作者:Alex deVries, Tim Skutt

分布式拒绝服务（DDOS）攻击一直是受欢迎的托管站点的问题，但过去几周的攻击是一个问题。

第一个让新闻是的Brian Krebs'krebsonsecurity.com，是目前最全面的安全新闻网站之一。DDoS攻击的速度高达620Gbps, Akamai的防御成本太高，导致krebsonsecurity.com下线几天。来源:黑客攻击的网络摄像头充当DDoS僵尸。

第二个是开启的ovh.是法国托管提供商。他们幸存了1.5Tbps攻击。他们的声称，攻击是从145,000个黑客相机，DVRS与Akamai的观察结果一致。

除了规模，这些袭击还有什么不同?物联网

物联网的到来带来了强大的低成本设备的惊人规模。一个拥有15万设备的僵尸网络为攻击者提供了一个很好的平台。这些设备通常分散在互联网上，很难追踪。

像摄像头这样的设备很容易被黑。设备的生命周期相对较长，固件很少更新，因此，在已知的漏洞打了补丁后很长一段时间，设备仍然容易受到攻击。固件可以被反向设计，要么是从购买的设备上撕下来的，要么是从固件更新中下载的。许多设备也有默认的用户名和密码，使这更容易。

要么目标是不难找到的。像shodan.io这样的网站它琐碎在互联网上找到某些设备。

保护设备

安全设备可以遵循最佳实践。设备标识，安全默认配置，安全更新和资源保护只是一些。这些适用于新设计。

让我们也现实一点:与此同时，互联网上有数百万不安全的设备，它们已经存在多年了。解决这些问题几乎是不可能的。即使明天有了加固设备的完美解决方案，也无济于事。

保护设备对IoT设备所有者有益，例如保护其资产。但它并没有成为防止非界网站的DDO的动力。

保护资产

最好的防御位置通常是在资产周围。在上周Akamai (Krebs)和OVH的案例中，这个网站遭到了攻击，我们看到供应商采取了行动。

然而，保护设备的动机将来自IOT所有者，其自身资产受到威胁。IOT所有者在上周袭击中受到威胁的情况下，他们的资产并不立即显而易见，但由于易受攻击的无保护的物联网设备越来越多地利用攻击，它将变得非常清楚。

如何?认识到目标网站并不是最终被保护的唯一资产，对其他资产采取的保护措施将影响物联网所有者。

网络带宽是一种资产。参与攻击的单个物联网设备的带宽增加1-30 Mbps可能似乎昂贵的设备所有者都是昂贵的，但是当汇总数十万个这些设备时，支撑额外1-2的费用Tbps几乎肯定会导致采取行动来保护网络资产。

保护网络资产免受受损的IOT设备可以采取多种形式，但对于网络资产的所有者，这通常会看起来像限制可疑设备的访问。这是IoT设备所有者和物联网服务提供商将感受到痛苦的地方。

根据定义，IoT设备从连接网络获取大部分值。如果基于设备妥协限制网络访问，则这些设备的大部分值也将受到限制。IOT所有者的价值和收入将受到威胁。

解决方案

确保新设备是关键的，并且可以使用解决方案以确保在整个生命周期内部署并保持安全的新设备安全。这些解决方案涉及：

• 安全设备标识
• 安全配置 - 包括安全启动，安全初始化，签名二进制文件等。
• 安全更新
• 资源保护

正如我们之前提到的那样，这只会解决部分问题。如果没有这些基本保护，它可能会部署许多新设备。

我们对这些设备有什么关系，旧和新的，尚未建立安全性？可行的解决方案是使用安全的物联网网关（物理或虚拟机）保护它们。这将保护逻辑上靠近物联网设备，并允许IOT所有者保护其资产 - 包括所需的网络带宽来保护价值和收入。

风河技术具有当今可用的安全特性，如安全设备标识、安全配置、安全更新和资源保护。这些功能可以保护新设备，并确保这些设备得到保护。物联网解决方案需要纳入这些保护措施，这样我们才能充分发挥物联网的潜力。我们还需要认识到，由于各种原因，将有大量的设备没有纳入保护措施，需要一个解决方案，如物联网安全网关，以实现代表设备的安全功能。

这些是与设备控制DDO的相同设备安全功能。