病毒引起的安全風險
計算機網路安全中最常出現的問題為病毒,病毒是由黑客進行編寫的計算機代碼或計算機指令,可以對計算機中相關數據造成嚴重破壞。按照數據實際摧毀力度分析,可以分為良性及惡性,這兩種病毒都能夠進行迅速傳播,具有較強的摧毀性能力,病毒可進行自行複製。現代社會計算機網路逐漸普及,病毒在網路上的傳播也更加迅速,通過網頁瀏覽或郵件傳播等,都可以受到病毒影響,使得計算機系統內部收到計算機病毒攻擊而癱瘓。
3、用戶問題
目前我國網路用戶對安全問題沒有較為清晰的認識及正確的態度,使用非法網站、下載安全風險較大的文件、不經常清除病毒、未設置安全保護軟體及防火牆等問題,用戶的不重視很容易讓黑客對網路安全進行攻擊。網際網路用戶使用網路時,並不能看到病毒,所以對病毒問題沒有足夠的重視,也缺乏相應的防範意識。用戶一般情況下只能看到網路帶來的便利,忽視安全問題,部分用戶不注重隱私保護,隨意泄露隱私,所以近年來網路欺詐事件層出不窮。
如果製造商和工程師第一次添加新的技術功能來連接其設備到網際網路,但還沒有學習到前輩開發人員的慘痛教訓,那麼,他們在設計產品時將不可避免地犯同樣的錯誤—例如假定網路是可信,而沒有為安全事故做計劃。
雖然企業很難阻止因設備製造問題而導致的安全風險,但企業可以評估軟體開發做法,以了解信息安全是如何整合到製造商的軟體開發過程。如果製造商外包了設備聯網的部分工作,這可能是一個好跡象,因為這意味著經驗豐富的軟體開發人員正在幫助製造商部署正確的開發做法。
同樣需要注意的是,IoT設備與其他聯網設備一樣面臨著相同的攻擊,例如拒絕服務攻擊或者使用默認賬號和默認密碼,企業可能已經遇到過這樣的問題。儘管IoT設備的攻擊面比傳統桌面或伺服器要小,但當考慮到IoT設備的數量時,即使是很小的安全問題都可能帶來嚴重影響,這很像過去連接到網際網路的印表機或SCADA設備遇到的問題。
Akamai Technologies公司最近披露了重大IoT攻擊事件,該公司研究人員報告稱拒絕服務(DDoS)攻擊開始利用不安全的IoT設備配置。更具體地講,攻擊者發現可濫用簡單服務發現協議(SSDP)來放大惡意響應到偽造的IP流量以加入DDoS攻擊。研究人員指出,攻擊者通過掃描來瞄準網路範圍,併發送SSDP搜索請求來確定IoT設備;然後響應流量發送到目標網路作為DDoS攻擊的一部分。
一方面,企業應該確保SSDP的安全使用。SSDP使用應該限於特定網路以及速率限制,以最大限度地減少在攻擊中可產生的流量。企業可能還需要掃描其網路(類似於Shadowserver Project掃描網際網路)以尋找不安全配置的設備,如果發現這種設備,SSDP應該要被禁用或者限制在受批准的網路。該設備可能還需要操作系統或軟體更新來修復任何SSDP漏洞。
在另一方面,企業還必須知道如何抵禦基本的DDoS攻擊,企業需要在開發過程中或者生產環境中做好DDoS抵禦計劃。
然而,抵禦IoT相關的DDoS攻擊還需要額外的步驟。首先,強大的網際網路外圍保護必須只允許受批准的入站網路連接。如果IoT設備不能直接通過網際網路來連接,那麼,攻擊者更難以讓它們參與DDoS攻擊。如果IoT設備需要通過網際網路來直接訪問,它應該分隔在其自己的網路,並有網路訪問限制。這個網路分段應該受到監控以發現潛在的惡意流量,當出現問題時,應立即採取行動。
企業可以通過常規資產管理或漏洞掃描來檢測其網路中的IoT設備。任何不匹配已知企業設備配置文件的新設備都應該被隔離,並將其流量重定向到註冊門戶網站或者網路管理系統,以自動檢查設備的安全性。這也可能讓這些設備部署在自己的網路段。
IoT設備開發人員應該投入更多資源來確保安全性,這包括在設備設計和配置中考慮更多安全性,因為這可能確保從供應商發貨的設備在默認情況下的安全性,並可能完全避免IoT DDoS安全問題。然而,對於開發人員來說,便利性、可用性和速度通常是比安全更重要的因素,實現這一目標就像是一場白日夢。
企業和網際網路服務提供商還倡導部署網際網路工程任務組的Best Current Practice 38,BCP 38專門用於減少欺騙性IP流量,這可以幫助防止不知情的設備參與DDoS攻擊。如果攻擊者不能發送偽造流量到設備,那麼,設備就不能發送網路流量用於DDoS攻擊。
物聯網給企業和個人提供了巨大的優勢,並且,物聯網的發展不太可能受到安全問題的影響,例如本文中所討論的安全問題。
很多通過IoT連接到網路的設備並沒有使用傳統技術來實現網路連接。對於這些新設備,應該會帶來新的默認安全設計,以及在默認安全的操作系統的頂部建立配置,其中,只有設備的核心操作功能會啟用並受到保護。新的和現有的開發人員應該在設計設備時解決這些安全挑戰,以防止未來的安全事故。
不過,在實現這一點之前,用戶和企業需要採取必要的預防措施和適當的控制來減少潛在的IoT安全威脅。