IPV6给物联网带来的是机遇还是挑战?美国这样做
美国商务部(简称DoC)与国土安全部(DHS)已经出台一份网络安全报告草案—— 《提高互联网与通信生态系统对僵尸网络及其它自动分布式威胁的抵御能力》 ,报告对于IPv6这一网络安全新协议得到广泛采用后将引发的潜在影响感到担忧,建议美国政府出资组织关于物联网安全性的公众意识宣传活动,通过教育向民众传达物联网危险性,并将网络安全作为未来工程学学位的必修内容。
报告专注僵尸网络带来的安全威胁
这份网络安全报告草案长达38页,属于2017年5月新一届政府班子上任后所提出的网络安全总统行政令的后续产物。报告确定了政府、各行业以及消费者当前在网络安全方面所面临的问题:即专注于僵尸网络的威胁。报告中对威胁因素进行了客观的分析,属于一份专业的政策文件。
就报告本身来看,其惟一关注的问题就是美国政府应当在正在进行的互联网与物联网安全斗争当中建立主导权,但其中给出的许多实际建议尚不尽如人意,例如“确定实现适应性、可持续且安全的技术市场的明确途径”所需要建立的关键性“目标”、“推动创新”乃至“建立联盟”等陈述,都显得太过模糊。
长久以来美国政府一直对行业事务采取不干预的传统做派,而大部分互联网业务也掌握在私营企业手中,美国商务部与国土安全部(DHS)几乎无力对相关事宜作出管理。这份报告确定了其中的问题所在,同时给出了解决问题的最佳方案。
物联网设备消费者需要提高安全意识
此次报告强调,物联网市场不能也不应该指望消费者对其购买的设备的安全性负责。
此份报告正确地指出,这一市场“非常类似于上世纪九十年代的桌面计算领域”,即存在大量不安全因素。报告指出,“物联网设备往往缺乏这种以安全为重点的功能。此类系统已经成为当前恶意攻击者眼中最具吸引力的目标,并在这一生态系统中占有越来越大的比重。”
此外,“消费者不会直接因设备遭到入侵而面临影响,相反消费者可能永远不会意识到自己的设备已经成为僵尸网络的一部分。从消费者的角度来看,网络摄像头仍然正常工作,而冰箱也仍能正常制冷”这就够了。
一旦设备被引入僵尸网络当中,让设备持有者为此负责显然不切实际。这种缺乏明确后果的感染问题很难促使消费者为其采取任何用于提升安全性的必要措施,例如在可能的前提下对设备进行更新。
此份报告同时提到,软件与固件安全更新以及相关最佳实践正是解决物联网安全问题的一种行之有效的方案,但实际上只有极少数企业或个人在坚持这类实践。因此,报告认为与以往多年一样,厂商需要考虑将安全机制融入设备之内,包括自动安全更新。
报告指出,“在理想情况下,面向消费者销售的设备应内置安全设计机制。消费级产品应尽可能基于安全角度设计,应包含自动安全更新机制,同时尽可能降低甚至消除(用户)对产品管理层面的要求。”
有必要制定安全基准
美国政府不会对行业施加强制性压力,相反,报告认为政府应与企业合作制定“面向家庭与工业IoT设备的安全概要,以作为具有广泛接受度的基准性文件”。
报告同时建议利用美国政府自身的大型采购方角色“通过在相关环境内实施物联网设备基准安全配置要求的方式加速这一过程”。这种作法听起来相当靠谱,且在某种程度上类似于DNSSEC与IPv6的推广方式。
报告中另一个更进一步建议是:要求政府面向消费者组织物联网安全意识宣传活动,认为“联邦政府应组织一项公众意识宣传活动,以推动家庭物联网设备安全性与品牌层面的正确认可与采用。”
此后,报告还主张将更多政府预算花在研发工作当中,从而“支持DDoS防范与缓解能力的提升,同时构建基础性技术方案以防止僵尸网络的形成”。
考虑IPv6可能带来的安全威胁
报告对于IPv6这一网络安全新协议得到广泛采用后将引发的潜在影响感到担忧。IPv6将为每一台设备提供其惟一IP地址,这意味着数以百万计的新设备更易受到入侵与黑客攻击的影响。而利用IPv4与NAT将各设备部署在同一IP地址之后的作法能够带来更理想的安全保障效果。这是普及IPv6必然面临的问题。这份草案亦强调,应调查“IPv6的部署会给攻击与防御活动的经济性状况产生怎样的影响”,并提出应确保互联网服务供应商采取更行之有效的激励措施。
IPv6的一大优势在于,安全人员能够更轻松地发现哪些特定设备已经遭到入侵。但与此同时,Mirai等僵尸网络也将因此“受益”,因为其能够攻击拥有自己IP地址的设备(通常为网络摄像机)。相比之下,“NAT工具是一种偶然性防火墙,可直接屏蔽大规模扫描工具以防止家庭环境中的设备受到恶意软件传播及广泛感染活动的影响。”
此份报告甚至深入讨论了命名空间快速扩张可能带来的问题:“从理论层面讲,IPv6的地址空间非常巨大,无法利用现有工具进行扫描。但专家们已经观察到,新型扫描技术同样能够在这样的背景下发现易受攻击的设备。”
如何解决上述难题?重点在于实现“网络边缘的进一步创新”。
报告当中还提到了一系列其它思路、意见与建议,其中大多包含“应当”一词,这样的表述在一定程度上削弱了要求的紧迫感。但作为最核心的要求,报告提到下一代工程师应当接受必要的关键技能培训。学术界与美国网络安全教育项目合作,将网络安全作为所有工程类学科的基本要求。——听起来相当可行,而这只是这份刚刚发布的报告中的亮点之一。
美国政府正在公开征求意见。