DDOS攻击显示了IoT'运行猖獗'的危险
一位美国参议员加入了安全官员呼吁在上周五主要攻击之后的事情互联网(IOT)设备的互联网安全。
在给三个联邦机构的一封信中,星期二的Mark Warner(D-VA)呼吁“改进的工具以更好地保护美国消费者,制造商,零售商,互联网网站和服务提供商。”
星期五的大网络安全攻击影响了80个主要网站,并被归咎于Mirai Botnet,主要是针对无保护的物联网设备,包括互联网就绪的相机。
这些设备被未知的攻击者使用,以在分布式拒绝服务(DDOS)攻击中的域名系统提供商DYN处过载服务器。
巴拉克奥巴马总统周一表示,美国调查员“唐”就是“谁落后于袭击事件。他在吉米金梅尔的生活中加入了未来总统面临着“我们如何继续获得网络空间的所有好处但保护我们的财务,保护我们的隐私的挑战。是真的,我们都连接了。我们现在“重新联系过。”
安全专家周二推荐,避免了IOT设备中的默认用户名和密码,并且称IOT软件的自动更新可能有助于避免将来的类似攻击。
“这次攻击应该是关于IOT的安全问题的叫醒,”Endgame威胁研究总监Mark Dufresne表示,该公司是阿灵顿,VA的网络安全公司。
“由于IOT设备,因此由于带有默认凭据而缺乏修复已知漏洞的自动安全更新,因此”有一个低障碍,以便缺少自动安全更新“,”他在接受采访时说。“随着当今的事情,我们应该期望看到越来越多的攻击涉及物联网。”
默认用户名和密码对于黑客来说比较容易猜测;甚至有互联网搜索可用的默认用户名和密码列表。
专家表示,有几种创建非默认方法的解决方案是可能的:制造商可能需要在首次使用设备之前由客户更改密码;随机数生成器可用于为每个设备创建密码,其中唯一的密码可供用户使用;设备的唯一MAC(机器访问控制)地址可以作为密码作为密码,直到用户更改它。
对于IOT设备来获取自动更新需要更多的处理能力。DuFresne表示,添加此类功能不一定是昂贵的。
“我们看到了这个传统的危险猖獗,”他说。“对于中间安全的不良糟糕,没有人在公园里敲门。”
尽管DDOS攻击首先在20世纪90年代击中互联网,但它们仍然是普遍的。星期一的AT&T发布了700多个IT决策者的调查,发现73%的公司在去年至少遭受了一个DDOS攻击。
“大多数攻击者正在使用我们已经了解的攻击形式的业务,我们可以帮助捍卫,”AT&T先进解决方案高级副总裁Mo Katibeh说。“我们网络的广大威胁和攻击模式适合具有非常着名的攻击......就像DDOS一样,”他在接受采访时说。
Katibeh说,当AT&T U-Verse和小型企业客户收到Internet网关设备时,立即需要更新用户名和密码。对于将汽车连接到AT&T无线网络的20辆汽车制造商,有虚拟的专用网络保护,这意味着交通“不乘坐开放的互联网,从而受到攻击DDOS攻击”,“他说。
他说,AT&T也在努力停止机器人手臂在制造地板上移动的软件,如果臂在与其受控的运动范围内略微移动,他说。
Katibeh表示,IOT设备将为企业安全官员提出更大的挑战。
“对于每个企业,有一个围绕着事情的行动,”他说。“我们甚至已连接咖啡壶。每个企业都应该冒险和漏洞评估,并了解要保护和了解其漏洞的内容。确保您购买具有最低安全性的设备,以允许在可用时更新固件和修补程序。“