假日黑客是对“黑客”一词的积极解读,并对工程师们提出了一些节日建议。但不幸的是,这个词有很多不好的内涵。在谈论俄罗斯涉嫌入侵美国政府网站和大公司时,这个词经常出现在新闻头条上。有趣的是,这一话题在互联网上风靡了一两个星期,但后来逐渐平息到新闻的背景噪音中。
虽然安全已经从新闻推送的首位跌落,但希望它不会被程序员、开发人员和管理人员排除在比特桶之外,他们必须设计和创建物联网和工业物联网解决方案,这些解决方案已经淹没了消费者和工业领域,未来还会有更多。
最新的黑客攻击涉及SolarWinds提供IT、网络和数据库管理服务。具体来说,它的猎户座平台遭到攻击,恶意代码随后被整合到一个更新中,自动分发给数百家公司和组织。这允许攻击者使用猎户座平台访问系统。有证据表明俄罗斯参与其中,而且有证据表明第二组的目标是太阳风.
开发人员需要考虑两个方面。首先是范围。第二个是依赖性。由于涉及的公司数量众多,这些攻击意义重大。对一家公司的典型黑客攻击可能会暴露成千上万人的信息,这已经够糟糕的了。然而,这些攻击暴露了多个公司,因此暴露了更多的公司给攻击者。这包括那些通常比信用卡号码更重要的资产,尽管这对个人来说可能是毁灭性的。
依赖性是指公司对第三方的信任程度。在这种情况下,公司实质上是通过自动更新暴露了他们的内部系统。挑战在于,这些更新旨在帮助管理和保护系统。
攻击者的方法是典型的恶意行为者。发现一个洞。利用它并保持安静,使随后的渗透和进一步的破坏。他们本质上绕过了其他的保护措施,比如防火墙,通过利用一个已经被破坏的好参与者。
如今的挑战是,公司依赖于软件的层次结构,以及提供从启动代码到操作系统到结束应用程序的系统基础的公司。物联网加剧了这个问题——通信栈极其复杂,而确保它们的安全至关重要。
至少现在,大多数公司都试图将安全性贯穿所有层。不幸的是,程序员往往会忽视或忽略安全性,特别是在开发越来越多软件的开源社区。在过去,对JavaScript库的npm生态系统的攻击曾引起过轰动,因为它依赖于如此多的应用程序。即使是公共存储库的帐户这可能是个问题。
这并不是说开发者应该远离这些工具;相反,安全性需要分层,并成为设计过程的一部分。绕过保护是不好的,但它不应该总是灾难性的。必须避免使用单一的保护方法,如防火墙或安全引导。从一个来源获得所有的保护也不是一个好主意。
不管你的公司规模有多大,独自构建物联网解决方案是完全不切实际的。仔细选择您的合作伙伴,并使您的安全系统尽可能健壮。希望下个假期会更好。
