拒绝成为安全隐患 风河让物联网“活”起来!

2017-01-22 15:44:00 作者:王婷婷 分类 : 比特网

  在两年前开始接触信息安全的时候,从开源的GNU,到各种网上各种开源工具,我一直认为,开源即相当安全,可是开源是否真的如我们所愿的那么安全么?在目前的个人和商业领域,开源软件得到了更为广泛的应用,随之其安全问题也得到了更为广泛的关注,有关开源与闭源软件谁更安全的问题也争论不休。其实安全都是相对的,没有绝对的安全,闭源如此,开源也如此。从软件产业的诞生到现在,时间并不是很长,与其他在我们眼中被视作“传统行业”的产业比较起来更是显得年轻,但它却发展得非常迅速,对我们的工作和生活的影响也越来越大。它们很可能危及你的设备安全。因此,现在就应该采取措施,确保你的设备免受感染确实是一个不错的方式。

  实际上,今天我们看到的大规模DDoS(Distributed Denial of Service,分布式拒绝服务)攻击事件中,物联网设备被用作机器人或者僵尸。该博文发布后不久,一个自称是该恶意软件作者的人公布了攻击软件的源代码。这款名为Mirai的恶意软件是一种木马病毒,感染物联网设备后,向多家知名网站发起了DDoS攻击,受害设备数量惊人。Malware Tech估计有12万台设备受到感染,而Level 3则称有150万台设备受到感染。这起攻击事件只是最新的一例。但要警惕的是,这些病毒是永久性的。

  知己知彼 才可击破病毒

  医学上的感染分析方法是采用曲线图来表现易感染、感染、修复三者的关系。这一方法同样适用于目前物联网安全上面临的实际病毒隐患:

  ·

  显然,如果设备一旦被感染,就会利用伪证书在网络上寻找带有开放Telnet端口的设备。一旦找到这样的设备,就将木马病毒植入其中,使其变成同样的傀儡机去感染更多目标。这个过程如上图曲线的第一段所示。有些设备有的可以修复或者受到保护,但很多都不能,于是成为被永久感染的设备。即使那些修复了的设备,也不能避免被其他感染病毒的设备再次感染。由于许多设备被永久感染,袭击将随时可能卷土重来。

  找寻一种更具优势的防护

  那么,了解了病毒的成因,是否可以找到击破的方式?从目前的应用来看,修复所有设备是不可能的。大部分设备拥有者都不知道他们的设备已被感染,也不具备修复设备的技能,甚至也没有意愿修复设备(因为没有受到直接影响)。

  Mirai的弱点之一是新感染的设备需要向指令-控制服务器注册后方可下载指令。这些是散播病毒的服务器,而非可能的受感染设备。如果控制-指令服务器被封杀,将会限制Mirai病毒的扩散。

  因此,我们看到,为了应对近日发生的物联网DDoS攻击,安全网站krebsonsecurity.com被迫更换了托管公司。DDoS攻击并非是新鲜事,防御办法还是有的,像这种转移也是行之有效的应对措施之一。

  不过,说到底,要想修复目前所有被感染或者潜在会被感染的设备并不现实,而且我们也做不到彻底清理感染。

  即便不是Mirai,也会有其他自我繁殖的恶意软件会被开发出来感染其它物联网设备。Mirai源代码的公开将加快后续病毒的开发步伐。Mirai源代码的公开会造成这一代码被广泛利用、发展。可以预见,将来的攻击手段会取消对指令和控制服务器的依赖,从而使杀毒任务更加艰巨。

  目前,Mirai主要进行DDoS攻击。但是未来,它将利用物联网设备作为僵尸物联网设备,攻击同一网络上的其它系统。今天,几乎所有的安全防护工具都可以避免甚至隔离物联网僵尸,但是随着网络的变更以及新设备的发展,新的病毒感染途径也会随之出现。由于感染的风险持续存在,设备成为感染目标只是个时间问题。因此,对设备进行免疫,使其免受感染至关重要。

  显然,免疫的第一步首先是消除已知的感染方式。消除或者阻断不必要的服务(如Telnet),消除默认证书,代之以安全密码,阻断与外部端点的意外连接。但从长远来看,还需采取进一步措施防止出现可被适应型病毒利用的漏洞。这就是CWE/SANS Top 25 Most Dangerous Software Errors等工具软件的作用,同时也是风河能够效力之处。

  风河先行:防患于未然

  风河本身在开源产品,对开源社区风河产品可以提供以下多层次、预先集成等多种防护措施:安全启动和初始化,防范受影响的可执行代码;静态数据加密,保护证书及其它敏感信息;双向验证,阻止不法终端及恶意尝试连接;通信加密,保护敏感信息;操作系统增强,防止权限升级;防火墙阻断意外的外部访问或者意外的外部连接;安全更新修改需经授权,防止恶意修改。

  风河的可定制系统产品集成了这些防护措施,使无关的服务被排除在设备之外。这样就最大程度减少了病毒感染的途径,使设备具有强大的防御功能。

  此外,风河的专业服务(Professional Services)团队能够从建立和部署安全证书的工具和流程,到优化硬件安全功能的使用,以及安全风险评估和安全测试等多方面,对产品进行评定,帮您定制适合您的产品。

  永绝后路 让物联网“活”起来

  物联网僵尸会侵入你的设备、与设备互访并寻找继续感染其他设备的途径。保护设备的方法有很多种,而预先集成的解决方案不仅能够使设备免受当前的病毒种类感染,并且能够阻止将来变种病毒的侵袭。这种方法就是免疫——将使你的设备长期保持健康。

  最重要的是,风河的开源软件的发布频率非常快。这正符合目前新的Linux内核更细的速度,Linux大约每70天更新一次,并且伴随新的功能和增强功能推出。要使用这些增强功能,意味着你要么使用最新代码,要么不断向老版本移植。每个项目管理者都承认,这种工作是最困难的。因此,与可信赖的商业供应商合作,可以为客户的项目获得稳定的升级,避免很多风险和麻烦。风河同开源社区的合作非常紧密,这样就可能及时解决物联网上的问题。

  总之,致力于物联网应用系统的风河正在让供应链上的每个合作伙伴都安心无忧的把物联网应用起来。

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。