现如今,会议室的智能电视、智能化的加热和空调系统、互联网连接的电灯、智能设备控制的生产过程、智能手表和健身器材几乎可以说是无处不在。
而这些还仅仅只是现在企业物联网(IoT)的非常小的一部分。在更大的部分,几乎所有的物理对象都能够被智能化的连接到网络。当然,企业在享受到物联网所带来的便捷的同时,也要警惕黑客攻击和数据泄露。
今年七月,物联网的安全问题曾经引起过人们的深切关注。彼时,两名黑客远程控制了一辆大切诺基,使其在高速公路上以每小时70英里的速度行驶。他们通过无线控制雨刷的开启和关闭,把空调开到最大,并在行驶过程中切换到一个不同的电台广播,然后禁用传输功能,所以这辆吉普车行至州际公路时放缓了速度。
这两名黑客是为了宣传汽车所面临的物联网所带来的安全风险,而其也的确产生了效果——最终导致140万辆汽车被召回,不得不针对他们的系统打补丁。
不幸的是,面临物联网所带来的安全问题,大部分企业并不能仅仅通过召回汽车和修补他们的计算系统就能够轻易解决的。企业当前所面临的最大问题是:鉴于物联网设备已经在整个企业范围内得到广泛的使用和传播,企业的生产环境到底有多安全?而通过这些物联网设备来入侵企业网络有多容易?企业如何保护自身的安全?
在这篇文章中,我们将与大家分析有物联网所带来的相关安全风险,并确定哪些安全风险是最为重要的,以及如何防范提供一些针对性的建议。
物联网安全问题是否真的存在?
让我们从最基本的问题开始:企业当前正面临怎样的物联网相关的风险?
OpenDNS安全实验室安全研究部门高级总监Andrew Hay说:“我们所观察到的最大问题是,对于面向消费者的网络摄像头和智能电视设备,当期在被厂商制造时,确实是进行了安全测试的,但只有当运行在一个非关键性的环境。他们没有针对企业级的安全进行测试。这是相当令人震惊的,因为在现如今的企业中,这些设备越来越被频繁的用于访问企业网络。他们能连接到企业网络,但企业只是像玩具一样对待他们。并没有像针对其他移动设备一样实施相同的安全BYOD管理策略。只被认为是一些玩具和小玩意儿。”
安全公司Bastille的创始人和首席执行官克里斯·鲁兰补充说,通常情况下,企业甚至没有针对在他们的办公室和设施中使用的所有无线设备进行跟踪记录。
“我敢肯定,每家企业在他们的办公环境中都有无线发射器,但他们却并没有意识到,这是相当不安全的。”他说。“问题就在于,对于物联网设备而言,目前还没有发生类似于1999年的梅丽莎病毒(Melissa virus)这样的分水岭事件。”在那一年,梅丽莎病毒的传播是如此广泛——包括微软和英特尔网络都惨遭不幸——其提高了人们对于保护企业计算机和网络,免受病毒侵害的重要性的意识。
两种类型的物联网危险
在一般情况下,企业面临着两种主要的物联网威胁——通过物联网设备所带来的专门针对企业的威胁,以及那些主要针对消费者的威胁。您可能会想到,消费类设备所构成的危险比那些专门针对企业的威胁更大。但许多安全专家表示说,情况并非如此。
思科安全业务部门产品营销经理Marc Blackmer解释说,“现如今,围绕着诸如Nest恒温器或智能电视可能成为企业的安全隐患有太多太多的炒作了。”但更大的问题则是由企业级的物联网设备的复杂性,及企业对于这些危险性的不完全的理解所带来的。他认为:“我们太过关注于我们的冰箱在做什么。这可能使得我们可能会忽略了这样一个事实,即目前的企业网络中更多的路由协议。您甚至可以通过智能手机来自管理企业设备。”
为此,他列举了2008年在土耳其的一个石油管道被攻击的例子。该石油管道是通过IP连接的网络监控摄像头所监控的,旨在保护管道设施。但具有讽刺意味的是,攻击者利用摄像头的漏洞闯入网络,控制了石油管道。然后他们植入恶意软件并远程获得控制器在管道阀门站的控制权。之后,他们通过改变石油压力炸毁了管道。他们还远程关闭了管道的应急系统,使管道的业主没有立即意识到被攻击。
另一个严重的问题是由外部承包商连接到企业网络,但其并不具备与企业相同的安全系统和规则所导致的。他们的设备可能不安全,可能会对企业网络造成安全风险。
比利里奥斯,云安全公司Qualys的威胁情报总监比利·里奥斯告诉《纽约时报》的记者说,“远程访问这些(企业)系统是很常见的,而集成商几乎总是在企业网络上。”由Qualys 公司所进行的一项研究发现,有55000个采暖,通风,空调(HVAC)系统连接到互联网。而在大多数情况下,这些系统包含了基本的安全漏洞,可能使得攻击者能够很容易的进入企业网络。该公司表示。
约翰·佩斯卡托是一名安全专家,拥有漫长的职业生涯,曾就职于美国国家安全局和GTE,现在是SANS研究所新兴安全趋势主管。他表示,企业一般擅长管理电脑,移动设备和用户级交换机的威胁——而这些通常被认为是IT部门的传统领域。但是,当非IT设备和系统连接到他们的网络时,他们就有问题了。
“一家企业搬迁到了一幢新的建筑,而且空调系统、电梯以及摄像机却仍在原来的同一个网络上,这些东西不一定是被保护的。如果您企业甚至无法检测您自己的网络,那么您甚至都无法保护自己。”
来自消费者物联网的威胁
上述所有这一切并不意味着消费者的物联网设备并不对企业网络构成威胁。他们同样也会构成安全威胁。有安全专家警告说,诸如电视机,照相机,可穿戴设备等智能设备的大量泛滥,更会对许多企业网络造成严重的安全漏洞。
或许,针对这方面的安全威胁最广泛全面的研究是由OpenDNS完成的。其题为《2015年企业物联网》的报告分析了超过160个国家的约5000万名个人和企业用户的网络流量,其调查结果令人担忧。研究发现,“在美国,亚洲和欧洲的消费设备,如Dropcam网络视频摄像头、Fitbit穿戴式健身器材、西数公司的‘我的云’存储设备、各种连接的医疗设备以及三星的智能电视都无时无刻不连接到服务器——即使在不使用时也是如此。” 调查发现,智能电视似乎是通过不可信的安全证书与现有的基础设施连接沟通的,而这种连接无疑是为大量知名的网络攻击打开了传播途径。
OpenDNS还发现了其他安全威胁,包括物联网基础设施与连接其的设备进行通信很容易受到攻击,这包括“Heartbleed”安全漏洞和FREAK。(有关该报告的更多细节,请参阅《两项调查显示物联网安全危险在企业中普遍存在》)
关于物联网的安全威胁,还有一个鲜为人知的方面。安全公司Pwnie Express的首席执行官保罗·佩吉特警告说:内置Wi-Fi功能的小型廉价可编程处理器可以在一家企业留下“武器”来攻击企业网络。VoCore便是这样的一个设备,用其制造商的话来形容就是:“一个具有Wi-Fi功能的硬币大小的Linux电脑”,其售价仅为20美元。一份Pwnie Express的题为《邪恶的物联网》的报告警告说,“只要稍稍具备一些如何正确利用其全部功能的相关知识,VoCore就可以被用来危及整个网络。而且,即使是没有经验的用户,也可以通过简单地将设备插入到以太网插孔,对网络防御造成相当大的安全漏洞。”
对物联网的安全建议
鉴于上述这一切,企业要如何处理物联网的安全威胁呢?如下是一些专家的建议。
找到您企业网络上的所有物联网设备并关闭。这是最简单的:您无法保护您根本不知道其存在的东西。找到所有连接到您企业网络的设备,这不仅包括传统的IT设备,而且还包括智能电视,恒温器,员工的可穿戴设备,等等。但是,这仅仅只是一个开始。您还需要寻找并未连接到您网络的Wi-Fi热点,如可能是员工自己设置的热点,以及诸如VoCore等设备。您企业还应该确定识别使用移动蜂窝数据的设备。
如果您企业没有能力这样做,有许多公司能够提供这方面的服务。OpenDNS可以帮助您企业跟踪网络活动及网络与这些网络活动相关的个人设备上。SysAid公司能够提供网络发现工具,帮助您找到网络上的所有设备。Pwnie Express和Bastille还能够帮助您发现在办公室的所有有线和无线设备,以及这些设备是否连接到网络。惠普和思科都提供多种安全服务,从发现网络上的设备开始,然后将其添加安全层。
检查网络身份验证和访问权限。哪些规则控制怎样的设备可以连接到您企业的网络,以及他们有什么样的访问权限?此前,在制定这些规则和访问权限时,并为考虑到物联网设备的因素,那么,现在是将眼光扩展到物联网领域,针对这些规则进行审视的一个很好的机会。例如,员工的智能手表是否被允许连接到企业网络,如果有,他们有什么样的访问权限?温控器呢?电灯泡呢?暖通空调设备呢?
锁定外部连接到您的网络。什么样的外部服务,网络和承包商能够连接到您的网络?您企业的暖通空调承包商是否有权限连接到您企业网络?您企业的设施部门与制造车间的连接状况如何?他们有很多的设备可能会导致问题。思科安全解决方案的安全实践经理马克·哈蒙德说,“一套全面的安全计划的一部分是对第三方风险和供应商风险的管理。了解企业所有的供应商,毕竟,您企业的相关数据是在这些企业之间传输,并且要让您企业的安全控制到位。” 因此企业必须进行详细的审查,加强网络安全连接,建立相关的规则,规定承包商是否可以访问您企业的网络,以及如何访问。
对所有物联网设备制定安全标准。SANS研究所的约翰·佩斯卡托建议说,从采购周期开始,您企业就需要考虑网络安全了。这适用于任何连接到企业网络的设备,而并不仅仅意味着IT设备。现在,除了有智能恒温器,已经有智能冰箱和智能灯泡了。因此,安全标准需要针对一切会进入企业的设备来设置。除非相关设备符合这些标准,否则就不应该被允许访问企业网络。
重新反思IT在安全中的作用。专家认为,在物联网世界中,企业需要做的最重要的事情之一是重新思考安全在整个企业的角色作用。一家企业通常都是按照职能所组织架构起来的,如设备部门负责采购和维护采暖和空调系统等设备;而生产部门则负责处理生产相关的设备,包括控制设备;而IT部门则负责电脑,BYOD设备以及网络。但在物联网的世界中,这可能会导致问题。
SysAid Technologies公司的首席执行官Sarah Lahav说,“今天,如果您想要购买电脑或者想要带上您自己的设备到公司,您需要与您企业的IT部门商量。但如果您是在设施部门,您想买一个温控器,您不应该向IT部门或公司的首席安全官打招呼。在物联网时代,这已经发生了改变。必须企业级的广泛的安全规则。”
不同的企业将以不同的方式来处理这些变化。有些企业可能会在IT部门的支持下,采用许多类型的设备,而其他企业可能会扩大首席安全官的作用,所以他们都会参与到对所有设备的采购和安全要求的制定中,而不仅仅只是IT部门。但无论如何,Lahav说,重组必须发生。
回归基本层面。思科公司的Marc Blackmer说,“从我的角度来看,您不能忘记的基本层面。人们担心,“冰箱智能化,我们该怎么办?”但是这一切其实都要归结为风险分析和风险管理。如果您真的把它分解到详细的具体是什么的层面,其只是设备的连接。对此,我们一直在处理,而且已经有很长一段时间了。解决方案是部署安全控制以减轻风险,然后重复循环该安全控制。如果您企业没有这方面的认识,那么物联网只是一个大的,可怕的空间,而您企业也只是在黑暗中摸索。”