Created: 2016-11-29 03:10:24
“不給糖就搗蛋!” 萬聖節聽到小朋友們在家門口這樣叫就意味著:如果你不給他們糖吃,他們會把你當作惡作劇的目標。
相較之下,數百萬台路由器、網路攝影機等其他物聯網設備,在萬聖節一周前同時敲開了Dyn DNS的大門。但這個惡作劇並沒有給糖果的選擇,這些受感染的物聯網設備組成一隻龐大的殭屍軍團,只有一個共同目標 – 搞垮網際網路及其中一部分最為普及的服務。
ESET和很多其他資安廠商已經準確預測到物聯網安全將成為本年度的一項重要話題。但最受關切的議題是此類設備可能成為洩露使用者資料的一大源頭,或作為家用網路薄弱的安全環節,淪為遭受攻擊的目標。但世事往往出人意料,對吧?
之前在萬聖節前夕發生的大規模DDoS攻擊,以及Brian Kreb網站所遭受的攻擊量,已經證明個資並非網路罪犯所關注的主要焦點 – 至少目前還不是。他們的目的是控制數百萬台物聯網設備,對其所選定的任何目標為所欲為。
“未來數月,可能只是DDoS大戰的序幕。”
此類攻擊證實,上千萬台設備(裝置)因使用者沒有具備良好的資安行為,例如使用預設使用者名稱或密碼,或使用存在漏洞的舊版軟體,就有可能淪陷。雖然Dyn DNS 在數小時內就解決攻擊事態,但這可能只是未來幾個月DDoS大戰的序幕。
查詢相關資料,便能瞭解潛在的攻擊規模。據 Gartner 統計,截至2015年底,市場上已有近五十億台物聯網設備(含汽車製造業在內)。預計正確的話,2020年這一數字將增加到250億以上。
如果不將關注重點轉移到物聯網領域每個層級的安全防範 – 包括從製造商需要樹立軟硬體資訊安全意識,到監管機構急需落實妥善的控制措施、推行更高的標準在內 – 這個問題可能會越來越嚴重。
同時終端使用者(End User),無論是企業或家庭用戶的您,也可以通過以下建議方式,解決這個問題:
1. 購買符合最新安全標準的優質物聯網設備,避免使用廉價的替代品,後者往往忽視了這方面的安全設計。
2. 您可以自行測試,找到軟體中存在的漏洞 – 例如預設出廠密碼或老舊版本軟體 – 並且將設備汰換或更新軟體。
3. 認真設置現有的物聯網設備,例如路由器/分享器等。
4. 選擇專業及具有技術服務團隊之個人/企業解決方案之資安品牌(ESET)
原文出處: