所有研究都顯示利用物聯網(IoT)裝置構築的殭屍網路,將成為未來地下網路的基礎設施。以往,大規模殭屍網路是在主機環境構築,其所需的資源非常昂貴。物聯網裝置改變了這一切。今天,當攻擊者破解製造商物聯網裝置(例如一台DVR)的管理者帳密後,就能夠立即取得數千台裝置的存取權,而這一切只需要付出少量的心力和金錢就能做到。
‧向員工宣導物聯網裝置威脅,建立個人和商業層級的安全意識。對物聯網威脅的警覺性越高,就比較不會購買已知具有安全弱點的裝置或者成為攻擊受害者。
‧物聯網讓攻擊者多了一種收集使用者帳密的方法,企業應建置憑證填充(Credential Stuffing)防衛方案。
如果企業正在開發物聯網產品,那麼應立即開始做好下列工作:
1.將安全規劃、設計與測試納入成為軟體開發生命週期的必要部分。永遠不要假設裝置不會成為被駭的目標。遵循OWASP的威脅模型框架。
2.不要允許管理者帳戶使用簡單的帳密。
3.別允許暴力攻擊!限制連接速率,或者登入失敗達一定次數後將帳戶鎖住。
4.如果必須使用Telnet執行遠端管理,則將Telnet存取功能限制在管理網路內;永遠不要允許從網際網路任何地點建立管理者連接。
5.如果可能,請在裝置上建置防毒方案,確保它們不會被一般惡意軟體感染。這對於執行關鍵功能且擁有高頻寬容量的裝置而言是必要的。這些裝置屬於高價值目標,因此更有可能遭受攻擊。
6.允許韌體更新,以免當一項安全弱點被揭露時發現自己毫無準備,沒有辦法補救而只能召回產品。
<本文作者David Holmes為F5 Networks資安威脅理論分析師。>