在本月初的CES2014大展上,各大知名厂商都纷纷推出了支持智能连网的终端设备,包括像智能家电、可穿戴设备、车载WiFi设备等等,可是面对快速发展的智能连网设备,它们的安全防护措施却尚未跟进,存在着各种各样的安全隐患。
目前物联网设备安全防护弱
物联网(Internet of Things,IoT)是以互联网作为核心和基础,通过物体内的嵌入式元器件与内部装置或外在环境进行彼此沟通、感应和产生互动,并在此基础上进行地延伸和扩展出的网络系统。而其用户端可延伸和扩展到任何物品与物品之间,进行信息交换和通信。
得益于芯片技术的高集成化、智能化发展,物联网技术也呈现出跨越式的快速发展。国际研究、顾问机构Gartner预计到2020年,智能手机、平板与PC的总数量将达到约73亿台;而届时物联网的增长速度却要表现的更快,其同期总设备数量将达260亿台,几乎是2009年9亿台的30倍。
近日Gartner更预测,2020年物联网预期将带给其供应商3090亿美元的边际收益,并且绝大部分将集中在服务领域。同时,其各类终端设备市场的销售业绩将达到1.9兆美元的全球经济附加价值。
而据经常研究大规模的垃圾邮件和网络钓鱼活动的公司Proofpoint调查,在CES2014大展开始前的两周时间里,全球的黑客已成功地操纵超过10万台智能终端(包括智能家电、路由器和其它可连网设备)发送了超过750000封的恶意电子邮件。后来统计,其中大约四分之三的邮件是由传统的计算机和移动设备发送的,而超过25%的邮件则是从支持物联网的设备中发出。
最令人不安的是,这些发送恶意邮件的智能连网设备并没有感染病毒木马,或安装其他可远程控制的软件。相反,这些智能连网设备在安全防护权限上非常宽松,黑客可以轻而易举地利用在设备上现有的软件运行恶意操作。
Proofpoint认为,许多智能连网设备是“具有开放的telnet,开放的SSH和一个SMTP邮件服务器的”。这意味着,无需寻找这些设备的漏洞或进行病毒感染,黑客即可通过默认的用户名和密码进行登录,然后设置“现有的邮件系统发送或转发恶意电子邮件”。
而在这种情况下,由于只是发送了一堆貌似并不是很耗费智能终端资源的电子邮件,因此持有这样设备的所有者可能错误地认为对他们的设备运行影响并不大。可是Proofpoint指出,如果黑客通过你的设备进行DDoS攻击的话,则会严重影响到该设备的正常运行,最终会导致你网络中的设备都被控制感染,直到处于掉线状态了。
网络安全保险销售额将激增
鉴于快速增长的智能连网设备,各方也逐渐关注到它们的安全问题。其中跨国保险服务供应商AIG向媒体透露,仅2013年一年,用于网络安全的保险销售额就比前一年暴增了30%的份额。“我们所看到的是非常显着的增长”,负责监管AIG网络保险计划的负责人Tracie Grella指出。
用于智能连网设备的网络安全保险尚不足
而最近的北美知名零售商Target也受到黑客网络攻击事件,更为网络安全的防范敲响了警钟。Target透露指出,黑客一共窃取了达7000万条顾客的姓名、邮件地址、电话号码、电子邮件地址与支付卡资料,但去年12月中旬起遗失的笔数为4000万笔。
北美知名零售商Target也受到黑客黑客网络攻击事件
近日,高档百货公司Neiman Marcus也坦承表示,其顾客资料库在去年12月中旬遭到入侵,虽然该公司并未透露有多少顾客受到影响。
而根据路透社指出,在节日购物季期间,除了Target与Neiman Marcus之外的许多零售商,也遭到黑客攻击。
在对安全研究人员Brian Krebs的陈述中,Neiman Marcus表示,其在12月中旬被其信用卡处理公司通知发生资料外泄事件。它也指出,顾客信用卡细节资料很有可能已遭劫持。
资料外泄的时间点,引发了这些零售商是被同一黑客所攻击的推测;不论如何,目前尚未证实两起资料外泄事件是有关联的。根据路透社指出,至少有三家其他知名美国零售业者,遭到采用攻击Target之相似手法的入侵。
尽管有消息来源指出,Target是遭到名为“RAM存储刮刀(RAM scraper)”,专门打造用来窃取POS系统支付资料之恶程序的攻击,但Target并未对外透露,黑客到底是如何入侵其安全系统的。
然而面对众多的网络安全风险,去年底资讯服务集团益百利(Experian)的报告指出,大约只有31%的美国公司采取适当到位的网络安全保单。不论如何,另一份风险管理研究公司Betterley Risk Consultants的报告则指出,美国网络安全保单的年度保险总额达13亿美元。
似乎没什么好惊讶的是,某信息安全专家认为,新兴网络安全保险市场仍处于非常早期的阶段。
“安全风险并未被充份的了解,而且并没有足够供保险公司用于量化安全风险的历史信息,这会是部分原因。”Sifma金融服务作业副总裁Karl Schimmeck也表示,“智能连网设备其仍属尚未成熟的市场”。Sifma是一家金融产业组织,其去年曾带头对华尔街进行大规模的模拟网络攻击实验。
综述所述,虽然保险是很重要的,但它忽略了从网络攻击的伤害远远超出了对特定的基础设施或者硬件的损坏。一个网络安全攻击的全面影响可能不仅仅涉及宝贵数据的丢失,信任的丧失,也会导致对客户无法挽回的声誉损失。因此必须在技术和战略层面进行优先级预算,来防止网络攻击的发生。企业也需要采取积极措施,来确保可以有效地监测不论是来自外部还是内部的威胁,并提供有效的防数据泄露系统。而快速增长的智能连网设备在急需提升自身的安全防护措施外,其在网络安全方面的市场存在有相当大的增长空间。这不仅对智能终端设备厂商提出了挑战和机遇,而且对网络安全厂商来说,更是拓展市场份额的一大契机。