物联网病毒疯狂进化,“灰犀牛”事件比“黑天鹅”更加可怕!
这是我在物联网智库|物女心经专栏|写的第023篇文章。
“计算机病毒之父”弗雷德·科恩曾经说,信息安全不是科学,而是艺术。
很多人都意识到物联网安全很重要,但是,到底有多重要?为什么重要?该如何应对这个挑战?这些问题和答案只属于少数人。
Mirai、Hajime、BrickerBot只是多米诺骨牌效应的开始
物联网安全早已不是纸上谈兵,先来看看已经发生的事实。
2016年的里约奥运会成为了奋力与大型分布式拒绝服务攻击(DDoS攻击)做抗争的标杆。针对奥运会的攻击由几个物联网僵尸网络驱动,速率高达540Gbps,攻击的目标是公众资产和奥运组织。据称,该物联网僵尸网络正是以滥用物联网设备发起400Gbps攻击而闻名的Lizard Stresser。
2016年10月,一款名为Mirai的新型木马后门攻占了大量的物联网设备,全球由其控制的BOT多达500万以上。Mirai先是导致许多网站在美国东海岸无法登陆访问,随后相继感染了177个国家的物联网设备。
黑客们使用Mirai病毒来进行“肉鸡”搜索,并借此控制了美国大量的网络摄像头和相关的 DVR 录像机等物联网设备,这些肉鸡随后又成为下一波网状攻击的发源中心,新一波被攻击的美国知名网站包括 Twitter、Paypal、Spotify等,人们每天都用的网站被迫中断服务。
2016年11月,希拉里和特朗普这一狂吸全球流量的竞选事件,亦成功吸引到Mirai僵尸网络的青睐,在流量之王的竞选舞台上狠刷了一把知名度。
同样是2016年11月,至少5家俄罗斯银行持续遭到攻击,这导致20亿卢布被盗。据安全事务部门称,攻击来自一个硕大的僵尸网络,涉及到30个国家的24,000台计算机和物联网设备。俄储蓄银行行长表示,此次攻击的力度远远超出以往的攻击。
2016年12月,俄罗斯央行官员称,该行代理账户遭黑客袭击,随后俄央行官员证实了这一消息,并表示,“黑客曾尝试盗取50亿卢布左右的账户资金”。
2016年末,被命名为Hajime的恶意软件被发现,这一时间点与当时肆虐美国东海岸地区的Mirai僵尸网络基本一致。物联网摄像头成为Hajime僵尸网络的主要感染目标。
Hajime僵尸网络自被发现以来已感染了约30万台联网设备,其中包括对数字录像机、网络摄像头以及路由器进行控制,不过其非常谨慎地回避了美国国防部网络等部分特殊网络。同Mirai相比,Hajime的行动更加隐秘,技术也更为先进。一旦感染设备,该蠕虫便会采取多个步骤,掩盖其运行的进程,并将相关文件隐藏于文件系统之中。
2017年2月,新的Mirai变种对一个美国大学发动网络攻击,研究人员称此次攻击持续了54个小时。平均流量为每秒30,000多次RPS请求,最高达到37,000 RPS,是Mirai僵尸网络攻击流量最高的一次,攻击总共超过了28亿次。
2017年2月,无独有偶,美国另一所大学的校园网遭到攻击,大批学生表示网速慢成狗。经校方人员调查后发现,发起攻击的正是校园周围5000多台物联网设备构成的僵尸网络。在这些受感染的IoT设备中,大多是校园内的自动售货机,攻击者通过猜测默认密码的方式达到远程操控僵尸网络的目的。
2017年4月,BrickerBot开始发动PDoS(永久拒绝服务攻击)。BrickerBot 能够感染基于 Linux 系统的路由器或者类似的物联网设备,机器程序一旦找到一个存在漏洞的攻击目标,BrickerBot便可以通过一系列指令清除设备里的所有文件,破坏储存器并切断设备网络链接。
由于攻击之后并没有明显的标志,因此设备主人并不知道发生了什么,那些默认启用了远程登录协议以及默认密码的智能设备便会永久沉默。不仅可以瘫痪家中的家电,而且还可以让一些关键位置的监控摄像头永久失灵。
按照iot101君的说法,每年都会出现一大批针对未来趋势的预测,鉴于大多数都是拍脑袋想出来的未来,被啪啪打肿脸的预测数不胜数。但是唯独在物联网安全领域,却呈现了各种预测都远远满足不了安全事故现实的反转。
“灰犀牛”比“黑天鹅”更加可怕
去年频频起飞的特朗普当选、英国脱欧等“黑天鹅”,让人们对小概率而又影响巨大的事件愈发敏感。其实,大概率、影响巨大的事件,才应该得到人们更多的关注,也就是所谓的“灰犀牛”事件。
这种“灰犀牛”危机如温水煮青蛙般,使我们长久地视而不见,但它爆发性强,攻击力大,破坏力巨大,总会在一个注定的时间点让你猝不及防。相对于“黑天鹅”事件的难以预见性和偶发性,“灰犀牛”事件其实有更大的发生概率。例如美国房地产泡沫、颠覆性新媒体技术等,都是典型的灰犀牛事件。
过去3年中,攻击者在物联网设备上扫描漏洞的比例增加了3,198%。如今传统的电视、冰箱、空调甚至是汽车这样的传统物件都要在开头带上“智能”二字,物联网从最初的设想真正走进了人们生活,这些智能设备在提供方便的同时也成为黑客们眼中的香饽饽,甚至新蓝海。
在物联网的发展历程中,遇到“灰犀牛”事件几乎是板上钉钉。如果事先无法对此进行有效应对,那么,“灰犀牛”将会是比“黑天鹅”更致命的定时炸弹。
安全问题作为物联网领域典型的“灰犀牛”,所有灾难的发生,并不是因为发生之前的征兆太隐蔽,而是因为人们习以为常的麻痹,以及应对措施不利。如果没有很好的防控和避让系统,一旦安全问题持续不加以解决,重大的危机最终一定会以很快的速度到来。
身外之物尚且好说,也许你还记得就在不久之前,创办特斯拉的马斯克启动了一家新的公司,欲增强人脑计算能力,从此物联网大有走入人体之势。Maria系列事件要是搬进人体甚至人脑内,那画面简直比孙悟空大战嫂嫂肚子更精彩。而灵异故事中的蛊术与傀儡,也将不再灵异。
新公司名叫Neuralink,试图研发神经丝网技术,为人们植入可上传和下载思想的微小脑电极。Neuralink计划开发的脑内计算机,首先会应用于处理棘手的大脑疾病,随后将致力于帮人类提高信息处理速度,避免被机器智能全面超越。
马斯克表示,超级人工智能必将实现,人类只有一个选择:成为AI。他认为脑机融合后的AI系统将以和人类的本能大脑与理性大脑同样的特性存在。人脑和计算机将融合无间,人类甚至无法察觉自己在运用AI思考。
同时,无法被察觉的还有物联网病毒入侵。如果你还记得当年由SARS冠状病毒引发的“非典”,物联网安全问得到AI助力后的威力,比SARS只会有过之,而无不及。现在很多人尚且不知道该如何保护好他们的电脑不受攻击,未来如果遭到思维的劫持攻击时,又该拿什么保护你的脑子(如果有的话)?
正面是“盲点”,背面是“商机”
物联网时代,不仅要像监管货币一样监管数据,还要像防范非典一样防范攻击。
看到这里,你大概已经意识到了物联网安全问题比想象的更加严重。作为一个“硬币”的两面,物联网安全问题在带来潜在危机的同时,也成为了物联网市场不可小觑的爆发点。
根据Gartner的统计,物联网攻击迅速扩张,恶意代码会通过IoT设备传播,针对某一个终端设备让其保持运作,并让它的电池迅速损耗和失效。从现在开始到2018年,超过半数物联网设备制造商将由于薄弱的验证实践方案而无法保障产品安全。
Gartner认为,物联网对安全的范围提出了新的挑战以及预防要求,平台、操作系统、通信系统甚至于整个连接渠道都有预防的责任。安全技术将从信息攻击以及物理破坏的两个角度保护IoT终端以及平台不受侵害。在IoT安全领域,新的安全模型必须出现,用于超大规模(譬如达到数10亿规模设备)的信任配置与管理。
同时,Gartner的最新预测指出,物联网安全支出在2014年到2018年之间将成长近一倍,由2.32亿美元增加为5.5亿美元。并且因为相关技能的演进、组织性变化,以及更进一步扩展的服务选项提升了执行力,2020年之后的物联网安全性支出将会更明显快速成长。
最近一份由IBM赞助,由Ponemon Institute进行的调研也验证了Gartner的预测。这份针对593名以CIO群体为主的调查问卷还揭示了更多内容。
首先,针对物联网的威胁正在屡屡上升,受访者意识到确保物联网APP的安全比确保移动APP的安全难度更高。许多受访者担心在工作场所使用的移动和IoT应用程序遭到攻击。相对于移动APP,针对通过IoT应用程序进行的黑客攻击更为引起关注。58%的企业领导说他们对物联网设备的安全性没有信心。
快速发布是导致移动和IoT应用程序包含易受攻击代码的主要原因。75%的受访者认为对开发团队的压力导致物联网APP包含易受攻击的代码。65%的受访者同意IoT应用程序中的意外编码错误是导致脆弱代码的另一个主要原因。影响应用程序安全性的另一个问题是缺乏必备安全需求的内部策略或规则。
大部分受访者认识到了风险,但是并没有形成减轻风险的紧迫感。这种缺乏紧迫性体现在移动和IoT应用的安全测试中。超过1/4的受访者表示安全测试并没有被预先计划。近一半的受访者表示不会对IoT应用进行安全测试。平均只有20%的IoT应用程序被进行了漏洞测试。而在被测试的设备中,38%的物联网应用包含重大漏洞。
持续的黑客事件和政策法规的更新,推动了安全预算的增长。只有30%的受访者认为他们的企业分配了充足的预算来保护移动应用和物联网设备。54%的受访者认为,如果发生严重的黑客事件,他们的企业会考虑增加安全预算。
物联网安全问题既是盲点又是商机,虽然多数物联网企业都把“盲目扩张”作为目标,对于安全投入选择了战术上的放弃,但已经开始有不同组织嗅到此处的“蓝海机遇”。
2016年9月,工业互联网联盟IIC发布了《工业物联网安全框架》,力求解决工业物联网IIoT及全球工业操作运行系统相关安全问题的缜密蓝图。拥有超过240家成员的IIC,其新安全框架旨在从多个方面解决安全问题,包括业务、功能与实现。
2017年2月,创始成员公司包括AT&T、IBM、诺基亚、PaloAlto Networks、赛门铁克和Trustonic等在内的物联网价值链上的诸多企业,结成了物联网网络安全联盟,旨在利用他们集体的专长来减少物联网的业务问题,并解决安全挑战。
同时,越来越多的安全初创公司试图用创新方式来解决物联网与工控系统的安全问题,领域主要集中在云安全、基于AI的安全、IoT安全、安全众测等。
比如从事物联网设备安全漏洞扫描的Qadium;基于设备的运行状况或是用户设置,允许、限制或是拒绝物联网产品联网动作的ForeScout;实时监控能源、水利设施、制造装备等关键基础设施的Indegy;利用机器学习和人工智能实现“像网络黑客一样思考”的Cylance…
除了平台商,物联网安全领域也可能诞生令人惊讶的独角兽公司呢…