物联网设备被用于DDoS攻击 ？物联网安全呢？

  这个要解释一下， 
  网络罪犯通过劫持家庭网络和消费互联设备实施分布式拒绝服务 (DDoS) 攻击，目标通常为更加有利可图的大型企业。为了成功实施攻击，网络罪犯通过感染缺乏高级安全性的设备，编织一个大型的消费设备网络，以获得更加经济的带宽。
   大部分物联网恶意软件将非PC嵌入式设备作为攻击目标，例如Web服务器、路由器、调制解调器、网络连接存储 (NAS)设备、闭路电视 (CCTV)系统和工业控制系统等。许多设备可以通过互联网访问，但由于操作系统和处理能力的局限性，这些设备可能不具有任何高级的安全特性。

现在，网络攻击者已经十分了解物联网存在的安全缺陷，很多网络攻击者开始利用常用的默认密码预先编写恶意软件，以便更加轻松地对物联网设备发起攻击。由于许多物联网设备的安全性较低，这使他们更容易成为攻击目标，而受害者往往意识不到他们已经遭受感染。

  这个话题，讨论一下。
  我发一下网上的调查结果
  2015年是物联网遭遇攻击的创纪录年，有关家庭自动化和家庭安全设备遭遇劫持的怀疑事件层出不穷。到目前为止，根据各类攻击报告显示，大部分攻击者对受害者本身不太感兴趣，反而是意图将受到劫持的设备添加到僵尸网络中，以用于实施DDoS攻击。
   物联网设备专为‘即插即用’而设计，在基础设置后，十分容易被拥有者忽略，这也是导致物联网设备成为主要攻击对象的原因。
   毫无意外，恶意软件用来尝试登录物联网设备的常用密码是‘root’和‘admin’组合，这也说明，在通常情况下，用户从不更改默认密码。
    随着越来越多的嵌入式设备连接至互联网，赛门铁克预测，未来可能会更加频繁地出现多物联网平台同步受到攻击的事件。

 处理补丁缺口 
 随着企业找到了新的办法从连接设备来获得商业价值，把那些从未想过要连接或更新的设备连上去这种想法是有诱惑的。英特尔安全负责物联网安全解决方案的副总裁Lorie Wigle说：“物联网部署往往包括一开始并未打算联网的连接设备，因此对它们并没有进行任何的安全设计。尤其是工业物联网设备，往往将服役时间或可用时间长作为其最高的优先级。” 这意味着临时修补是有问题甚至是不合适的。另一个安全方面的担忧是物联网服务器往往不是放在有访问限制的机房里面，这意味着物理安全会是更大的隐患，因为攻击者可随便折腾这些机器，如插入USB棒或者按按按钮什么的，这些都是IT无法控制的 
   改进安全评估 
   为了评估可能会暴露到外面的物联网数据的敏感性，组织需要把流程演进得更加敏捷，Zach Supalla说。Zach Supalla是开源物联网工具包提供商Spark IO的创始人兼CEO。物联网设备制造了大量的数据，有些是敏感的，有些则不是。采取适当的安全举措多少有点琐碎，但是由于许多应用敏感度不高，最大的问题会是经理在开发产品时无法确定哪些东西要保证安全，哪些不需要。 从某些方面来说，现在新的物联网能力由于其不为人知的是可以享受到安全的好处的。采用各种不同的规范、协议太多，以至于恶意黑客很难开发出可轻易攻击大规模设备的恶意软件。Keen IO的Kador说：“我们目前处在标准化前期阶段，因此对于黑帽来说在这里浪费太多时间没有太大的意义，只需聚焦于Windows的利用即可。不过一旦物联网规范标准化工作有了进展，可以预期将会涌现出一波以这些规范为目标的漏洞利用潮。” 对于企业来说对现有的物联网漏洞曝光制定清单也是个不错的想法。Laconicly的Rios说大多数企业并未意识到在自己的环境中已经有了一些物联网设备。智能环境孔子和能源管理极其常见。在任何一个企业园区里面都有着各种不同的传感器为智能HVAC、照明能源和访问控制系统提供信息。 Rios说他曾偶然发现几间会议室的可用性设备上显示着会议室对真实的企业的调度安排。许多人没有意识到的是这些设备存在着可怕的不安全。企业架构师应该关心许多这些设备是通过Exchange服务器来获取会议室可用性情况的，这意味着它们通常拿到了一组企业证书。 
    资源约束设备 
    物联网安全的实施挑战性还会更大，因为它利用的是极端资源约束型设备，Spark IO'的Supalla说。运行通用目的的操作系统如Windows或Linux的计算机建立与另一服务器的加密连接是没有问题的。但是咖啡壶里面的微控制器对于同样地加密栈就没有同等的资源和访问权，而且还可能无法获得足够额信息熵去生成真正的随机数用于密钥。这些问题都可以解决，但是它们需要深思熟虑的实施和专业知识。 企业也许会考虑利用可帮助确保连接设备存取API和企业系统最佳实践的物联网工具包。比方说，Spark IO可帮助工程师和组织开发那种底层基础设施已经被照顾得很好的连接产品，这样他就可以专注于应用本身。安全性和可伸缩性都已经内置，这样这些就不会是工程师必须担心的问题。 企业应该考虑利用物联网设备的限制通过白名单技术去改善安全架构，英特尔的Wigle说。由于物联网设备并非一般用途设备，可考虑确定哪些应用和代码可在上面运行而不是持续更新那些不能上面运行的。比方说，英特尔安全有超过200位客户为自己的产品建立了白名单及变更控制解决方案。 
   利用物联网安全行动计划  
   物联网安全分析仍处于早期阶段。企业可能可以考虑以下若干行业和政府行动计划来改善物联网安全： 云安全联盟正在与若干安全专家一起工作为早期采用者定义物联网安全指南。 其他组织如OWASP、Builditsecure.ly、 WhiteScope以及 I am the Cavalry也开始为帮助组织建立安全物联网做出重大贡献。 Open Interconnect Consortium有开源物联网化平台，也正在进行标准制定工作。 Industrial Internet Consortium正在为公司提供安全指南。 NIST正在致力于网络物理系统的安全。 思科最近为物联网安全努力提供了一个“大挑战”。 英特尔安全也有一个开发者计划，用来给其他公司延伸安全管理，计划叫做安全创新联盟，可允许将解决方案植入ePolicy Orchestrator。 Rapid7的Stanislav说：“目前物联网创新最大的安全力度聚焦在固件、API及在这些设备上的软件操作的标准化上面。这个萌芽中的物联网时代实际上是技术的狂野西部，成千上万的供应商几乎在没有分享什么技术DNA的情况下来制造设备。缺乏对物联网设备制造的约束推动了创新，但是这一点最终必须得到改变宝能保证可持续性以及安全的成熟度。”