2018年是物联网的一年,我们看到:一方面,大规模攻击层出不穷,各种僵尸网络死灰复燃,屡出新意,另一方面,政府监管和相关标准得到进一步发展。尽管安全和隐私问题愈加严重,但是普通消费者和企业正越来越多地采用物联网设备,比如智能家居、智慧办公等。2019年,这些趋势的发展速度将更快。
2018年的物联网攻击
在2018年多次物联网攻击中,我们看到了Wicked、OMG Mirai、ADB.Miner、DoubleDoor、Hide'N Seek以及针对金融业的Mirai-Variant IoT僵尸网络。
但是,2018年的主要攻击肯定是VPNFilter,它攻击了全球范围内的超过50万台设备,大多数设备为路由器,包括Linksys、MikroTik、Netgear、TP-Link、QNAP、华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴等厂商产品无一幸免。虽然这种攻击相对较大,但它不再是罕见或一种意外。
监管工作将会进一步增加
这种攻击的增加,是否意味着该行业已经习惯于物联网网络攻击?围绕物联网安全的监管,今年的回答是没有,不同层面的多项监管行动正在实施。
英国政府的DCMS部门(数字、文化、媒体和体育)发布了"消费者物联网安全实践守则"和"设计安全:改善消费者物联网报告的网络安全",制定有关物联网设备安全的指南和建议。
美国加州政府更进一步,通过"B-327信息隐私:设备连接"法案,这是第一个专注于物联网设备安全及用户隐私保护的法案。
该法案表明,政府可以且有意愿参与物联网设备监管。
即将到来的政府标准化工作将在2019年继续大幅增加。我们预计,相关法规将扩展到认证和数据隐私之外,以及更详细的网络安全要求和对设备物料清单的可见性。这些操作将增加对供应商的要求,从安全建议道实际工作任务。
此外,在2018年,我们看到物联网安全事件的报告超越了安全和技术媒体,进入主流媒体视野。我们相信,这在2019年会继续增加,因为这将提高物联网用户对威胁的认识,反过来又会加速监管过程,并对制造商施加更大压力,提高其产品的安全标准。
2019年三个物联网攻击途径
在2019年,针对物联网的三种攻击途径将继续快速增长。通过直接互联网接口感染大量设备的攻击,以及对数据中心和云服务或加密货币挖掘为目的进行的DDoS攻击。
针对勒索个人和组织(如酒店、医院或赌场)的特定设备进行有针对性的开发。我们预见到一些攻击行为:
- 劫持设备,在支付赎金后才释放;
- 录制令人尴尬或犯罪的视频和音频;
- 将设备作为APT(高级持续性威胁)攻击的一部分进行攻击,并利用它们进行横向移动来获取对敏感数据资产的访问(比如,通过直接与网络服务交互的打印机、通过智能电话会议系统等。);
- 利用连接设备的功能,由国家赞助的机构和攻击性网络安全公司收集情报;
- 大型安全公司以及个人安全研究人员在没有供应商协作的情况下,在各种设备(包括相机、路由器、网关、NAS和真空吸尘器等)中查找和披露零日漏洞的大量研究工作。这些研究工作虽然有意义,但是会导致攻击者利用被发现易受攻击但尚未被供应商修补的设备。
攻击复杂性会增加
虽然大多数物联网安全研究是在容易购买的设备上进行,在实验室进行拆解和破解,但是我们预计对更高端连接设备的研究将逐步增加,比如智能建筑的关键基础设施、火灾报警系统和公用事业基础设施。
现在的情况是,攻击者越来越精明和大胆,例如VPNFilter对乌克兰氯蒸馏厂的攻击就是一个很好的例子。这种威胁有能力扩展到大量设备,它基于适用于不同架构的模块化机制,能在设备重启后继续生存,以及附带监控和拦截通过设备流量的能力。
这种复杂性将继续发展,并且只是我们在未来物联网设备中缺乏安全性实施所看到的一个例子。
增强设备安全的设计能力
我们已经看到一些关于安全和隐私问题的案件,它们被裁定有利于用户,对设备制造商施加责任。在2019年期间,我们预测这些案件和裁决的数量将继续增加。
即使在法庭外解决,这一趋势也将成为物联网制造商更加重视安全的强大动力,使安全成为开发阶段的关键问题。
此外,物联网制造商将受到激励以保护他们的设备,因为企业买家将要求适配于企业环境的安全设备,以减少他们的风险和攻击面。
网络安全自动化时代到来
来自连接设备的网络威胁不断增加,将对业务和运营连续性以及消费者的生活产生更大的影响。
对某些情况,物联网设备制造商必须对物联网网络安全有更快的响应和应对。我们预计,为了开发安全的新设备,以及修补传统设备的大量目录,制造商转向自动化,这可能作为解决安全和隐私问题真正有效的唯一方法。
2019年,将是基于技术的解决方案一年,依靠自动化可能成为物联网安全生态系统的指路灯。