当前位置:安全行业动态 → 正文

美国政府发布网络安全报告,呼吁全民普及物联网风险

责任编辑:editor004 作者:天诺 |来源:企业网D1Net  2018-01-12 11:21:50 本文摘自:雷锋网

美国政府发布网络安全报告,呼吁全民普及物联网风险

雷锋网消息,因为担心第六版互联网协议(IPv6)可能危及网络安全,美国政府可能要搞一场万物互联新时代的全民教育。一星期前,美国商务部与国土安全部公布了一份网络安全报告的草案,建议美国政府资助一场提高全民物联网安全意识的运动,让网络安全成为未来学生获得工程学学位的必修内容。

这份长达38页的报告题为《面对僵尸网络和其他自动化分布式攻击威胁,提高互联网和通信生态系统的抗打击能力》。这份报告应去年5月特朗普签署的行政令指示而诞生。此前多次尝试均半途而废,报告定稿后,它将和其他多份文件一道递交特朗普审批。

整体来看,这份报告写得很不错:它简单直白,明确了美国政府、行业和消费者当前面临的网络安全问题,就像题目揭示的那样,重点放在僵尸网络。它既没有掩盖问题,也没有夸大某些网络安全威胁或者轻视其他威胁。一言以蔽之,它是那种草拟得专业的政策文件。尽管公务员队伍里有些干扰的噪音和无知的言论,政府仍然草拟了这样一份专业文件。这真是幸事。

报告只有一个突出的问题:它并未反映美国政府内部的争斗,政府机构之间在争夺互联网安全和物联网事务的领导权。

另外,报告还有这类文件常见的毛病:很多真正的建议都有点含糊其辞,比如要“确定一条明确的道路,发展为一个有适应能力、有持续性又安全的技术市场”,或者“推动创新”、“建立联盟”,应该实现哪些重要的“目标”。

由于报告对相关行业秉持不干预的传统做派,加之互联网的决策权事实上主要掌握在私营企业手中,美国商务部和国土安全部能切实拿出的行动少之又少。但报告的确厘清了问题所在,并阐明了解决问题的最佳对策。

消费者无罪

报告承认,即使消费者在商家购买了设备,又将这些设备联入家用无线网络,也不能、不该指望他们为这些设备的网络安全负责。这也许报告最有用的内容。

报告给予物联网市场准确的定位,称物联网设备“很像上世纪90年代的台式机电脑”,安全性很差。

报告写道:

“物联网设备往往缺乏侧重于安全的特色功能。这些系统现在成为对不法分子最有吸引力的攻击目标,(物联网)设备在生态系统占比很大,并且越来越大。”

报告还说:

“实际上,消费者并没有直接受到设备被攻击的影响,他们可能永远不知道(自己的)设备沦为僵尸网络的一部分。从消费者的角度看,网络摄像头还在正常播放视频,冰箱还在制冷(,一切正常)。”

“基于这个原因,一旦设备被僵尸网络利用,让设备的真正所有者负责是不现实的。现在被(僵尸程序)感染也看不到什么明显的影响。因此,如果要鼓励消费者采取行动增强安全措施,比如升级那些可以升级的设备,就存在困难。”

雷锋网发现,这些看法对物联网专业人士来说不算新闻,难得的是,一份美国政府的报告能清晰阐述问题,一针见血地切中要害。

报告指出,对于保证物联网安全,软件和硬件安全系统升级以及类似做法很有效,可问题是,很少有公司和个人真正这样做。考虑到这点,报告和这些年不少人的观点一样,也认为需要让设备自带安全预防措施,比如自动进行安全系统升级。

报告认为:

“理想的做法是,向消费者推广那些应该内置安全系统的设备。消费类产品应该尽可能基于安全角度设计,应该纳入自动更新安全系统的机制,应该几乎没有对(用户)管理产品提出什么要求。”

制定基准

美国政府不会给行业强加什么规定。因此报告认为,可能政府要与企业合作,对于“家用和工业应用的物联网设备”,共同制定一套“普遍接受的基准安全配置。”报告还提议,美国政府利用自身重要采购方的角色,“对美国政府环境的物联网设备采用基准安全配置,以此加快普及安全配置的进程。”这听起来是高明的一步棋,在域名系统安全扩展(DNSSEC)和IPv6这类技术上能起到一定作用。

而报告最面向大众的建议也许就是,由政府出资,赞助一项针对物联网安全的宣传活动,提高消费者这方面的安全意识。报告称:

“联邦政府应该开展一场提高公众意识的运动,支持公众认识并采用家用物联网设备安全配置,用相关品牌产品。”

在此后的内容中,报告还力荐政府对相关研发加大投入,“支持科研进步,包括预防和缓解分布式拒绝服务攻击(DDoS)和防止制造僵尸网络的基础技术。”

谈到IPv6,报告有点担心这种网络安全的新协议广泛采用可能产生负面影响。

IPv6将赋予每个设备一个IP地址,所以可能让数百万新设备容易遭到攻击和黑客入侵。从这个角度看,用IPv4和网络地址转换(NAT)可能营造更安全的环境,因为这两种方式都基于单一的IP地址排布设备。

报告并不是主张抵制使用IPv6。事实上,报告还赞成,为了更快推进应用,要给予互联网服务供应商激励。但报告的确建议,调查“IPv6广泛应用的影响,看到应用广泛到何种程度,就能改变网络攻击和防御的经济意义。”

担忧与希望并存

应用IPv6的一个好处是,消费者会更容易发现哪部设备被攻击了。可是报告提到了名为Mirai的物联网僵尸网络。它对攻击IPv6支持的物联网特别有效,因为它攻击的是那些有自身IP地址的设备(通常是网络摄像头)。相反,“NAT工具可以充当意外(攻击的)防火墙,避免那些家用设备被传播恶意软件的批量扫描工具直接接触,进而大范围被恶意软件感染。”

报告甚至深入探讨了范围扩大的域名空间:

“理论上说,IPv6的地址空间相当大,现有工具无法扫描,但专家注意到一些模式,它们可以通过新的扫描技术找到哪些设备不堪一击。”

那么,该用什么解决方法?报告认为,应该把研究的侧重点放在“深化网络前沿创新”上。

报告里还有很多观点、建议和主张。大部分表述都用了“应该”这个词,这一定程度上降低了采取行动的紧迫感,可是有一条建议没有用“应该”。它提出,保证下一代工程师接受网络安全培训。网络安全无疑是目前一项至关重要的技能。

报告称:

“学术机构在与美国国家网络安全教育计划合作,他们应该将(网络安全)确立为攻读一切工程学学科的基本要求内容。”

这份报告上周末发布,其中有不少好提议,以上只是冰山一角。从现在起到今年2月12日,大概一个月多一点时间都是报告的公众评议期(任何看法可以发送电邮到地址:Counter_Botnet@list.commerce.gov)。如果你对报告提到的任何内容深有感触,现在就是让美国政府知道的好时候。

关键字:物联网 网络安全

本文摘自:雷锋网

美国政府发布网络安全报告,呼吁全民普及物联网风险 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2018 京ICP备09108050号-6

^