博客

物联网如何损害网络完整性

F5 缩略图
F5
2018 年 5 月 1 日发布

物联网 (IoT) 正在撼动网络领域并为机器对机器 (M2M) 通信和自动化流程铺平道路。 从联网汽车和智能家居到远程手术和机器人技术——机遇和潜力无穷。

最近的数据显示,目前投入使用的物联网设备数量约为 84 亿,预计到 2020 年这一数量将达到 200 亿以上。 如今,物联网涵盖了广泛的技术范围,其部署形式多种多样。 其中最主要的是工业物联网 (IIoT) 的托管用例和消费者物联网 (CIoT) 的非托管用例。

尽管工业物联网看起来极其复杂,但安全管理实际上很容易实现。 这里的关键是控制设备和应用之间的流量的解决方案,保证一流的服务并确保协议一致性。  通过加密(TLS)和状态安全服务(监管和漏洞保护)确保通信安全也至关重要。

工业物联网部署的一个关键挑战是流量指标的变化特征。 工业物联网设备数量庞大,会话时间长(数月甚至数年),流量通常很低。 终止空闲会话并不总是一种选择。 事实上,某些应用的‘始终在线’特性可能会导致网络内的流量风暴。

CIoT 设备通常不受管理,包括闭路电视摄像机、智能扬声器系统和可穿戴设备等。 当坐在移动宽带或固定线路用户 CPE 后面时,由于通信关系不明确定义,可能很难在网络中识别此类设备。

许多智能设备都建立在廉价的芯片组上,这些芯片组提供网络协议栈,有时还提供应用层,这一事实加剧了这一问题。 制造商通常会避免提供补丁,有时甚至在设备发货后不承担任何责任。 这可能会造成严重破坏。 根据 F5 实验室的最新威胁情报报告,欧洲已成为物联机器人的热点地区,物联机器人完全由物联网设备构建,并迅速成为雄心勃勃的僵尸网络攻击者的首选网络武器传送系统。

F5 实验室报告称,2017 年 1 月 1 日至 6 月 30 日期间,全球发生了 3060 万次 Thingbot 攻击,这些攻击利用使用 Telnet 的设备,Telnet 是一种提供用于与设备通信的命令行界面的网络协议。 这比 2016 年 7 月 1 日至 12 月 31 日的上一报告期增加了 280%。 在前 50 个攻击 IP 地址中,托管服务提供商占 44%,其中 56% 来自 ISP/电信来源。

尽管攻击活动激增,但其规模仍不及 Thingbot 主要罪魁祸首 Mirai 和 Persirai。 F5 报告期内 93% 的攻击发生在 1 月和 2 月,3 月至 6 月攻击活动有所减少。 这可能表明,随着攻击者从“侦察”阶段转向“仅构建”阶段,新的攻击即将来临。

不幸的是,我们将继续看到大量的 Thingbots 被构建,直到物联网制造商被迫保护这些设备、召回产品,或者屈服于拒绝购买此类易受攻击设备的买家的压力。

在这种背景下,服务提供商面临的挑战不仅包括识别感染活动,还包括减轻出站 DoS 攻击。

传统的第 3 层和第 4 层防火墙规则不再有太大帮助。 现在,对交通进行稳健的行为分析至关重要。 这样,安全设备就会随着时间的推移了解“正常”的网络基线。 一旦发现偏差,就会启动各种活动。 这些可能包括创建警报,在人工验证后触发手动缓解过程,或为现有的缓解技术创建动态签名以阻止检测到的异常。

自我防御网络是未来安全架构不可或缺的一部分。 与此同时,负责任的组织可以尽最大努力保护自己,制定DDoS 策略,确保关键服务的冗余,并实施撞库攻击解决方案。 不断教育员工了解物联网设备的潜在危险以及如何安全使用它们也很重要。