网路安全风险 _生活百科

网路安全风险【网路安全风险】在过去，网路静态连线首先预留给有限数量的昂贵的计算机，随后网路连线开始提供给企业、用户家中、移动设备，现在开始连线到大量IoT设备。过去大量资源专门用于连线计算机到静态网路，但在物联网时代，这些资源已经减少。而专用于连线这些设备到网路的资源减少造成更少的资源来防止IoT安全威胁。如果企业还没有受到IoT攻击，这应该是企业计画要处理的事情。IoT攻击最终将会到来，所以企业要学会在为时已晚之前如何最有效地防止或低于它们。
基本介绍中文名：网路安全风险
外文名：网路安全风险
介绍物联网（IoT）设备是最新一波直接连线到IP网路的设备，这也带来新的网路安全风险。日益增加如果製造商和工程师第一次添加新的技术功能来连线其设备到网际网路，但还没有学习到前辈开发人员的惨痛教训，那幺，他们在设计产品时将不可避免地犯同样的错误—例如假定网路是可信，而没有为安全事故做计画。虽然企业很难阻止因设备製造问题而导致的安全风险，但企业可以评估软体开发做法，以了解信息安全是如何整合到製造商的软体开发过程。如果製造商外包了设备联网的部分工作，这可能是一个好迹象，因为这意味着经验丰富的软体开发人员正在帮助製造商部署正确的开发做法。同样需要注意的是， IoT设备与其他联网设备一样面临着相同的攻击，例如拒绝服务攻击或者使用默认账号和默认密码，企业可能已经遇到过这样的问题。儘管IoT设备的攻击面比传统桌面或伺服器要小，但当考虑到IoT设备的数量时，即使是很小的安全问题都可能带来严重影响，这很像过去连线到网际网路的印表机或SCADA设备遇到的问题。Akamai Technologies公司最近披露了重大IoT攻击事件，该公司研究人员报告称拒绝服务（DDoS）攻击开始利用不安全的IoT设备配置。更具体地讲，攻击者发现可滥用简单服务发现协定（SSDP）来放大恶意回响到伪造的IP流量以加入DDoS攻击。研究人员指出，攻击者通过扫描来瞄準网路範围，并传送SSDP搜寻请求来确定IoT设备；然后回响流量传送到目标网路作为DDoS攻击的一部分。如何抵御一方面，企业应该确保SSDP的安全使用。SSDP使用应该限于特定网路以及速率限制，以最大限度地减少在攻击中可产生的流量。企业可能还需要扫描其网路（类似于Shadowserver Project扫描网际网路）以寻找不安全配置的设备，如果发现这种设备， SSDP应该要被禁用或者限制在受批准的网路。该设备可能还需要作业系统或软体更新来修复任何SSDP漏洞。在另一方面，企业还必须知道如何抵御基本的DDoS攻击，企业需要在开发过程中或者生产环境中做好DDoS抵御计画。然而，抵御IoT相关的DDoS攻击还需要额外的步骤。首先，强大的网际网路外围保护必须只允许受批准的入站网路连线。如果IoT设备不能直接通过网际网路来连线，那幺，攻击者更难以让它们参与DDoS攻击。如果IoT设备需要通过网际网路来直接访问，它应该分隔在其自己的网路，并有网路访问限制。这个网路分段应该受到监控以发现潜在的恶意流量，当出现问题时，应立即採取行动。企业可以通过常规资产管理或漏洞扫描来检测其网路中的IoT设备。任何不匹配已知企业设备配置档案的新设备都应该被隔离，并将其流量重定向到注册入口网站或者网路管理系统，以自动检查设备的安全性。这也可能让这些设备部署在自己的网路段。IoT设备开发人员应该投入更多资源来确保全全性，这包括在设备设计和配置中考虑更多安全性，因为这可能确保从供应商发货的设备在默认情况下的安全性，并可能完全避免IoT DDoS安全问题。然而，对于开发人员来说，便利性、可用性和速度通常是比安全更重要的因素，实现这一目标就像是一场白日梦。企业和网际网路服务提供商还倡导部署网际网路工程任务组的Best Current Practice 38 ， BCP 38专门用于减少欺骗性IP流量，这可以帮助防止不知情的设备参与DDoS攻击。如果攻击者不能传送伪造流量到设备，那幺，设备就不能传送网路流量用于DDoS攻击。未来发展物联网给企业和个人提供了巨大的优势，并且，物联网的发展不太可能受到安全问题的影响，例如本文中所讨论的安全问题。很多通过IoT连线到网路的设备并没有使用传统技术来实现网路连线。对于这些新设备，应该会带来新的默认安全设计，以及在默认安全的作业系统的顶部建立配置，其中，只有设备的核心操作功能会启用并受到保护。新的和现有的开发人员应该在设计设备时解决这些安全挑战，以防止未来的安全事故。不过，在实现这一点之前，用户和企业需要採取必要的预防措施和适当的控制来减少潜在的IoT安全威胁。