據(jù)市場分析機(jī)構(gòu)IHS Markit預(yù)測，到2023年，全球聯(lián)網(wǎng)汽車銷量將從2015年的2400萬輛增至7250萬輛。這意味著，在未來短短8年內(nèi)，所售近69%的乘用車將與外界聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交互，進(jìn)而將汽車變?yōu)橐粋€高級網(wǎng)絡(luò)。到2018年，汽車將從一種交通運(yùn)輸方式轉(zhuǎn)變?yōu)榛ヂ?lián)信息樞紐。

Ixia公司發(fā)布的2018年趨勢預(yù)測及未來展望中也談到，2018年，隨著人們對聯(lián)網(wǎng)汽車系統(tǒng)攻擊的憂慮加深，“攻擊面”一詞也將延伸至車輛。對整車災(zāi)難性攻擊的擔(dān)憂將演變?yōu)閷τ趥€人帳戶攻擊的一般性恐懼，如：自動收費(fèi)系統(tǒng)、導(dǎo)航歷史以及車輛監(jiān)控系統(tǒng)入侵等。隨著汽車廠商努力解決這些不斷上升的風(fēng)險，持續(xù)性的性能監(jiān)測與系統(tǒng)驗(yàn)證將在2018年凸顯重要的意義。

Ixia公司認(rèn)為，物聯(lián)網(wǎng)風(fēng)險真實(shí)存在。由于人們對物聯(lián)網(wǎng)的依賴與日俱增，成百上千的互聯(lián)設(shè)備將有可能被攻擊成為僵尸網(wǎng)絡(luò)，并造成破壞性影響。這些日益增長的風(fēng)險以及普遍不足的Wi-Fi保護(hù)措施將帶來層出不窮的漏洞，而這些漏洞很有可能被惡意利用。

攻擊面的擴(kuò)大將會令新的風(fēng)險進(jìn)入您的企業(yè)網(wǎng)絡(luò)。如果您在一個未經(jīng)保護(hù)的公共網(wǎng)絡(luò)內(nèi)遠(yuǎn)程工作，那么您就會將整個所在組織置于風(fēng)險之中，黑客們將竊取您的數(shù)據(jù)或者不知不覺中將您的設(shè)備變?yōu)榻┦W(wǎng)絡(luò)的一部分。

理解物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和DDoS攻擊

Arbor Network中國和香港地區(qū)總經(jīng)理徐開勇也發(fā)表評論談到“為什么物聯(lián)網(wǎng)設(shè)備現(xiàn)在如此流行?”。他認(rèn)為，物聯(lián)網(wǎng)設(shè)備之所以被大規(guī)模部署，是因?yàn)樗鼈儽挥糜诳刂?、監(jiān)測和管理我們?nèi)粘Ｉ钪惺褂玫膸缀趺恳豁?xiàng)技術(shù)。由于典型的物聯(lián)網(wǎng)設(shè)備能力有限，因此必須與外部解決方案進(jìn)行交互，并受其控制和監(jiān)測。為盡量減少部署成本，物聯(lián)網(wǎng)設(shè)備通常被設(shè)計得易于安裝和部署。然而，這常常導(dǎo)致設(shè)備的安全能力有限，在某些極端情況下，甚至沒有任何安全功能。

第一次物聯(lián)網(wǎng)DDoS攻擊出現(xiàn)在2003年，由于Netgear DSL/電纜調(diào)制解調(diào)器的缺陷，導(dǎo)致了第一次無意的對物聯(lián)網(wǎng)設(shè)備的DDoS攻擊。該設(shè)備使用美國威斯康辛大學(xué)的NTP服務(wù)器進(jìn)行硬編碼，隨著越來越多的設(shè)備被部署(Netgear估計707,147臺設(shè)備有缺陷)，流向該大學(xué)的NTP客戶端數(shù)據(jù)流超出了所有合理的界限，峰值時達(dá)到150Mb/250Kpps。使用ACL化解了此次攻擊，Netgear針對該問題發(fā)布了補(bǔ)丁。然而，由于無法找到所有這些設(shè)備的擁有者，只能先承受攻擊，希望這些設(shè)備在壽命終了時會最終離線?；叵肫饋?，這可能是互聯(lián)網(wǎng)歷史上歷時最長，規(guī)模最大的DDoS攻擊，只有當(dāng)最后一臺設(shè)備報廢后才會結(jié)束。

人們對僵尸網(wǎng)絡(luò)的認(rèn)識也是源于，起初僵尸機(jī)器人只是為了自動完成日常任務(wù)而開發(fā)的計算機(jī)程序。然而，到了那些想從違法行為中獲利的攻擊者手里，他們把這些僵尸機(jī)器人程序整合在一起，形成了僵尸網(wǎng)絡(luò)，建立起了蓬勃發(fā)展的數(shù)字地下經(jīng)濟(jì)。通過僵尸網(wǎng)絡(luò)，犯罪分子可以在互聯(lián)網(wǎng)上遠(yuǎn)程控制全球范圍內(nèi)數(shù)量驚人的計算機(jī)系統(tǒng)，而這些系統(tǒng)的擁有者幾乎都不知情。從攻擊者的角度來看，DDoS攻擊只是僵尸網(wǎng)絡(luò)的冰山一角。被攻破的系統(tǒng)可以用于實(shí)現(xiàn)多種功能，包括：點(diǎn)擊欺詐、攻擊生成反垃圾郵件解決方案的站點(diǎn)、開放代理以便匿名訪問互聯(lián)網(wǎng)、對其他互聯(lián)網(wǎng)系統(tǒng)嘗試進(jìn)行暴力破解、托管網(wǎng)絡(luò)釣魚網(wǎng)站、找到CD密鑰或者其他軟件許可數(shù)據(jù)、盜取個人身份信息，協(xié)助盜取身份信息、找到信用卡和其他帳戶信息，包括PIN碼或者“機(jī)密”密碼。安裝鍵盤記錄器，以捕獲系統(tǒng)的所有用戶輸入。

考慮到很容易組裝僵尸網(wǎng)絡(luò)，操作起來很簡單，上面列出的“獲利”功能還遠(yuǎn)遠(yuǎn)不止這些，而且犯罪分子還能在全球互聯(lián)網(wǎng)上隱身，這就容易理解為什么大量的犯罪分子選擇了僵尸網(wǎng)絡(luò)作為平臺——從有組織的犯罪到網(wǎng)絡(luò)恐怖分子，甚至普通的犯罪分子。

那么又是是什么使得物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)有別于PC僵尸網(wǎng)絡(luò)?

物聯(lián)網(wǎng)設(shè)備和通用計算機(jī)的主要區(qū)別是，與操作系統(tǒng)沒有直接的交互，軟件通常不會更新，而且是7x24小時在線。物聯(lián)網(wǎng)設(shè)備提供高速連接，每一臺被攻破的設(shè)備都能夠承受流量相對較高的DDoS攻擊。

是什么使得物聯(lián)網(wǎng)設(shè)備容易被攻破?徐開勇認(rèn)為，攻擊者之所以喜歡攻擊物聯(lián)網(wǎng)設(shè)備，是因?yàn)橛刑嗟倪@類設(shè)備出廠默認(rèn)設(shè)置是不安全的，包括默認(rèn)的管理認(rèn)證，通過這些設(shè)備上的互聯(lián)網(wǎng)接口能夠直接訪問其管理系統(tǒng)，出廠后還在使用不安全的可遠(yuǎn)程利用的代碼。很大一部分嵌入式系統(tǒng)很少進(jìn)行更新以堵上安全漏洞——事實(shí)上，這類設(shè)備的很多廠商根本不提供安全更新。

物聯(lián)網(wǎng)設(shè)備將遭受劫持并用于DDoS攻擊

賽門鐵克發(fā)布的2018年安全威脅趨勢預(yù)測也同樣談到，在2017年，我們看到利用家庭和工作場所中成千上萬的存在安全漏洞的物聯(lián)網(wǎng)設(shè)備生成流量而發(fā)起的大型DDoS攻擊。在2018年，這種情況不會改善，網(wǎng)絡(luò)罪犯仍會尋求利用采取欠佳的安全設(shè)置和管理措施的家庭物聯(lián)網(wǎng)設(shè)備來發(fā)動攻擊。此外，攻擊者還會劫持設(shè)備的輸入/傳感器，然后通過音頻、視覺或其他偽造輸入，讓這些設(shè)備按照他們的期望而非用戶的期望操作。

除了DDoS攻擊和勒索軟件攻擊以外，網(wǎng)絡(luò)罪犯還會入侵家庭物聯(lián)網(wǎng)設(shè)備，以獲得對受害者網(wǎng)絡(luò)的持續(xù)訪問。家庭用戶一般不考慮家庭物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全性，并且選擇保留默認(rèn)設(shè)置，也不會像更新計算機(jī)一樣持續(xù)對物聯(lián)網(wǎng)設(shè)備進(jìn)行更新。持續(xù)訪問意味著無論受害者清理設(shè)備或保護(hù)計算機(jī)，攻擊者將始終能夠通過后門訪問受害者網(wǎng)絡(luò)及其連接的系統(tǒng)。

企業(yè)怎樣保護(hù)自己?

對于物聯(lián)網(wǎng)安全，我們可以做些什么?徐開勇談到，由于人們越來越關(guān)注法規(guī)，因此，物聯(lián)網(wǎng)設(shè)備制造商將停止發(fā)售采用了默認(rèn)管理憑據(jù)的設(shè)備。即使今后的確這樣，但也還有數(shù)以十億計的不安全設(shè)備。我們要關(guān)心的不是未來，而是過去。

當(dāng)今的情形是，物聯(lián)網(wǎng)設(shè)備比以往任何其他設(shè)備都更不安全、更危險，這包括通用PC和筆記本電腦。但也并非毫無希望。由于攻擊者現(xiàn)在有能力感染企業(yè)內(nèi)部的物聯(lián)網(wǎng)設(shè)備，因此，監(jiān)測并控制所有物聯(lián)網(wǎng)活動以避免安全事件發(fā)生至關(guān)重要。物聯(lián)網(wǎng)設(shè)備應(yīng)始終與其他設(shè)備隔離，并采取措施控制這些設(shè)備的活動。例如，企業(yè)內(nèi)部的網(wǎng)絡(luò)攝像頭不應(yīng)該被允許訪問數(shù)據(jù)中心的應(yīng)用服務(wù)器，也不應(yīng)該被允許直接訪問互聯(lián)網(wǎng)。與PC和其他類型的計算機(jī)等聯(lián)網(wǎng)設(shè)備相類似，應(yīng)按照制造商的要求，對控制物聯(lián)網(wǎng)設(shè)備的軟件進(jìn)行更新，打上補(bǔ)丁。