物联网虽然带来了新的数据采集、管理和应用方式,但也带来了大量的网络安全攻击。一大隐患在于TCP/IP架构,包括应用层、传输层、网络层和物理层。其实从各个角度来看,TCP/IP架构本来就不是为物联网设计的。尽管工程师和开发人员都在尝试对TCP/IP架构进行修改或添加扩展,但是环境本身的复杂性,加上在TCP/IP架构设计之初并没有考虑到安全性,这个过程带来了很多安全性——关卡挑战——其中许多具有实际意义。美国加州物联网咨询应用公司StrategyofThings高级合伙人BensonChan认为,TCP/IP之所以成为一大隐患,是因为TCP/IP是几乎所有物联网的基础软件组件。物联网设备,所以涉及的数量很大。为什么TCP/IP对物联网构成威胁?在最基本的层面上,TCP/IP架构使物联网设备能够与互联网和其他设备进行通信。这些架构是开源的,大多数嵌入式设备和物联网组件制造商都可以免费试用。Chan补充道:“物联网设备制造商将购买内置TCP/IP架构代码的芯片和组件,然后使用这些组件构建物联网产品。”不幸的是,许多物联网设备制造商并不知道他们的设备是否是隐藏的,因为他们无法了解芯片和组件中使用的架构。此外,分析每个设备然后发现TCP/IP结构中的编程错误或其他问题显然是不可行的。因此,所有设备都容易受到攻击和信息泄露;会发生设备故障、数据丢失或损坏,并最终损害品牌。同样,这也会增加网络安全的成本。Forescout的研究经理DaniledosSantos认为:“TCP/IP结构的漏洞管理正在成为安全社区面临的真正挑战。”有哪些威胁?就在去年,URGENT/11、RIPPLE20等一系列漏洞影响巨大。今年,还有33个其他漏洞(包括AMNESIA:33)影响四种常用的开源TCP/IP架构——uIP、FNET、picoTCP和Nut/Net。这四种架构是包括医疗设备、工业控制系统、路由器、交换机和智能家居在内的数百万物联网设备、工业设备和网络设备的基本组成部分。攻击者可以利用这些漏洞进行远程代码执行、DoS攻击,甚至强行占用设备。根据Forescout上个月的一份报告,来自150多家供应商的设备存在风险。这些漏洞可能存在于商业或开源组件中。嵌入式元器件包括芯片级系统、连接元器件、OEM主板等;物联网设备包括智能插件、智能手机、传感器、游戏控制器等;OT系统包括门禁、IP摄像头、协议网关、HVAC等;网络和IT设备包括打印机、路由器、服务器等。多斯桑托斯指出,AMNESIA:33的影响不仅是因为存在大量易受攻击的设备,还有其他几个原因。原因之一是硬件中对开源组件的广泛和严重依赖。这些结构中的代码几乎涉及与设备交互的每个数据包,从而使这些漏洞影响空闲设备。由于源代码在88%的嵌入式项目中被重用,因此像AMNESIA:33这样的漏洞的影响成倍增加。正如Forescout的报告中提到的,攻击者可以通过远程代码执行来控制目标设备,然后DoS攻击会影响其性能并最终损害业务。攻击者还可以通过信息泄露漏洞获取敏感信息,利用DNS投毒将目标设备重定向到恶意网站。报告称:“由于该漏洞的范围广泛,全球许多组织可能已受到AMNESIA:33的影响。”组织如何解决TCP/IP架构中的漏洞?基本分为三个步骤:识别网络上的所有设备并意识到哪些是隐患,评估这些设备带来的风险——包括业务相关性、严重性和互联网暴露,最后减轻评估的风险。多斯桑托斯补充说:“最后一点可以通过多种方式实现:例如修补、分段网络和隔离关键设备、加强安全合规性以及监控网络中的恶意流量。”特别针对AMNESIA:33,他建议禁止和阻止IPv6流量,并尽可能依赖内部DNS服务器进行交互;由于架构中的多个协议受到多个漏洞的影响。同样,企业可以依赖网络安全解决方案来自动化和优化最佳实践。这包括采取更主动的方法,例如隔离关键设备(无论是否易受攻击)以减少暴露并限制攻击的影响。另一方面,安全团队可以回答以下关键问题:代码是否合法?谁是代码的贡献者,还有人在维护代码吗?开源代码库确实简化了编程过程,但这仍然需要开发人员了解代码库中存在的内容——毕竟现在太多时候,开发人员会在不知道代码内容的情况下轻松连接到代码库。顺便说一句,AMNESIA:33和其他与TCP/IP相关的物联网漏洞目前看来不太可能消失。Chan说:“AMNESIA:33中的大部分漏洞是由于软件开发过程和管理行为不佳造成的。升级软件可以解决一些问题,但关键是要知道哪些设备具有受影响的架构。物联网设备制造商购买芯片和组件来自供应商,但他们自己并不知道里面装的是什么软件。”评价物联网的发展是大势所趋,但传统的互联网网络架构和软件能否支持物联网设备成为一个问题——而且答案未必理想,这对物联网用户来说显然是困难重重。物理网络设备直接影响物联网设备本身的安全,但可以通过加强对物联网设备的管控来降低物联网设备风险的影响;以及下层设备本身、物联网厂商、芯片供应商等的安全.需要提高安全意识和关注度,从而提供更安全的物联网设备。
