應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

IPv6給物聯(lián)網(wǎng)帶來(lái)的是機(jī)遇還是挑戰(zhàn)?美國(guó)這樣做

2018-01-16 10:19 E安全

導(dǎo)讀:長(zhǎng)久以來(lái)美國(guó)政府一直對(duì)行業(yè)事務(wù)采取不干預(yù)的傳統(tǒng)做派,而大部分互聯(lián)網(wǎng)業(yè)務(wù)也掌握在私營(yíng)企業(yè)手中,美國(guó)商務(wù)部與國(guó)土安全部(DHS)幾乎無(wú)力對(duì)相關(guān)事宜作出管理。這份報(bào)告確定了其中的問(wèn)題所在,同時(shí)給出了解決問(wèn)題的最佳方案。

  美國(guó)商務(wù)部(簡(jiǎn)稱DoC)與國(guó)土安全部(DHS)已經(jīng)出臺(tái)一份網(wǎng)絡(luò)安全報(bào)告草案——《提高互聯(lián)網(wǎng)與通信生態(tài)系統(tǒng)對(duì)僵尸網(wǎng)絡(luò)及其它自動(dòng)分布式威脅的抵御能力》,報(bào)告對(duì)于IPv6這一網(wǎng)絡(luò)安全新協(xié)議得到廣泛采用后將引發(fā)的潛在影響感到擔(dān)憂,建議美國(guó)政府出資組織關(guān)于物聯(lián)網(wǎng)安全性的公眾意識(shí)宣傳活動(dòng),通過(guò)教育向民眾傳達(dá)物聯(lián)網(wǎng)危險(xiǎn)性,并將網(wǎng)絡(luò)安全作為未來(lái)工程學(xué)學(xué)位的必修內(nèi)容。

11.jpg

  報(bào)告專注僵尸網(wǎng)絡(luò)帶來(lái)的安全威脅這份網(wǎng)絡(luò)安全報(bào)告草案長(zhǎng)達(dá)38頁(yè),屬于2017年5月新一屆政府班子上任后所提出的網(wǎng)絡(luò)安全總統(tǒng)行政令的后續(xù)產(chǎn)物。報(bào)告確定了政府、各行業(yè)以及消費(fèi)者當(dāng)前在網(wǎng)絡(luò)安全方面所面臨的問(wèn)題:即專注于僵尸網(wǎng)絡(luò)的威脅。報(bào)告中對(duì)威脅因素進(jìn)行了客觀的分析,屬于一份專業(yè)的政策文件。

  就報(bào)告本身來(lái)看,其惟一關(guān)注的問(wèn)題就是美國(guó)政府應(yīng)當(dāng)在正在進(jìn)行的互聯(lián)網(wǎng)與物聯(lián)網(wǎng)安全斗爭(zhēng)當(dāng)中建立主導(dǎo)權(quán),但其中給出的許多實(shí)際建議尚不盡如人意,例如“確定實(shí)現(xiàn)適應(yīng)性、可持續(xù)且安全的技術(shù)市場(chǎng)的明確途徑”所需要建立的關(guān)鍵性“目標(biāo)”、“推動(dòng)創(chuàng)新”乃至“建立聯(lián)盟”等陳述,都顯得太過(guò)模糊。

  長(zhǎng)久以來(lái)美國(guó)政府一直對(duì)行業(yè)事務(wù)采取不干預(yù)的傳統(tǒng)做派,而大部分互聯(lián)網(wǎng)業(yè)務(wù)也掌握在私營(yíng)企業(yè)手中,美國(guó)商務(wù)部與國(guó)土安全部(DHS)幾乎無(wú)力對(duì)相關(guān)事宜作出管理。這份報(bào)告確定了其中的問(wèn)題所在,同時(shí)給出了解決問(wèn)題的最佳方案。

  物聯(lián)網(wǎng)設(shè)備消費(fèi)者需要提高安全意識(shí)此次報(bào)告強(qiáng)調(diào),物聯(lián)網(wǎng)市場(chǎng)不能也不應(yīng)該指望消費(fèi)者對(duì)其購(gòu)買的設(shè)備的安全性負(fù)責(zé)。

  此份報(bào)告正確地指出,這一市場(chǎng)“非常類似于上世紀(jì)九十年代的桌面計(jì)算領(lǐng)域”,即存在大量不安全因素。報(bào)告指出,“物聯(lián)網(wǎng)設(shè)備往往缺乏這種以安全為重點(diǎn)的功能。此類系統(tǒng)已經(jīng)成為當(dāng)前惡意攻擊者眼中最具吸引力的目標(biāo),并在這一生態(tài)系統(tǒng)中占有越來(lái)越大的比重。”

  此外,“消費(fèi)者不會(huì)直接因設(shè)備遭到入侵而面臨影響,相反消費(fèi)者可能永遠(yuǎn)不會(huì)意識(shí)到自己的設(shè)備已經(jīng)成為僵尸網(wǎng)絡(luò)的一部分。從消費(fèi)者的角度來(lái)看,網(wǎng)絡(luò)攝像頭仍然正常工作,而冰箱也仍能正常制冷”這就夠了。

12.jpg

  一旦設(shè)備被引入僵尸網(wǎng)絡(luò)當(dāng)中,讓設(shè)備持有者為此負(fù)責(zé)顯然不切實(shí)際。這種缺乏明確后果的感染問(wèn)題很難促使消費(fèi)者為其采取任何用于提升安全性的必要措施,例如在可能的前提下對(duì)設(shè)備進(jìn)行更新。

  此份報(bào)告同時(shí)提到,軟件與固件安全更新以及相關(guān)最佳實(shí)踐正是解決物聯(lián)網(wǎng)安全問(wèn)題的一種行之有效的方案,但實(shí)際上只有極少數(shù)企業(yè)或個(gè)人在堅(jiān)持這類實(shí)踐。因此,報(bào)告認(rèn)為與以往多年一樣,廠商需要考慮將安全機(jī)制融入設(shè)備之內(nèi),包括自動(dòng)安全更新。

  報(bào)告指出,“在理想情況下,面向消費(fèi)者銷售的設(shè)備應(yīng)內(nèi)置安全設(shè)計(jì)機(jī)制。消費(fèi)級(jí)產(chǎn)品應(yīng)盡可能基于安全角度設(shè)計(jì),應(yīng)包含自動(dòng)安全更新機(jī)制,同時(shí)盡可能降低甚至消除(用戶)對(duì)產(chǎn)品管理層面的要求?!?/p>

  有必要制定安全基準(zhǔn)美國(guó)政府不會(huì)對(duì)行業(yè)施加強(qiáng)制性壓力,相反,報(bào)告認(rèn)為政府應(yīng)與企業(yè)合作制定“面向家庭與工業(yè)IoT設(shè)備的安全概要,以作為具有廣泛接受度的基準(zhǔn)性文件”。

  報(bào)告同時(shí)建議利用美國(guó)政府自身的大型采購(gòu)方角色“通過(guò)在相關(guān)環(huán)境內(nèi)實(shí)施物聯(lián)網(wǎng)設(shè)備基準(zhǔn)安全配置要求的方式加速這一過(guò)程”。這種作法聽(tīng)起來(lái)相當(dāng)靠譜,且在某種程度上類似于DNSSEC與IPv6的推廣方式。

  報(bào)告中另一個(gè)更進(jìn)一步建議是:要求政府面向消費(fèi)者組織物聯(lián)網(wǎng)安全意識(shí)宣傳活動(dòng),認(rèn)為“聯(lián)邦政府應(yīng)組織一項(xiàng)公眾意識(shí)宣傳活動(dòng),以推動(dòng)家庭物聯(lián)網(wǎng)設(shè)備安全性與品牌層面的正確認(rèn)可與采用?!?/p>

  此后,報(bào)告還主張將更多政府預(yù)算花在研發(fā)工作當(dāng)中,從而“支持DDoS防范與緩解能力的提升,同時(shí)構(gòu)建基礎(chǔ)性技術(shù)方案以防止僵尸網(wǎng)絡(luò)的形成”。

美國(guó)提議通過(guò)教育向民眾傳達(dá)物聯(lián)網(wǎng)危險(xiǎn)性-E安全

  考慮IPv6可能帶來(lái)的安全威脅報(bào)告對(duì)于IPv6這一網(wǎng)絡(luò)安全新協(xié)議得到廣泛采用后將引發(fā)的潛在影響感到擔(dān)憂。IPv6將為每一臺(tái)設(shè)備提供其惟一IP地址,這意味著數(shù)以百萬(wàn)計(jì)的新設(shè)備更易受到入侵與黑客攻擊的影響。而利用IPv4與NAT將各設(shè)備部署在同一IP地址之后的作法能夠帶來(lái)更理想的安全保障效果。這是普及IPv6必然面臨的問(wèn)題。這份草案亦強(qiáng)調(diào),應(yīng)調(diào)查“IPv6的部署會(huì)給攻擊與防御活動(dòng)的經(jīng)濟(jì)性狀況產(chǎn)生怎樣的影響”,并提出應(yīng)確?;ヂ?lián)網(wǎng)服務(wù)供應(yīng)商采取更行之有效的激勵(lì)措施。

  IPv6的一大優(yōu)勢(shì)在于,安全人員能夠更輕松地發(fā)現(xiàn)哪些特定設(shè)備已經(jīng)遭到入侵。但與此同時(shí),Mirai等僵尸網(wǎng)絡(luò)也將因此“受益”,因?yàn)槠淠軌蚬魮碛凶约篒P地址的設(shè)備(通常為網(wǎng)絡(luò)攝像機(jī))。相比之下,“NAT工具是一種偶然性防火墻,可直接屏蔽大規(guī)模掃描工具以防止家庭環(huán)境中的設(shè)備受到惡意軟件傳播及廣泛感染活動(dòng)的影響。”

  此份報(bào)告甚至深入討論了命名空間快速擴(kuò)張可能帶來(lái)的問(wèn)題:“從理論層面講,IPv6的地址空間非常巨大,無(wú)法利用現(xiàn)有工具進(jìn)行掃描。但專家們已經(jīng)觀察到,新型掃描技術(shù)同樣能夠在這樣的背景下發(fā)現(xiàn)易受攻擊的設(shè)備?!?/p>

  如何解決上述難題?重點(diǎn)在于實(shí)現(xiàn)“網(wǎng)絡(luò)邊緣的進(jìn)一步創(chuàng)新”。

  報(bào)告當(dāng)中還提到了一系列其它思路、意見(jiàn)與建議,其中大多包含“應(yīng)當(dāng)”一詞,這樣的表述在一定程度上削弱了要求的緊迫感。但作為最核心的要求,報(bào)告提到下一代工程師應(yīng)當(dāng)接受必要的關(guān)鍵技能培訓(xùn)。學(xué)術(shù)界與美國(guó)網(wǎng)絡(luò)安全教育項(xiàng)目合作,將網(wǎng)絡(luò)安全作為所有工程類學(xué)科的基本要求?!?tīng)起來(lái)相當(dāng)可行,而這只是這份剛剛發(fā)布的報(bào)告中的亮點(diǎn)之一。

  美國(guó)政府正在公開(kāi)征求意見(jiàn)。