如何确保联网设备中漏洞不会导致整个组织出现瘫痪

文 | Jeff Shiner 美光科技物联网解决方案总监

今年6月27日，一款名为Petya的勒索病毒变种又开始肆虐。这场病毒迅速蔓延，全球最大的传播集团WPP不幸中招，旗下众多公司被迫切断工作，以防电子设备感染病毒。

如何确保联网设备中的一个漏洞不会导致整个组织出现瘫痪？如果从存储着手，是否能为物联网提供更加全面的防护？来看一看美光科技有限公司物联网解决方案总监Jeff Shiner 的解答。

科技行业还在经受大规模WannaCry网络攻击的困扰，个人和 IT团队不得不竭尽全力修补那些运行了极其普及的 Microsoft 操作系统且系统中存在已知漏洞的设备。

此次攻击对西班牙电信公司和英国国家卫生系统(NHS) 等造成了重创，不仅感染了电脑，还可能影响到了 NHS 中的其他联网设备，例如MRI 扫描仪、血液储存冰箱和手术室设备。

不幸的是，这并不是个别事件。不妨想一想：

• 去年秋季，一种名为Mirai的恶意软件侵入到世界各地的DVR、IP 摄像头及其他设备中，发起了重大的恶意软件攻击活动，其中包括分布式拒绝服务(DDoS) 攻击。DDoS 攻击先是侵袭了域名系统(DNS) 提供商 Dyn，之后又将矛头对准 Twitter、Reddit及其他重要网站，导致这些网站运行中断。

• 今年早些时候，黑客攻击了达拉斯市的紧急警报系统，在整个城市拉响了警报，直攻市政基础设施网络防御体系中的漏洞。

随着物联网的问世，大量更重要的目标成为了网络犯罪分子的众矢之的，因此，我们需要积极主动地应对这种情况并相应地进行规划。

根据Sage Business Researcher的调查结果，联网设备的数量预计在2020 年将达到 500 亿。这一数字一直在以惊人的速度增长：2016年时尚且不到 250 亿，2012 年时尚且不到100 亿。制造商们一直在争先恐后地向市场投放物联网设备，有些时候，并未将安全性作为优先要务。

雪上加霜的是，物联网并未实现标准化，尤其是与个人电脑(PC) 和智能手机市场的统一性相比，更是如此。物联网设计受到了分散式安全实施方法的束缚，而后者又是由各种系统、半导体和软件级选项决定的，这些选项组合到一起后，问题的复杂性大幅增加。最重要的一点是，提升一组物联网设备的安全性并不能为数十亿的其他设备带来安全性的改进。

现在有人在努力建立安全框架来指导OEM 在设计中融入适当级别的安全性。推进这些计划的团体提倡在软硬件中集成重要的安全组件、设置深层防御安全性，以及实施其他策略来利用许多最新的已知解决方案。美国工业互联网联盟(IIC) 撰写的一篇名为"工业互联网安全框架"(IISF) 的文档中就介绍了一个这个领域中的很好示例。此外，美国联邦贸易委员会(FTC) 也一直在努力应对各种威胁，例如 2015 年，它敦促物联网公司采用最佳安全保护做法。

尽管做了如此多的工作，漏洞问题仍然十分严峻，尤其是那些《财富》100强之外的公司，他们无力配备强大的网络安全人员或划拨相应预算，而且因为现成的物联网安全解决方案缺乏统一性而受到阻碍。

解决方案：涵盖存储的"安全性设计"

出乎意料的是，在当前物联网系统所存在的最大漏洞之一"代码存储内存"中，可能可以找到易于实施、可能也更安全的方法来应对这种挑战。通过以全新的创新方式来利用存储技术并将其与基于云的功能结合起来，有望创造更强大的安全性。

在比较高级的安全性攻击中，恶意代码被写到非易失性存储中。这种情况通常发生在位于网络边缘或网络边缘附近的设备上，也就是发生在端点或物联网中的"物"上。一旦这些设备受到感染，攻击者便可以利用它们，与其他设备组成更大的僵尸网络或单独在目标系统上行动。在这些攻击中，许多都是在利用现如今已经发布的已知安全漏洞，并且一直在寻找可供利用的新"零日"漏洞。

2016 年底出现了其他一些常见的攻击策略，其中就有基于 Mirai 的僵尸网络攻击。这种攻击利用的是 DVR、IP 摄像头和家用路由器等出厂时保留的不安全默认设置的物联网设备。在高峰期，这些设备对各种网站发起 DDoS 攻击，其中包括 Twitter、Amazon 和 Reddit，比较讽刺的是，KrebsOnSecurity 也在被攻击之列。

在上述两种攻击策略中，设备 OEM 可以采用以下长期解决方案：重新设计主要硬件和软件，部署设备和云解决方案以监控设备的完整性并在设备受到入侵时进行修复。

但是，哪里有弱点，哪里就有机会。如果可以通过加密方式对存放在存储中的关键代码执行身份验证，并且该代码可以成为相应物联网设备的一部分，那么，将该代码与云中的出色功能结合起来，