虽然没有人怀疑物联网安全将会是一场灾难，但是灾难就那样发生了——Mirai僵尸网络通过一个相当简单、可预防的攻击方式拿下大片互联网。

专家认为，2017年将会有比以往更易受影响的设备被黑客盯上。

“在2017年的某个时候，我们预计将发布一个自动传播的IoT蠕虫，其安装了一个很小的、充满恶意的有效载荷，不仅继续感染和传播其他易受攻击的IoT设备，而且会自动更改远程管理设备时所需的所有密码，“Vectra Networks的CSO Gunter Ollman说， “现在，被锁定的设备所有者被迫支付赎金给蠕虫背后的主机来获得新密码，这种做法最终将勒索软件的威胁带到一个新的水平。为了防止这种蠕虫和未来版本的产生——设备所有者不仅必须抢占性地更改设备的默认密码，还要管理设备上内核软件的补丁级别，以防止黑客利用新的漏洞。”

Palo Alto Networks公司的CSO Rick Howard指出，虽然多年来安全研究人员一直在发出警报，但我们需要确保我们不会错过更大的前景。

“事实是，网络防御者社区作为一个整体已经知道如何防止存在于互联网上的大约99％的攻击—— 包括2016年的DDoS攻击，”Howard说， “我们没有在整个社区部署这些预防控制。因此，在2017年，为了努力阻止未来利用物联网设备的大规模攻击，网络防御者社区将开始部署这些控制，实施更好的预防。”

然而，除了加密和强身份验证等这些可靠的安全基础知识之外，LogMeIn公司的IoT战略总监Ryan Lester说，物联网安全问题需要一个新的解决方案。

“物联网带来了一整套新的安全挑战，通过改造当前的安全解决方案和遵循相同的旧规则是无法解决的，”Lester 说， “公司必须深刻思考如何管理一对多的关系，这是一种异常的当前更频繁的1：1设备关系。”

E8 Security的安全战略主管Matt Rodgers表示同意，他补充说，传统工具在互联世界中不会有效。

“在2017年，无论是成本方面还是技术上，使用传统工具监控物联网环境将不再是一种选择，”Rodgers说， “有这么多的设备做这么多事情，攻击者将获得非常大的攻击表面来发现和泄漏个人身份信息，这将增加攻击的数量，并进一步降低攻击者的每次攻击的潜在成本。”

Micro Focus战略副总裁Geoff Webb表示，Mirai可能只是一个开始——下一次的情况可能会更糟糕，现在是时候采取法规来达到达到预期效果。

“由于物联网设备数量预计将达到数十亿，潜在的大规模IoT攻击可能会对这个国家的关键基础设施、网上银行、紧急服务和商业产生真正的威胁，“Webb说，“我们期待物联网安全能够早日成为国家安全议程的一部分，同时政府应该开始对互联网连接设备的立法和安全标准进行评估。”

WhiteHat Security的安全策略师Jeannie Warner表示：“我期待也希望看到‘安全’这一术语转变为‘保持安全’，增加立法要求更严格的物联网安全测试。我认为NIST的SP 800或类似的机构将通过整合动态应用扫描技术和严格的设备控制测试，形成一个全面的安全保证指南。新指南将强制更多的应用安全供应商与设备控制测试实验室合作，在开发过程的早期支持制造，帮助创新组织通过在开发早期识别漏洞来管理风险，在测试期间继续监控挑战，并帮助发布更安全的产品。”

微信公众号

TechTarget

官方微博

TechTarget中国