近日，提及物聯(lián)網威脅，你或許會聯(lián)想到Mirai僵尸網絡的最新變種“Wicked Mirai”。據悉，自Mirai僵尸網絡于2016年首次被MalwareMustDie的安全專家發(fā)現(xiàn)以來，就被用于為野外的大規(guī)模DDoS攻擊提供動力。而Mirai的源代碼于2016年10月在線泄露，自此，又出現(xiàn)了許多其他變體，包括Satori、Masuta和Okiru。

　　安全專家指出，在最新變種“Wicked”中出現(xiàn)了一些重大的修改，例如增加了將受感染的設備變成惡意軟件代理和密碼器群的功能。據悉，Wicked Mirai會通過連接到物聯(lián)網設備的原始套接字SYN連接掃描端口8080,8443,80和81。一旦建立了連接，bot就會嘗試利用設備并通過write系統(tǒng)調用將漏洞字符串寫入套接字來下載攻擊載荷。

　　當然，今天我們要說的威脅并不是“Wicked”僵尸網絡，而是一種更易被忽視的威脅類型——可視性。每時每刻都有新的設備加入您的網絡——未受管的筆記本電腦、智能手機和平板電腦、各種形式和規(guī)模的物聯(lián)網(IoT)設備、未授權的端點、服務器等，這些設備會明顯增大您的受攻擊面，并且對許多安全產品都不可見。

　　正所謂“未知攻焉知防”，如果你連物聯(lián)網網絡上存在哪些東西都不知道，又何談要保護或防范什么呢!如今，隨著企業(yè)物聯(lián)網設備的加速增長，以及“影子物聯(lián)網”(shadow IoT，等同于傳統(tǒng)IT領域的“影子IT”)的破壞性崛起，這種物聯(lián)網網絡中的未知事物也在隨著激增。這時候就引發(fā)了安全會議上最常聽到的一個關鍵問題——“可見性”!如今，市場上也涌現(xiàn)了大批用于獲取關鍵可視性的工具，它們可以提供不同的角度來審視物聯(lián)網網絡環(huán)境。

　　想要實現(xiàn)安全“可視性”，就意味著你需要了解連接到網絡的所有設備、運行在這些設備上的所有軟件，以及他們所使用的云服務等等。傳統(tǒng)的網絡可視性工具，比如tap或span端口——可能不足以滿足物聯(lián)網的需求。雖然這些是非破壞性流量分析的重要工具，但它們是第1層設備，本身并不提供下述推薦工具所能提供的那種網絡或IoT可見性。

　　但是別擔心，下述推薦的這些工具可以為您提供網絡或IoT可視性，以多種方式幫助您的IT團隊更好地部署防范措施。

　　7款推薦工具

　　1. AppDynamics

　　2017年初，思科以37億美元的價格收購了原本打算上市的軟件公AppDynamics Inc.。收購完成后，AppDynamics成為了思科旗下的一家新軟件業(yè)務子公司，負責物聯(lián)網及應用業(yè)務，AppDynamics首席執(zhí)行長David Wadhwani繼續(xù)負責執(zhí)掌這一部門，并向思科高級副總裁Rowan Trollope匯報工作。

　　AppDynamics使用端點行為來提供端點本身的可視性，其建立在AppIQ平臺(應用數(shù)據分析服務)之上，會自動忽略對網絡上不活躍的設備性質的洞察，更為專注的洞察網絡上更為活躍的設備。其主要特征包括高度可擴展性的架構，以及提供對任何應用程序——無論該應用程序是使用本地運行的代碼、客戶端/服務器本地架構、云服務還是三者的組合——可見性的能力。

　　2. ForeScout CounterACT

　　ForeScout CounterACT是一個物理或虛擬安全解決方案，可動態(tài)確定和評估網絡設備以及應用程序，一旦臺式電腦、筆記本電腦、平板電腦、智能手機、物聯(lián)網端點、周邊設備和未授權的設備連接網絡，即使它們沒有安裝安全代理，F(xiàn)oreScout CounterACT也可以立即發(fā)現(xiàn)它們。此外，它還可以發(fā)現(xiàn)服務器、路由器和接入點，收集有關設備類型、用戶、應用程序、操作系統(tǒng)等的深入見解，然后持續(xù)監(jiān)控設備。

　　與只提供警告和發(fā)送IT置亂的解決方案不同，CounterACT可基于設備情況和您的安全戰(zhàn)略允許、拒絕或限制網絡訪問。它還可以自動評估和修補惡意或高風險端點，從而幫助您遵守行業(yè)指令和規(guī)定。其主要特征包括開放的互操作性——CounterACT可用于常見交換機、路由器、VPN、防火墻、端點操作系統(tǒng)(Windows、Linux、iOS、OS X 和 Android)、修補程序管理系統(tǒng)、防病毒系統(tǒng)、目錄以及標簽系統(tǒng)，無需更改或升級基礎設施;安全性協(xié)調——可選的模塊協(xié)調CounterACT與領先的IT及安全管理產品之間的信息共享以及基于策略的安全保護實施等等。

　　3. Fortinet Fortigate

　　Fortinet的Fortigate設備通過提供所有流量的轉換來獲得物聯(lián)網的可見性。當網絡流量通過Fortigate時，它會檢測到有關發(fā)送硬件和軟件的信息，以及與設備可能通信的任何外部系統(tǒng)的目標地址。

　　與一些企業(yè)中傳統(tǒng)的IT產品不同，F(xiàn)ortinet公司制造了一種工業(yè)物聯(lián)網版本的Fortigate，其具有加固外殼和硬件，以抵御工業(yè)環(huán)境中的溫度、振動、灰塵以及其他惡劣條件。

　　當FortiManager和FortiAnalyzer軟件結合使用時，工業(yè)互聯(lián)網版本的Fortigate能夠為物聯(lián)網上的設備、服務和軟件提供全面的可視性。

　　4. LogRhythm Netmon

　　Netmon是更大的LogRhythm威脅生命周期管理(TLM)平臺的一部分。它能夠提供對企業(yè)整個網絡(IT和物聯(lián)網)的可視性。Netmon能夠從第1層到第7層捕獲數(shù)據，并執(zhí)行獨立分析以及將數(shù)據傳遞給其他應用程序。

　　LogRhythm還為Netmon提供了“免費增值”版本，該版本提供了完整版本的所有功能，但是降低了帶寬和存儲容量。

　　5. Pwnie Express

　　學院派的技術人員會明白“PWNIE”的意思(“Pwnie Awards”獎被譽為全球黑客奧斯卡，是為有重大和突出研究成果的信息安全工作者設立的獎項)，PWNIE Express產品能夠發(fā)現(xiàn)并提供對連接到網絡的設備的可視性，無論這些設備是臺式電腦、筆記本電腦還是物聯(lián)網設備。該公司的Pwn Pulse產品提供了網絡設備的資產清單，并監(jiān)控它們的變化和增加。

　　與列表中的大多數(shù)其他產品一樣，Pwn Pulse產品采用無代理的方式實現(xiàn)網絡可視性，并主動掃描網絡中的設備及其行為。Pwnie Express公司表示，Pulse可以通過電纜、無線網絡和藍牙找到設備，并且可以對發(fā)現(xiàn)的每個設備進行全面標識，從而使安全專家能夠了解新的物聯(lián)網設備何時出現(xiàn)在網絡上，或者現(xiàn)有的物聯(lián)網設備顯現(xiàn)非典型或未經授權的行為。

　　6. Trustwave

　　Trustwave采用托管服務方式實現(xiàn)物聯(lián)網可視性。在建立安全方案之前，該服務使用非常活躍的技術來探測、攻擊和編目聯(lián)網設備，然后對配置進行定期的重新測試和重新定義。

　　Trustwave可以為物聯(lián)網制造商、開發(fā)商、服務提供商和企業(yè)客戶提供不同的服務。然而，在任何情況下，一個保持不變的關鍵概念是，Trustwave將向客戶提供托管安全服務，包括連接到物聯(lián)網網絡的設備的可見性。

　　7. Zingbox

　　2014年11月，鄒敘與兩位好友共同創(chuàng)辦了Zingbox，致力于開發(fā)物聯(lián)網領域的安全軟件。他們都不是年輕冒進的創(chuàng)業(yè)者，而都在硅谷科技行業(yè)摸爬滾打十多年，擁有核心的相關專利。聯(lián)合創(chuàng)始人王梅是斯坦福博士，在思科等公司擁有十多年物聯(lián)網相關研發(fā)經驗。而另一位創(chuàng)始成員曾健林和鄒敘一樣都來自于去年上市的無線控制器公司Aerohive，是Aerohive最初的第二個工程師。

　　Zingbox公司推出的“ZingBox Guardian”產品是目前市場上唯一一個基于“設備個性”這一全新概念的物聯(lián)網安全解決辦法的產品。它利用復雜的機器學習去發(fā)現(xiàn)、評估風險，判斷異常行為，并提供實時而全方位的企業(yè)物聯(lián)網矯正。目前ZingBox的技術正在申請專利，它可以深度抓取每個物聯(lián)網設備的“個性”，分析并串聯(lián)物聯(lián)網中的每個設備，并不斷地關注設備任何可能的行為偏差，并對可疑的行為作出預警。