物聯網(iot)裝置是最新一波直接連線到ip網路的裝置,這也帶來新的網路安全風險。
在過去,網路靜態連線首先預留給有限數量的昂貴的計算機,隨後網路連線開始提供給企業、使用者家中、移動裝置,現在開始連線到大量iot裝置。
過去大量資源專門用於連線計算機到靜態網路,但在物聯網時代,這些資源已經減少。而專用於連線這些裝置到網路的資源減少造成更少的資源來防止iot安全威脅。
如果企業還沒有受到iot攻擊,這應該是企業計畫要處理的事情。iot攻擊最終將會到來,所以企業要學會在為時已晚之前如何最有效地防止或低於它們。
日益增加的iot安全威脅
如果製造商和工程師第一次新增新的技術功能來連線其裝置到網際網路,但還沒有學習到前輩開發人員的慘痛教訓,那麼,他們在設計產品時將不可避免地犯同樣的錯誤—例如假定網路是可信,而沒有為安全事故做計畫。
雖然企業很難阻止因裝置製造問題而導致的安全風險,但企業可以評估軟體開發做法,以了解資訊保安是如何整合到製造商的軟體開發過程。如果製造商外包了裝置聯網的部分工作,這可能是乙個好跡象,因為這意味著經驗豐富的軟體開發人員正在幫助製造商部署正確的開發做法。
同樣需要注意的是,iot裝置與其他聯網裝置一樣面臨著相同的攻擊,例如拒絕服務攻擊或者使用預設賬號和預設密碼,企業可能已經遇到過這樣的問題。儘管iot裝置的攻擊面比傳統桌面或伺服器要小,但當考慮到iot裝置的數量時,即使是很小的安全問題都可能帶來嚴重影響,這很像過去連線到網際網路的印表機或scada裝置遇到的問題。
akamai technologies公司最近披露了重大iot攻擊事件,該公司研究人員報告稱拒絕服務(ddos)攻擊開始利用不安全的iot裝置配置。更具體地講,攻擊者發現可濫用簡單服務發現協議(ssdp)來放大惡意響應到偽造的ip流量以加入ddos攻擊。研究人員指出,攻擊者通過掃瞄來瞄準網路範圍,並傳送ssdp搜尋請求來確定iot裝置;然後響應流量傳送到目標網路作為ddos攻擊的一部分。
如何抵禦iot安全威脅?
一方面,企業應該確保ssdp的安全使用。ssdp使用應該限於特定網路以及速率限制,以最大限度地減少在攻擊中可產生的流量。企業可能還需要掃瞄其網路(類似於shadowserver project掃瞄網際網路)以尋找不安全配置的裝置,如果發現這種裝置,ssdp應該要被禁用或者限制在受批准的網路。該裝置可能還需要作業系統或軟體更新來修復任何ssdp漏洞。
在另一方面,企業還必須知道如何抵禦基本的ddos攻擊,企業需要在開發過程中或者生產環境中做好ddos抵禦計畫。
然而,抵禦iot相關的ddos攻擊還需要額外的步驟。首先,強大的網際網路外圍保護必須只允許受批准的入站網路連線。如果iot裝置不能直接通過網際網路來連線,那麼,攻擊者更難以讓它們參與ddos攻擊。如果iot裝置需要通過網際網路來直接訪問,它應該分隔在其自己的網路,並有網路訪問限制。這個網路分段應該受到監控以發現潛在的惡意流量,當出現問題時,應立即採取行動。
企業可以通過常規資產管理或漏洞掃瞄來檢測其網路中的iot裝置。任何不匹配已知企業裝置配置檔案的新裝置都應該被隔離,並將其流量重定向到註冊門戶**或者網路管理系統,以自動檢查裝置的安全性。這也可能讓這些裝置部署在自己的網路段。
iot裝置開發人員應該投入更多資源來確保安全性,這包括在裝置設計和配置中考慮更多安全性,因為這可能確保從**商發貨的裝置在預設情況下的安全性,並可能完全避免iot ddos安全問題。然而,對於開發人員來說,便利性、可用性和速度通常是比安全更重要的因素,實現這一目標就像是一場白日夢。
企業和網際網路服務提供商還倡導部署網際網路工程任務組的best current practice 38,bcp 38專門用於減少欺騙性ip流量,這可以幫助防止不知情的裝置參與ddos攻擊。如果攻擊者不能傳送偽造流量到裝置,那麼,裝置就不能傳送網路流量用於ddos攻擊。
iot安全威脅的未來發展
物聯網給企業和個人提供了巨大的優勢,並且,物聯網的發展不太可能受到安全問題的影響,例如本文中所討論的安全問題。
很多通過iot連線到網路的裝置並沒有使用傳統技術來實現網路連線。對於這些新裝置,應該會帶來新的預設安全設計,以及在預設安全的作業系統的頂部建立配置,其中,只有裝置的核心操作功能會啟用並受到保護。新的和現有的開發人員應該在設計裝置時解決這些安全挑戰,以防止未來的安全事故。
不過,在實現這一點之前,使用者和企業需要採取必要的預防措施和適當的控制來減少潛在的iot安全威脅。
原文發布時間為:
2023年08月31日
為時已晚,有機體 貪心 基環樹
題目大意 給你內向基環樹森林,一開始每個點都有個人,每秒所有人會沿著出邊走一步,你可以在任意秒取走某個點的人 只能取一次 使得人數最多。現在你要修改盡量少的出邊,使得最後你能取出最多的人,以及假設剛剛的答案是k,對每個t 0,k t in 0,k t 0,k 求修改t條邊後,你最多能拿到多少人。n ...
英特爾振興移動晶元業務努力為時已晚?
他認為,這可能導致英特爾 非我發明症 not invented here 文化的改變,最終幫助它在新興增長市場上獲得成功。數年前英特爾似乎還有在移動晶元市場上獲取相當高市場份額的野心。英特爾完成了多起收購交易,以獲得進入移動晶元市場所必需的寶貴智財權,並在研發方面投入巨資。人們不能說英特爾沒有努力。...