物联网威胁企业安全的六种方式

　　想必大多数组织的安全机构都不太可能把冰箱列在注意事项当中。然而今时不同往日——就在今年年初，有消息称接入互联网的智能冰箱沦为僵尸网络中的肉鸡并发送大量垃圾邮件，一石激起千层浪。

　　这一事件证明即便是家用电器，如果缺乏必要的安全保护，在接入互联网后同样有可能引发安全问题。

　　专家预计，在未来几年中，将有数十甚至上百亿台设备以类似的方式接入互联网，这就是所谓的物联网浪潮。物联网的到来到底是一场生活方式变革还是网络安全的末日？答案仁者见仁智者见智。无论如何，它的出现已经颠覆了我们对于互联网以及网络世界的认知。

　　本文中，我们将具体探讨物联网威胁企业安全的六种方式。

　　物联网将带来数十亿非安全终端

　　研究机构对于2020年接入互联网设备（或者称为“物”）的数量存在显著分歧。Gartner给出的答案是260亿台，IDC则认为届时将有2120亿台设备接入互联网。无论哪个数字更接近事实，可以肯定的是，到时候大量具备IP功能的设备最终会找到入侵企业网络的方式。这样的例子不胜枚举，包括智能取暖与照明系统、智能仪表、设备维护与监测传感器、工业机器人、资产追踪系统、智能零售货架、工厂控制系统以及智能手机、眼镜等都有可能成为入侵设备。

　　这其中，大部分产品属于消费级设备，还有一些则属于添加了网络连接功能的传感装置。且其中大多数设备并不具备对抗常见网络攻击的保护机制，而IT部门长久以来习以为常的操作系统、固件以及补丁维护方案在这里毫无用处。

　　从本质上讲，物联网相当于新增了数10亿个非安全终端，云安全厂商Hytrust公司总裁Eric Chiu表示。这些具备IP连接功能的设备将引发新型的攻击方式，从而攻破设备并取得企业网络的访问权限。

　　虽然有观点认为，企业自身可以通过严格把控消费级设备的接入，保证企业网络的安全，但这显然并不现实。

　　“企业必须认清现实，即薄弱环节已经客观存在，并就此作出反应。这并不是鼓励企业放弃防线，而是说我们应当假设攻击者已经成功进入企业内部网络，再以此为前提部署防御战略，”他解释道。

　　物联网将构建起异构、嵌入式设备的世界

　　物联网世界中，大多数“物”都将以内嵌应用程序的电器或设备的形式出现，SANS协会研究主管John Pescatore指出。

　　这样一来，物联网与传统IT架构中分层的软件模式将完全不同，IT安全机构也并不熟悉这种模式。

　　未来，物联网世界中将同时使用多种不同类型的通信协议。除了TCP/IP、802.11以及HTML 5之外，IT组织还将面对包括Zigbee、WebHooks以及IoT6在内的多种新型协议。而且与以往2～3年的常规IT生命周期不同，物联网的普及将使IT生命周期扩展至短到几个月、长达二十年以上的广泛区间，他解释道。

　　“物联网世界中的各类终端所使用的嵌入式系统在管理与安全保护方面完全不同于PC及服务器中传统的分层软件模式，而这将给现有IT管理及安全审查机制带来重大挑战，”Pescatore表示。

　　物联网将不可避免地与企业网络对接

　　正如根本不存在真正独立的工业控制网络一样，物联网世界中也不存在能够与之完全隔离的企业网络，RSA总经理Amit Yoran指出。

　　无论采取怎样的网络分割与隔离技术，物联网最终仍然会通过互联网与企业网络对接，这些接口将成为恶意攻击的主要目标。

　　物联网将无所不在、无所不通，其中也包括企业网络。Yoran指出。“如今企业用户已经能够通过BYOD的方式直接访问云资源，而无需通过企业网络作为中转路径”。

　　而物联网的出现将加剧这一事态，届时IT部门在试图控制各种设备访问保存在内部或者云端的业务数据时，将面临极度混乱的局面。

　　“物联网与企业网络难以区隔。一旦各类物联网终端被攻破，企业网络将同样面临巨大的风险。”Yoran表示。

　　物联网将危及物理设备和生命安全

　　除了给在线数据带来威胁外，物联网的普及同样会给物理设备乃至生理层面带来风险，Zscaler公司安全研究副总裁Michael Sutton表示。

　　黑客们已经证实了具备IP功能的胰岛素泵、血糖监测仪以及心脏起搏器有可能遭遇安全攻击，这将直接导致设备使用者遭受生理损伤。

　　随着物联网的兴起，此类攻击还可能指向汽车、智能采暖、通风与空调系统、具备网络功能的复印机、打印机、扫描仪乃至几乎所有使用IP地址的设备。

　　一般情况下，黑客们甚至不需要利用设备中的软件及硬件漏洞。而这意味着企业将面临极其危险的局面，因为这其中的每一套IP地址配置方案都有出现错误的风险。

　　物联网将构建新的供应链

　　大量接入企业网络的设备很快将成为IT安全部门的管理对象，然而可怕的是这些部门对此并不熟悉。

　　“与BYOD类似，传统企业需要就此制定并开发相应的策略与管理系统，并利用这套体系管理一个规模庞大的设备群体，”设备验证与身份管理技术供应商Identiv公司CEO Jason Hart指出。

　　“除了员工自带的物理设备、虚拟办公环境内的新型设备之外，传统非连接型设备（从咖啡机到新型人体工程椅）都将转向智能化，并成为IT部门的维护对象，”Hart表示。

　　要想在物联网世界中取得成功，厂商必须能够帮助企业用户管理新型IP设备与企业网络之间复杂的依存关系，英国计算机协会成员兼独立安全顾问Chris Yapp指出。

　　这其中，掌握复杂技术整合与管理经验的企业最有可能在物联网大潮中取得成功，他表示。

　　“而现有安全服务商则应该集中资源、通力合作、完善解决方案，只有这样才有机会与系统集成商一较高下，“Yapp说。

　　物联网将导致网络攻击规模、隐匿性及持久性显著提升

　　至少从理论上讲，完全互联网化所带来的威胁与大部分IT组织目前面临的状况并无太大区别。很多企业已经适应了由智能手机、平板电脑以及其它具备无线连接功能的设备所带来的挑战。唯一的区别在于，物联网所带来的安全威胁规模更庞大、范围也更加广泛。

　　“物联网涵盖每一台接入互联网的设备，”安全即服务厂商Proofpoint公司高级安全副总裁Kevin Epstein表示。

　　其中包括各类家庭自动化产品，例如智能温控装置、安保摄像机、冰箱等，此外工业控制机械与智能化零售货架也将逐渐走入我们的生活。

　　如此多的设备必然会带来严峻的挑战。“挑战的核心在于攻击活动的规模、隐匿性以及持久性”。当前情况下，攻击者就能够相对轻松地渗透到企业防御体系当中，Epstein解释称，“想象一下攻击数量如果陡增10倍，情况会变得多么糟糕。”

　　核子可乐译