加强物联网设备安全刻不容缓解决方案.docx

解决方案简介1MCAfee

Togetherispower.

加强物联网设备安全刻不容缓

2016

2016年10月，攻击者针对Dyn托管的DNS基础设施发起成功的分布式拒绝服务(DDoS)攻击，《McAfeeLabs威胁报告：2017年4月》这一报告对此主题进行了深入分析。

此攻击使用的是DNS协议，因此安全技术很难区分合法通信量与恶意通信量。攻击和合法通信量来自全球数百万IP地址，导致

问题更加错综复杂。

1加强物联网设备安全刻不容缓

解决方案简介

此类DDoS攻击的涌现，应归咎于不安全的物联网(IoT)基础设施。Dyn攻击时所使用的Mirai恶意软件利用了各种不安全的物联网设备，比如视频记录器、打印机、监控摄像头、致冷器、自动调温器等。一旦一个物联网设备受到感染，恶意软件就会将病毒传播到其他物联网设备，形成“僵尸网络”，然后使用其聚集的处理能力执行DDoS攻击。

据Dyn安全团队称，在攻击高峰期间，Mirai僵尸网络涉及数千万台恶意物联网设备。

断定网络设备是受到感染还是处于感染阶段并非易事，感染阶段可能包括代码爆发的初始阶段，也可能包括扩散或控制服务器通信到扩充僵尸网络以发起DDoS精心设计的攻击。不过，安全团队已提出建议，您可按照建议来确保物联网设备的安全，保护受信任的网络。

如何保证物联网设备安全

攻击者会沿袭最省力的途径来控制物联网设备。通常是破解安全性较弱的凭据。但他们也能应付安全性很强的凭据和其他安全控制。我们发现许多攻击向量均可用于实现此攻击模式。

McAfee建议阻止已知利用，并且将来有望按不同攻击者解决问题。执行以下三个步骤，从生产到报废，在各个阶段为物联网设备提供保护：

保证物联网设备安全

管理设计/架构设置/配置

管理

设计/架构

使用和维护制造安装和设置

使用和维护

制造

根据最佳做法正确安装和配置必须为产品设计

根据最佳做法正确安装和配置

必须为产品设计安全功能和控件

1.在设计物联网设备时考虑安全性。

物联网制造商必须在确定产品的体系结构、接口和设计时要考虑到安全性。创建和测试基本安全概念和功能，比如数据和代码划分、受信任方之间的通信、正在使用的数据和闲置数据的保护以及用户身份验证。以后的产品将更强大、能够存储更多数据以及具有更多功能。这意味着，产品应具有安全更新、功能锁定、内部版本号验证、软件审查以及遵循行业最佳做法的默认配置等功能。一切始于制造商的坚持；要想日后坚不可摧，必须一开始就奠定坚实的基础。必须将硬件、固件、操作系统和软件设计为能够适应恶意环境的产品。物联网设备买方应在审查潜在交易时考虑到这一点。制造商在设计和架构物联网设备时考虑到安全性了吗？

2加强物联网设备安全刻不容缓

解决方案简介

2.安全设置和配置。

大多数物联网设备在安装后都需要进行一些设置。设备身份和身份验证是此两步流程中的重要设置部分。坚持最佳安全做法的默认配置很重要，应使用户易于理解。规则不应允许使用默认密码，需要修补和更新才能签名，对数据加密以及仅保证网络连接安全。对于企业，限制网络访问，及时修补漏洞以及仅允许批准的软件运行，才对保证物联网设备安全有帮助。对于能够运行安全软件（比如防恶意软件）的小工具，入侵防护系统和本地防火墙可提升设备的防御姿态。此外，还应配置检测和遥测功能，以便检测系统何时遭受攻击，或者系统采用组织未指定的方式工作。必须为隐私、数据保留、远程访问、关键安全措施和吊销过程制订策略。

3.应用适当的管理。

对于消费者所有的设备，他们必须自行保留如何管理设备的最终决定权。虽然制造商和在线服务提供商在设置过程中发挥着重要作用，但所有者必须保留设备用途控制权。设置与管理不同。例如，在安装家用摄像机过程中，为了获取必威体育精装版补丁，甚至为了设置云存储，需要联系制造商。但消费者不希望由制造商来控制家用摄像机。他们不能在买方未授权的情况下操作设备。所有者必须保留打开或关闭其产品的权力，以及选择允许联系哪种在线服务的权力。此功能要求使用正确的用户身份和身份验证。允许共有的默认密码是不良做法，因为任何