物联网设备将遭受劫持并用于DDoS攻击
赛门铁克发布的2018年安全威胁趋势预测也同样谈到,在2017年,我们看到利用家庭和工作场所中成千上万的存在安全漏洞的物联网设备生成流量而发起的大型DDoS攻击。在2018年,这种情况不会改善,网络罪犯仍会寻求利用采取欠佳的安全设置和管理措施的家庭物联网设备来发动攻击。此外,攻击者还会劫持设备的输入/传感器,然后通过音频、视觉或其他伪造输入,让这些设备按照他们的期望而非用户的期望操作。
除了DDoS攻击和勒索软件攻击以外,网络罪犯还会入侵家庭物联网设备,以获得对受害者网络的持续访问。家庭用户一般不考虑家庭物联网设备的网络安全性,并且选择保留默认设置,也不会像更新计算机一样持续对物联网设备进行更新。持续访问意味着无论受害者清理设备或保护计算机,攻击者将始终能够通过后门访问受害者网络及其连接的系统。
企业怎样保护自己?
对于物联网安全,我们可以做些什么?徐开勇谈到,由于人们越来越关注法规,因此,物联网设备制造商将停止发售采用了默认管理凭据的设备。即使今后的确这样,但也还有数以十亿计的不安全设备。我们要关心的不是未来,而是过去。
当今的情形是,物联网设备比以往任何其他设备都更不安全、更危险,这包括通用PC和笔记本电脑。但也并非毫无希望。由于攻击者现在有能力感染企业内部的物联网设备,因此,监测并控制所有物联网活动以避免安全事件发生至关重要。物联网设备应始终与其他设备隔离,并采取措施控制这些设备的活动。例如,企业内部的网络摄像头不应该被允许访问数据中心的应用服务器,也不应该被允许直接访问互联网。与PC和其他类型的计算机等联网设备相类似,应按照制造商的要求,对控制物联网设备的软件进行更新,打上补丁。