導(dǎo)讀:2018年對于企業(yè)物聯(lián)網(wǎng)(IoT)用戶來說,記憶深刻的可能是安全性
2018年對于企業(yè)物聯(lián)網(wǎng)(IoT)用戶來說,記憶深刻的可能是安全性。很多物聯(lián)網(wǎng)設(shè)備制造商開始了解安全為其品牌帶來的價值以及對于銷售的影響,而很多用戶(特別是企業(yè)用戶)已經(jīng)開始利用經(jīng)濟(jì)的力量來要求將安全性融入到他們所購買的產(chǎn)品中。
管理咨詢機(jī)構(gòu)貝恩公司在今年早些時候的調(diào)查報告表明,如果具有更好的安全性,企業(yè)物聯(lián)網(wǎng)用戶愿意多支付22%以上的費(fèi)用,購買更多、更安全的物聯(lián)網(wǎng)設(shè)備。對于2017年的市場規(guī)模達(dá)到1570億美元的物聯(lián)網(wǎng)行業(yè)來說,隨著安全性的提高,其經(jīng)濟(jì)增長將是一個天文數(shù)字。
但是,不僅物聯(lián)網(wǎng)設(shè)備制造商將安全視為增加收入的關(guān)鍵來源,網(wǎng)絡(luò)攻擊者也開始關(guān)注當(dāng)前物聯(lián)網(wǎng)缺乏安全性所帶來的利潤。
勒索軟件成為驗(yàn)證之路
似乎所有關(guān)于網(wǎng)絡(luò)犯罪盈利性的討論都是從勒索軟件開始的,并且有著充分的理由。僅在2018年上半年,全球各地共發(fā)生了1.815億次傳統(tǒng)的勒索軟件攻擊。此外,其攻擊的平均持續(xù)時間已長達(dá)23天,很多人認(rèn)為今后可能變得更糟。物聯(lián)網(wǎng)的勒索軟件攻擊如今已開始快速發(fā)展,這意味著用戶損失的數(shù)字將會大幅增長。
物聯(lián)網(wǎng)勒索軟件與其IT應(yīng)用軟件不同。雖然安裝在計算機(jī)上的勒索軟件通常會利用數(shù)據(jù)丟失的風(fēng)險可能迫使受害者支付贖金,但大多數(shù)物聯(lián)網(wǎng)設(shè)備仍在不斷將數(shù)據(jù)上傳到云端,迫使攻擊者重新考慮選擇對于受害者來說十分關(guān)鍵的內(nèi)容。網(wǎng)絡(luò)犯罪分子如今已開始針對不同的設(shè)備采用不同方法進(jìn)行攻擊。例如,在任何時候可以對智能電視進(jìn)行攻擊,但其攻擊價值相對較低。2016年底LG品牌的電視遭到勒索軟件攻擊,要求受害者支付500美元才能打開受感染的智能電視。而網(wǎng)絡(luò)攻擊在營業(yè)旺季對酒店進(jìn)行攻擊,可以最大限度地發(fā)揮影響力,例如在2016年,奧地利一家酒店為了打開被黑客攻擊的房間智能鎖,不得不支付了2個比特幣。
雖然隨著時間的推移,勒索軟件已被證明收益頗豐。但它也一些許多缺點(diǎn)。其中攻擊者的惡意軟件在執(zhí)行攻擊時被暴露出來使得很難復(fù)制,以及受害者是否真正支付費(fèi)用的不確定性,就是兩個主要的缺點(diǎn)。
加密貨幣挖掘
貨幣挖掘者利用計算機(jī)的處理能力挖掘加密貨幣,因?yàn)橛嬎闾幚砟芰υ綇?qiáng),可以開采的加密貨幣就越多。因此,攻擊者更喜歡利用服務(wù)器等高功率設(shè)備,但它們具有更高的檢測風(fēng)險。此外,由于缺乏用戶對CPU使用率的監(jiān)督,使其成為攻擊者更好的目標(biāo)。在2018年上半年,檢測到的加密貨幣攻擊事件總數(shù)從2017年上半年的74,547起增加到787,000起。
對于企業(yè)和用戶而言,針對加密貨幣挖掘的惡意軟件造成的損害來自額外的能源消耗和設(shè)備消耗,縮短了工作壽命,從而加快硬件更新周期,并增加了成本。但對于網(wǎng)絡(luò)犯罪分子來說,其回報可能非常高。這份調(diào)查報告估計,受到攻擊的加密貨幣挖掘設(shè)備每天可以為攻擊者帶來0.28美元的收益,雖然這個數(shù)字可能看起來很低,但是像今年8月的MikroTik路由器那樣的攻擊,超過200,000臺路由器被感染,每天的損失高達(dá)56,000美元。由于用戶沒有及時攻擊,這種收入流可能一次持續(xù)數(shù)天。
降低物聯(lián)網(wǎng)網(wǎng)絡(luò)犯罪的盈利能力
以物聯(lián)網(wǎng)設(shè)備為目標(biāo)的網(wǎng)絡(luò)犯罪分子開始發(fā)現(xiàn)這些好處。例如,黑市上的諸如電子醫(yī)療記錄之類的信息可能價值1000美元。勒索軟件、加密挖掘或數(shù)據(jù)盜竊攻擊對受害者的影響更大,對攻擊者的回報也更大。這可能只是一個開始,因?yàn)楣粽甙l(fā)現(xiàn)了新的創(chuàng)造性方法來利用現(xiàn)有的缺陷來謀取個人利益。
而要減少物聯(lián)網(wǎng)的網(wǎng)絡(luò)犯罪,就必須降低其盈利能力。但是,正如目前的情況所證明的那樣,其解決方案不在于企業(yè)或用戶,而是與生產(chǎn)制造物聯(lián)網(wǎng)設(shè)備的制造商有關(guān)。只有當(dāng)這些制造商開始構(gòu)建符合標(biāo)準(zhǔn)化指南和最佳實(shí)踐的真正安全的產(chǎn)品時,人們才會開始看到這種趨勢得以逆轉(zhuǎn),以減少網(wǎng)絡(luò)犯罪事件。