cc 有没有为混合型的流氓软件涌现做好准备?物联网僵尸网络要是参与加密数字货币的挖矿会怎样?物联网研究机构 IoT Institute 采访了多位物联网安全专家,发现明年行业内可能出现的相关趋势。在下文中,IoT Institute 探讨了这些趋势,同时,考虑到人工智能、量子计算、安全和网络自动化工具等相关技术飞速发展,明年还可能有什么新现象。
1、物联网勒索软件和“综合性流氓软件”越来越普遍
今年,恶意勒索软件还在继续“扩大声势”。 李嵩是物联网安全领域初创公司青天科技的联合创始人兼首席技术官。他预计,虽然大多数传统勒索软件还在使用加密技术将用户困在计算平台之外,但一些黑客可能会开始发动多种多样的勒索软件攻击。李嵩说道:“基于物联网的勒索软件攻击可能集中在窃取数据上,或者是让目标设备无法发挥应有的功能。”
未来一年,我们可能目睹一系列进一步融合多种攻击的流氓软件,将 DDoS(分布式拒绝服务)攻击、勒索软件和其他攻击类型集于一身。Peter Tran 是加密技术公司 RSA 的高级网络防御部门总经理兼高级总监,他表示:“我更愿意把它们称作为‘综合性流氓软件’,现在这种软件增长速度很快。由于物联网设备激增,我们将无法预测花样繁多的各式攻击组合。”
2、物联网僵尸网络将目标瞄准加密数字货币
最近,加密数字货币的市值不断飙升,随之而来的就是加密数字货币挖矿业的激烈竞争。因此,黑客企图利用这股加密数字货币的狂热捞金趋势,也再自然不过了。Amitai 这样预测表示道:
“很多人相信区块链是不会被黑客攻破的。但我们已经发现,基于区块链技术的应用遭到的攻击数量越来越多。”这其中最脆弱的环节倒不是区块链本身,而是依托这种技术运行的应用。“(黑客)将更频繁地动用社交工程获取密码和私人密钥,从而攻入这些应用。”
3、当我们迎来了量子计算时代,软件供应商也需要更加重视安全问题
今年全球软件企业的量子计算竞赛更趋白热化。短短几个月内,英特尔公司就造出了包含 17 个量子位的全新芯片,而且已经交付测试;微软公司也详细展示了用于开发量子程序的新型编程语言;IBM 公司则发布了50个量子位的量子电脑原型。Louis Parks是物联网安全软件公司 SecureRF 的首席执行官,他认为,在这些科技进步影响下,量子计算可能会在十年内实现商业化,化解量子计算可能存在的安全威胁显得更为紧迫。
尽管专家们对现实世界的量子计算看法不一,对它的兴趣仍有增无减。正如美国国家安全局(NSA)所说,基于量子计算的网络攻击将淘汰过去普遍的公开密钥加密,可能令无数物联网产品面对攻击不堪一击。李嵩表示,面对量子计算,现代电脑可能变成西方科幻小说《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)里的那种“袖珍计算器”。
用量子电脑武装的黑客增加可能是即将出现的另一个趋势。不过李嵩认为:“量子计算不仅会用于攻击,也会用于防御。”
4、很多物联网攻击将无法探测,不为人知
去年,最臭名昭著的物联网流氓软件来自于僵尸网络 Mirai,它造成全球多家大型网站瘫痪。而在今年,最令人难忘的一个物联网僵尸网络可能是 Reaper,它又称 IoTroop。如果你和不同的人提起它,可能反应全然不同,有人认为它比 Mirai 危险得多,有人却觉得它的威胁比 Mirai 小得多。时间会证明,Reaper究竟是不是极大的威胁,而明年物联网安全的一些重大威胁可能是一些规模很小的网络攻击,它们会小得让人难以检测察觉。
5、自动化将会登上舞台中央
当企业物联网的规模明显扩大,覆盖到了成千上万台设备这种级别,可能就难以做好网络和收集数据的管理工作。自动化和人工智能工具可以推行规则,监测不规律的流量模式,由此可能帮助网络管理者和网络安全人员处理混乱的局面。Amitai 预计:
“到 2018 年,自动化可能占据核心地位,成为首屈一指的安全潮流。总体而言这是好消息,因为它能保证更多操作者有足够安全的处理方式,对物联网这类固件升级存在困难的模块设备很有意义。”
Tran 认为,这种自动化得到大范围应用的行业前景,其实蕴藏着不少风险。即使面对数以百万计的交通、电力、医疗保健等庞大的基础设施,物联网领域的人工智能和基于机器学习的自动化也可能让自动化系统自动做有关它们功能的决定。而且,支持这些系统的电脑程序算法可能还会存在偏见。
6、黑客将会定位到更多类型的互联设备
去年,大量不安全的 IP 摄像头为 Mirai 僵尸网络提供了可乘之机,事实上,这是自有黑客历史记录以来规模最大的一次袭击。不过,在即将到来的 2018 年,IP 摄像头将会继续成为一个重大威胁,因为很多摄像头的密码要么是默认的,要么干脆就没有设置,而且不少黑客还通过IP摄像头为僵尸网络窃取到带宽和算力。
李嵩说道:“黑客会不断寻求各种方法、利用更多类型的设备来构建僵尸网络。比如,他们可能会利用一些没有密码、或是有弱密码的网络打印机,而在中国,黑客也正在攻击智能门锁设备。”
7、传感器攻击将会变得无处不在
实际上,物联网算是传感器网络的一个衍生产品,因此互联网传感器本身就存在潜在安全漏洞,似乎也是合乎逻辑的。黑客可能会尝试向传感器发送一些人类无法感知的能量,来对传感器设备进行攻击。举个例子,黑客能够将基于超声波的信号发送到语音控制系统,或者将红外信号发送到摄像头上。
8、隐私将会变成物联网对话的重要组成部分
如今,企业会越来越多地安装物联网设备,比如互联恒温器和 HVAC 系统、在会议室中配置智能电视,互联打印机、以及智能照明电灯,等等。与此同时,工业物联网也在不断发展,消费者也对诸如智能扬声器这样的互联设备产生了浓厚的兴趣。虽然目前物联网设备的互联性有所提高,但是在这种“超连接(hyper-connected)”环境下产生的隐私分歧等问题暂时还是无法确定。Don DeLoach是《物联网的未来:利用数字化中心世界的转型》(The Future of IoT:Leveraging the Shift to a Data Centric World)一书作者,他表示:“隐私将会变成房间里的大象。”
Tran最后说道:“在2018年,我预计有越来越多的企业会使用区块链和数据标记等技术来升级目前的个人身份信息数据结构。请记住,黑客在寻找攻击目标的时候,往往会非常有针对性,比如他们会关注数据价值和数据质量,还有数据数量和易访问程度等等。所以,企业可以‘拿掉’一个、或多个关键数据属性,这样的话,这些数据信息对网络犯罪分子的价值可能就没有那么高了。”
