盡管物聯網帶來了新的數據收集、管理和應用的途徑，但是也帶來了大量的網絡安全攻擊。其中的一大隱患就在于TCP/IP架構中，包括了應用層、傳輸層、網絡層和物理層。

　　其實從各種角度來看，TCP/IP架構本來就不是為物聯網而設計的。雖然說工程師和開發者們都在努力試圖修改或者為TCP/IP架構增加擴展，但是環境本身的復雜性，外加TCP/IP架構設計之初就沒有考慮到安全性的原因，這一過程帶來了許多安全層面的挑戰——其中不乏有現實層面的問題。

　　從最基礎的層面來看，TCP/IP架構使得物聯網設備能夠和網路以及其他設備進行通信。這些架構都是開源的，而被大部分嵌入式設備以及物聯網組件的廠商免費試用。

　　Chan補充道：“物聯網設備廠商會購買已經內置好TCP/IP架構代碼的芯片和組件，再用這些元件建造物聯網產品。”

　　然而可惜的是，許多的物聯網設備廠商并不知道他們的設備是否有隱患，因為他們對芯片和組件中使用的架構沒有絲毫可視能力。另外，分析每一個設備，然后找出程序錯誤或者TCP/IP結構中的其他問題，顯然不可行。

　　這導致的結果，就是所有設備都容易遭到攻擊，產生信息泄露;會發生設備故障、數據丟失或者損壞，最終對品牌產生損害。同樣的，這也會對網絡安全成本造成上升。

　　Forescout的研究經理，DaniledosSantos，認為：“TCP/IP結構的脆弱性管理正在對安全社群而言，成為一個真正的挑戰。”

　　究竟有哪些威脅？

　　就在去年，URGENT/11和RIPPLE20等一系列漏洞造成了極大影響。而今年，AMNESIA:33等33個其他漏洞影響了四個常用的開源TCP/IP架構——uIP、FNET、picoTCP、以及Nut/Net。這四個架構是包括醫療設備、工控系統、路由器、交換機、智能家居在內的百萬物聯網設備、工業設備、網絡設備的基礎組件。攻擊者可以利用這些漏洞進行遠程代碼執習、DoS攻擊，甚至強行占用設備。根據Forescout上個月的報告，超過150個廠商的設備帶有風險。

　　這些漏洞可能存在于商業組件或者開源組件中。嵌入組件包括芯片級系統、連接組件、OEM主板等;物聯網設備包括智能插件、智能手機、傳感器、游戲手柄等;OT系統包括門禁、IP攝像頭、協議網關、HVAC等;網絡和IT設備則包括打印機、路由器、服務器等。

　　dosSantos指出，AMNESIA:33之所以影響巨大，不僅因為大量存在該漏洞的設備，還有其他幾個原因。其中一個原因，是硬件中對開源組件的廣泛以及嚴重的依賴性。這些結構中的代碼幾乎和每個與設備進行交互的數據包都有接觸，從而使得這些漏洞能對空閑的設備產生影響。由于源代碼在88%的嵌入式項目中都會被重用，這會使得AMNESIA:33這類漏洞造成的影響數倍擴大。

　　Forescout的報告中提到，攻擊者可以通過遠程代碼執行控制目標設備，然后DoS攻擊影響其性能，最終損害業務。攻擊者還能通過信息泄露的漏洞獲取敏感信息，用DNS中毒的方式將目標設備導向惡意網站。

　　根據報告：“由于漏洞的廣泛影響特性，全球許多組織可能都已經被AMNESIA:33所影響。”

　　組織如何能夠解決TCP/IP結構中的漏洞？

　　專家指出，解決TCP/IP架構中的隱患可以分為三個基礎步驟：識別網絡上所有的設備并意識到哪些是有隱患的、評估這些設備帶來的風險——包括業務關聯性、嚴重性、以及互聯網暴露程度、最后緩解評估到的風險。

　　dosSantos補充認為：“最后一點可以由多種方式達成：比如補丁修復、對網絡進行劃分并隔離關鍵設備、加強安全合規、以及監測網絡中的惡意流量。”

　　而專門針對AMNESIA:33，他建議禁止并阻斷IPv6流量，并在任何可能的時候依靠內部DNS服務器進行交互;因為在架構中的數個協議都受到了多個漏洞的影響。

　　同樣，企業也可以依靠網絡安全解決方案，自動化優化最佳實踐。這包括了采取一些更主動的方式，比如對關鍵設備進行隔離——無論這些設備是否存在漏洞，從而減少風險暴露面以及限制攻擊造成的影響。

　　另一方面，安全團隊能回答問以下一些關鍵問題：代碼是否正規？這些代碼的貢獻者是誰，是否還有人在維護這些代碼？開源代碼庫確實簡化了編程過程，但是這依然需要開發者了解代碼庫里存在什么——畢竟現在太多時候，開發者會在不了解代碼內容的情況下輕易連入一個代碼庫。

　　對了，AMNESIA:33以及其他和TCP/IP相關的物聯網漏洞暫時看來不大可能消失。

　　Chan表示：“大部分在AMNESIA:33中的漏洞是由糟糕的軟件開發流程和管理行為導致的。升級軟件可以解決一部分問題，但關鍵是要知道哪些設備存在受影響的架構。物聯網設備廠商從供應商處購買芯片和組件，但他們本身卻不知道其中到底有哪些軟件。”