物聯網威脅企業安全的六種方式

安全

作者：核子可樂譯

想必大多數組織的安全機構都不太可能把冰箱列在注意事項當中。然而今時不同往日——就在今年年初，有消息稱接入互聯網的智能冰箱淪為僵屍網絡中的肉雞並發送大量垃圾郵件，一石激起千層浪。

這一事件證明即便是家用電器，如果缺乏必要的安全保護，在接入互聯網後同樣有可能引發安全問題。

專家預計，在未來幾年中，將有數十甚至上百億台設備以類似的方式接入互聯網，這就是所謂的物聯網浪潮。物聯網的到來到底是一場生活方式變革還是網絡安全的末日？答案仁者見仁智者見智。無論如何，它的出現已經顛覆了我們對於互聯網以及網絡世界的認知。

本文中，我們將具體探討物聯網威脅企業安全的六種方式。

物聯網將帶來數十億非安全終端

研究機構對於2020年接入互聯網設備（或者稱為“物”）的數量存在顯著分歧。Gartner給出的答案是260億台，IDC則認為屆時將有2120億台設備接入互聯網。無論哪個數字更接近事實，可以肯定的是，到時候大量具備IP功能的設備最終會找到入侵企業網絡的方式。這樣的例子不勝枚舉，包括智能取暖與照明係統、智能儀表、設備維護與監測傳感器、工業機器人、資產追蹤係統、智能零售貨架、工廠控製係統以及智能手機、眼鏡等都有可能成為入侵設備。

這其中，大部分產品屬於消費級設備，還有一些則屬於添加了網絡連接功能的傳感裝置。且其中大多數設備並不具備對抗常見網絡攻擊的保護機製，而IT部門長久以來習以為常的操作係統、固件以及補丁維護方案在這裏毫無用處。

從本質上講，物聯網相當於新增了數10億個非安全終端，雲安全廠商Hytrust公司總裁Eric Chiu表示。這些具備IP連接功能的設備將引發新型的攻擊方式，從而攻破設備並取得企業網絡的訪問權限。

雖然有觀點認為，企業自身可以通過嚴格把控消費級設備的接入，保證企業網絡的安全，但這顯然並不現實。

“企業必須認清現實，即薄弱環節已經客觀存在，並就此作出反應。這並不是鼓勵企業放棄防線，而是說我們應當假設攻擊者已經成功進入企業內部網絡，再以此為前提部署防禦戰略，”他解釋道。

物聯網將構建起異構、嵌入式設備的世界

物聯網世界中，大多數“物”都將以內嵌應用程序的電器或設備的形式出現，SANS協會研究主管John Pescatore指出。

這樣一來，物聯網與傳統IT架構中分層的軟件模式將完全不同，IT安全機構也並不熟悉這種模式。

未來，物聯網世界中將同時使用多種不同類型的通信協議。除了TCP/IP、802.11以及HTML 5之外，IT組織還將麵對包括Zigbee、WebHooks以及IoT6在內的多種新型協議。而且與以往2～3年的常規IT生命周期不同，物聯網的普及將使IT生命周期擴展至短到幾個月、長達二十年以上的廣泛區間，他解釋道。

“物聯網世界中的各類終端所使用的嵌入式係統在管理與安全保護方麵完全不同於PC及服務器中傳統的分層軟件模式，而這將給現有IT管理及安全審查機製帶來重大挑戰，”Pescatore表示。

物聯網將不可避免地與企業網絡對接

正如根本不存在真正獨立的工業控製網絡一樣，物聯網世界中也不存在能夠與之完全隔離的企業網絡，RSA總經理Amit Yoran指出。

無論采取怎樣的網絡分割與隔離技術，物聯網最終仍然會通過互聯網與企業網絡對接，這些接口將成為惡意攻擊的主要目標。