信息化觀察網(wǎng)

2018年可以說是物聯(lián)網(wǎng)的災(zāi)難年，各種網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，盡管這樣，物聯(lián)網(wǎng)設(shè)備在我們?nèi)粘Ｉ钪械臐B透率依舊沒有降低，反而增高了。據(jù)有關(guān)專家預(yù)測，2019年這種趨勢將會發(fā)展的更快，這也意味著物聯(lián)網(wǎng)安全問題也將變得更為嚴(yán)峻。

2018年的物聯(lián)網(wǎng)攻擊

在2018年多次物聯(lián)網(wǎng)攻擊中，我們看到了Wicked、OMG Mirai、ADB.Miner、DoubleDoor、Hide'N Seek以及針對金融業(yè)的Mirai-Variant IoT僵尸網(wǎng)絡(luò)。

但是，2018年的主要攻擊肯定是VPNFilter，它攻擊了全球范圍內(nèi)的超過50萬臺設(shè)備，大多數(shù)設(shè)備為路由器，包括Linksys、MikroTik、Netgear、TP-Link、QNAP、華碩、D-Link、華為、Ubiquiti、UPVEL和中興等廠商產(chǎn)品無一幸免。雖然這種攻擊相對較大，但它不再是罕見或一種意外。

監(jiān)管工作將會進(jìn)一步增加

這種攻擊的增加，是否意味著該行業(yè)已經(jīng)習(xí)慣于物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊？圍繞物聯(lián)網(wǎng)安全的監(jiān)管，今年的回答是沒有，不同層面的多項(xiàng)監(jiān)管行動正在實(shí)施。

英國政府的DCMS部門（數(shù)字、文化、媒體和體育）發(fā)布了"消費(fèi)者物聯(lián)網(wǎng)安全實(shí)踐守則"和"設(shè)計(jì)安全：改善消費(fèi)者物聯(lián)網(wǎng)報(bào)告的網(wǎng)絡(luò)安全"，制定有關(guān)物聯(lián)網(wǎng)設(shè)備安全的指南和建議。

美國加州政府更進(jìn)一步，通過"B-327信息隱私：設(shè)備連接"法案，這是第一個(gè)專注于物聯(lián)網(wǎng)設(shè)備安全及用戶隱私保護(hù)的法案。

該法案表明，政府可以且有意愿參與物聯(lián)網(wǎng)設(shè)備監(jiān)管。

即將到來的政府標(biāo)準(zhǔn)化工作將在2019年繼續(xù)大幅增加。我們預(yù)計(jì)，相關(guān)法規(guī)將擴(kuò)展到認(rèn)證和數(shù)據(jù)隱私之外，以及更詳細(xì)的網(wǎng)絡(luò)安全要求和對設(shè)備物料清單的可見性。這些操作將增加對供應(yīng)商的要求，從安全建議道實(shí)際工作任務(wù)。

此外，在2018年，我們看到物聯(lián)網(wǎng)安全事件的報(bào)告超越了安全和技術(shù)媒體，進(jìn)入主流媒體視野。我們相信，這在2019年會繼續(xù)增加，因?yàn)檫@將提高物聯(lián)網(wǎng)用戶對威脅的認(rèn)識，反過來又會加速監(jiān)管過程，并對制造商施加更大壓力，提高其產(chǎn)品的安全標(biāo)準(zhǔn)。

2019年三個(gè)物聯(lián)網(wǎng)攻擊途徑

在2019年，針對物聯(lián)網(wǎng)的三種攻擊途徑將繼續(xù)快速增長。通過直接互聯(lián)網(wǎng)接口感染大量設(shè)備的攻擊，以及對數(shù)據(jù)中心和云服務(wù)或加密貨幣挖掘?yàn)槟康倪M(jìn)行的DDoS攻擊。

針對勒索個(gè)人和組織（如酒店、醫(yī)院或賭場）的特定設(shè)備進(jìn)行有針對性的開發(fā)。我們預(yù)見到一些攻擊行為：

1.劫持設(shè)備，在支付贖金后才釋放；

2.錄制令人尷尬或犯罪的視頻和音頻；

3.將設(shè)備作為APT（高級持續(xù)性威脅）攻擊的一部分進(jìn)行攻擊，并利用它們進(jìn)行橫向移動來獲取對敏感數(shù)據(jù)資產(chǎn)的訪問（比如，通過直接與網(wǎng)絡(luò)服務(wù)交互的打印機(jī)、通過智能電話會議系統(tǒng)等。）；

4.利用連接設(shè)備的功能，由國家贊助的機(jī)構(gòu)和攻擊性網(wǎng)絡(luò)安全公司收集情報(bào)；

5.大型安全公司以及個(gè)人安全研究人員在沒有供應(yīng)商協(xié)作的情況下，在各種設(shè)備（包括相機(jī)、路由器、網(wǎng)關(guān)、NAS和真空吸塵器等）中查找和披露零日漏洞的大量研究工作。這些研究工作雖然有意義，但是會導(dǎo)致攻擊者利用被發(fā)現(xiàn)易受攻擊但尚未被供應(yīng)商修補(bǔ)的設(shè)備。

攻擊復(fù)雜性會增加

雖然大多數(shù)物聯(lián)網(wǎng)安全研究是在容易購買的設(shè)備上進(jìn)行，在實(shí)驗(yàn)室進(jìn)行拆解和破解，但是我們預(yù)計(jì)對更高端連接設(shè)備的研究將逐步增加，比如智能建筑的關(guān)鍵基礎(chǔ)設(shè)施、火災(zāi)報(bào)警系統(tǒng)和公用事業(yè)基礎(chǔ)設(shè)施。

現(xiàn)在的情況是，攻擊者越來越精明和大膽，例如VPNFilter對烏克蘭氯蒸餾廠的攻擊就是一個(gè)很好的例子。這種威脅有能力擴(kuò)展到大量設(shè)備，它基于適用于不同架構(gòu)的模塊化機(jī)制，能在設(shè)備重啟后繼續(xù)生存，以及附帶監(jiān)控和攔截通過設(shè)備流量的能力。

這種復(fù)雜性將繼續(xù)發(fā)展，并且只是我們在未來物聯(lián)網(wǎng)設(shè)備中缺乏安全性實(shí)施所看到的一個(gè)例子。

增強(qiáng)設(shè)備安全的設(shè)計(jì)能力

我們已經(jīng)看到一些關(guān)于安全和隱私問題的案件，它們被裁定有利于用戶，對設(shè)備制造商施加責(zé)任。在2019年期間，我們預(yù)測這些案件和裁決的數(shù)量將繼續(xù)增加。

即使在法庭外解決，這一趨勢也將成為物聯(lián)網(wǎng)制造商更加重視安全的強(qiáng)大動力，使安全成為開發(fā)階段的關(guān)鍵問題。

此外，物聯(lián)網(wǎng)制造商將受到激勵以保護(hù)他們的設(shè)備，因?yàn)槠髽I(yè)買家將要求適配于企業(yè)環(huán)境的安全設(shè)備，以減少他們的風(fēng)險(xiǎn)和攻擊面。

網(wǎng)絡(luò)安全自動化時(shí)代到來

來自連接設(shè)備的網(wǎng)絡(luò)威脅不斷增加，將對業(yè)務(wù)和運(yùn)營連續(xù)性以及消費(fèi)者的生活產(chǎn)生更大的影響。

對某些情況，物聯(lián)網(wǎng)設(shè)備制造商必須對物聯(lián)網(wǎng)網(wǎng)絡(luò)安全有更快的響應(yīng)和應(yīng)對。我們預(yù)計(jì)，為了開發(fā)安全的新設(shè)備，以及修補(bǔ)傳統(tǒng)設(shè)備的大量目錄，制造商轉(zhuǎn)向自動化，這可能作為解決安全和隱私問題真正有效的唯一方法。

2019年，將是基于技術(shù)的解決方案一年，依靠自動化可能成為物聯(lián)網(wǎng)安全生態(tài)系統(tǒng)的指路燈。

（原標(biāo)題：關(guān)于2019年物聯(lián)網(wǎng)安全這有一份深度解讀）