你好，物联网，再见安全无知

2016 年向我们展示了物联网 (IoT) 对服务提供商网络产生的巨大影响。

我不仅指的是控制平面或流量过滤器，还指的是更大规模的、群体性的物联网设备僵尸网络可能造成的破坏。

Mirai 是后者的一个突出例子，它以毁灭性的方式展示了精心策划的攻击的威力——在这种情况下利用了 620+ Gbps 的恶意流量。  

其规模远远超出了许多人的想象。 除了安全社区之外，是否有人曾预料到 DVR 或联网摄像头会变成武器？

随着日常设备联网的普及、操作系统的重复使用以及持续的零部件价格战，这只是一个时间问题。

考虑到这个现实情况，是否有人在设备层面上解决这个问题？

我们最好习惯另一个不可避免的现实：修复必须来自网络，更准确地说是服务提供商网络，因为它们托管着潜在的易受攻击的设备，并且更接近攻击源。

随着规模化和复杂性快速演变的攻击变得越来越普遍，情况尤其如此。 去年年底，Leet 僵尸网络提供了另一个令人震惊的例子，它使用散列和更改的有效载荷攻击了一家安全公司，逃避检测并产生了 600+ Gbps 的攻击流量。

展望未来，安全行业一致认为 600+ Gbps 还远远没有达到我们将看到的最大值。 情况将会变得更糟。

那么，这对服务提供商意味着什么？他们可以做些什么来做好准备并确保未来的利润和创新？

好消息是，F5 Networks 合作的绝大多数服务提供商都非常重视这一挑战——我认为整个行业都会如此。

令人鼓舞的是，网络防御正在不断增强。 如今，服务提供商必须分析离开其网络的流量，在问题出现时及时发现并迅速实质性地处理僵尸网络等问题，这是理所当然的——或者至少是一种期望。

这是一个新的联盟的开始，旨在打击拒绝服务攻击，无论这些攻击是由个人还是国家发起的。

例如，服务提供商现在被迫合作并遵守边界网关协议 (BGP) 流规范公告等。 BGP 是一种协议，它通过边缘路由器之间交换路由和可达性信息来管理如何在互联网上路由数据包。

最重要的是，我们需要更好的武器来获得战斗的机会。

处理能力很有用，但我们需要更智能的方法来应对攻击。 就保护控制平面和数据中心资源而言，SSL 卸载是关键，有助于防止通过加密进行逃避，而行为分析使我们能够检测新的攻击、自动生成签名并在本地和/或全球社区之间共享这些签名。

由于攻击既针对开放系统互连 (OSI) 层也针对计算能力本身，因此全面了解applications和协议至关重要。 现在，区分好流量和坏流量的能力对于确保采取足够的防御措施和关键服务保持运行至关重要。 新的网络威胁形势的另一个直接结果是，对利用现场可编程门阵列 (FPGA) 的处理能力来帮助吸收大量数据的解决方案的需求日益增长。

服务提供商的格局正在以闪电般的速度发生变化，物联网的机遇和陷阱迫使他们重新思考自己的运营方式。

这反映在来找我们了解这一切的客户数量激增，无论是 S/Gi 防火墙解决方案来保护他们的基础设施和用户免受攻击，还是保护数据中心周边（保护application、保护协议并充当守门人来识别和击退攻击）。

在 F5，我们也看到对基于物联网的applications和协议保护的需求越来越大。 除此之外，下一步是整合安全基础设施，旨在降低成本和延迟，同时提高效率和可管理性。

此外，我们正在快速适应开发允许 DoS 缓解设备的负载共享和协作的功能。 网络犯罪分子及其攻击方法正在发生变化，F5 等公司也在发生变化。 我们不仅为网络提供工具，还提供情报来保护网络本身。

袖手旁观已不再是一个选择。 问题一直存在，并在快速发展。 现在是向他们发起正面攻击的时候了。