1月18日消息��,據(jù)《連線》雜志報道�����,物聯(lián)網(wǎng)即將到來��,但許多IT高管都在擔(dān)心隱藏其中的網(wǎng)絡(luò)安全問題������;蛘吒鼫(zhǔn)確地說,他們已經(jīng)選擇聽天由命����。5月份對553名IT決策者的研究中,78%的人表示�����,他們認為自己所在公司很可能會遭受物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)丟失或盜竊事故��。約72%的人表示�����,物聯(lián)網(wǎng)的發(fā)展速度使其難以跟上不斷變化的安全要求���。
這種擔(dān)憂源于現(xiàn)實�����。去年10月份��,黑客利用物聯(lián)網(wǎng)設(shè)備的大約10萬個“惡意端點”���,攻擊了控制大部分互聯(lián)網(wǎng)域名系統(tǒng)基礎(chǔ)設(shè)施的公司���。最近,惡意軟件WannaCry攻擊使許多銀行的ATM網(wǎng)絡(luò)癱瘓�����。對于物聯(lián)網(wǎng)反對者來說�,這些攻擊證實了他們的恐懼,即黑客可以通過劫持我們的物聯(lián)網(wǎng)設(shè)備來制造混亂�����。
與此同時����,物聯(lián)網(wǎng)產(chǎn)業(yè)繼續(xù)穩(wěn)步增長。市場研究公司Gartner預(yù)測�����,到2020年�����,將有大約210億部物聯(lián)網(wǎng)設(shè)備存在�����,而2015年時僅為50億部����。其中大約80億部將是工業(yè)產(chǎn)品,而不是消費類設(shè)備���。這兩類設(shè)備都為黑客提供了誘人的攻擊目標(biāo)��。
DXC的首席技術(shù)官和網(wǎng)絡(luò)安全副總裁克里斯・莫耶爾(Chris Moyer)說:“這個行業(yè)沒有放棄物聯(lián)網(wǎng)的原因是它的價值非常高��,但其風(fēng)險也同樣高�,這就是平衡的所在��������!辈还苄袠I(yè)的胃口如何�����,在行業(yè)解決安全問題之前���,物聯(lián)網(wǎng)的規(guī)模不大可能擴大����。這將需要供應(yīng)商之間的合作����,政府的干預(yù)和標(biāo)準(zhǔn)化。在2017年����,這些事情似乎都沒有解決的眉目。
物聯(lián)網(wǎng)有什么安全問題���?
現(xiàn)在的共識是��,物聯(lián)網(wǎng)仍未得到充分保護�����,并可能帶來災(zāi)難性的安全風(fēng)險����,因為企業(yè)相信物聯(lián)網(wǎng)設(shè)備可用于業(yè)務(wù)���、運營和安全決策�,F(xiàn)有的標(biāo)準(zhǔn)并不到位��,供應(yīng)商始終在努力將恰當(dāng)?shù)闹悄芎凸芾硭角度氘a(chǎn)品中���。隨著攻擊者之間的協(xié)作日益緊密�,需要在多個維度上解決這些挑戰(zhàn)����。下面就是物聯(lián)網(wǎng)設(shè)備所需要面對的安全挑戰(zhàn):
1)與個人電腦或智能手機不同,物聯(lián)網(wǎng)設(shè)備通常缺乏處理能力和內(nèi)存��。這意味著���,它們?nèi)狈娪辛Φ陌踩鉀Q方案和加密協(xié)議�,而這些往往可以保護它們免受攻擊威脅����。
2)因為這些設(shè)備連接到互聯(lián)網(wǎng),它們每天都會遇到威脅����。而物聯(lián)網(wǎng)設(shè)備的搜索引擎也為黑客提供了進入網(wǎng)絡(luò)攝像頭�、路由器和安全系統(tǒng)的機會��。
3)在許多聯(lián)網(wǎng)設(shè)備的設(shè)計或開發(fā)階段���,安全性從未被考慮過��。
4)不只是物聯(lián)網(wǎng)設(shè)備本身缺乏安全能力�����,許多連接它們的網(wǎng)絡(luò)和協(xié)議也沒有強大的端到端加密機制�。
5)許多物聯(lián)網(wǎng)設(shè)備需要人工干預(yù)才能升級����,而其他設(shè)備根本無法升級。莫耶爾說:“這些設(shè)備中有些是非常迅速地建立起來的���,它們的設(shè)計思維還局限于首次迭代之中��,而且有些甚至是不可升級的����。”
6)物聯(lián)網(wǎng)設(shè)備是個“薄弱環(huán)節(jié)”���,允許黑客滲透到IT系統(tǒng)中。如果設(shè)備連接到整個網(wǎng)絡(luò)��,這一點尤其令人擔(dān)憂�����。
7)許多物聯(lián)網(wǎng)設(shè)備都有默認密碼�,黑客可以在網(wǎng)上查到。鑒于這個事實�����,Mirai分布式拒絕服務(wù)攻擊是可能的���。
8)這些設(shè)備可能留有“后門”���,同樣為黑客提供機會。
9)物聯(lián)網(wǎng)設(shè)備的安全成本可能會抵消其財務(wù)價值�。物聯(lián)網(wǎng)安全專家博・伍茲(Beau Woods)表示:“當(dāng)你有個2美分的組件,而你需要在它身上花費1美元維護安全時,你就破壞了商業(yè)模式�。”
10)這些設(shè)備也會產(chǎn)生大量的數(shù)據(jù)���。DXC的技術(shù)項目主管基里安・麥考利(Kieran McCorry)說:“你不僅僅需要應(yīng)對210億部互聯(lián)網(wǎng)設(shè)備�,還要應(yīng)對由它們生成的龐大數(shù)據(jù)���。這些數(shù)據(jù)幾乎是數(shù)量級的��,而且遠遠超過了這些設(shè)備所產(chǎn)生的數(shù)量�����。這是一個巨大的數(shù)據(jù)處理問題���������!
考慮到這些缺陷��,企業(yè)可以通過遵守物聯(lián)網(wǎng)安全最佳實踐���,這在某種程度上可以保護它們�。但是,如果合規(guī)不是100%(這是不可能的)�,那么就不可避免地會發(fā)生攻擊,導(dǎo)致行業(yè)對物聯(lián)網(wǎng)失去信心���。這就是安全標(biāo)準(zhǔn)勢在必行的原因。
誰來制定安全標(biāo)準(zhǔn)����?
各種政府機構(gòu)已經(jīng)對許多物聯(lián)網(wǎng)設(shè)備進行了監(jiān)管。舉例來說��,美國聯(lián)邦航空管理局(FAA)監(jiān)管無人機���,美國國家公路交通安全管理局(NHTSA)監(jiān)管無人駕駛車輛���。美國國土安全部正積極參與基于物聯(lián)網(wǎng)的智能城市計劃,而FDA也在對物聯(lián)網(wǎng)醫(yī)療設(shè)備進行監(jiān)督��。
但在目前�����,還沒有任何政府機構(gòu)負責(zé)監(jiān)管智能工廠或智能家居領(lǐng)域使用的物聯(lián)網(wǎng)設(shè)備。2015年�����,聯(lián)邦貿(mào)易委員會(FTC)發(fā)布了一份關(guān)于物聯(lián)網(wǎng)的報告���,其中包括關(guān)于最佳實踐的建議�。在2017年初�,F(xiàn)TC還向公眾發(fā)布挑戰(zhàn)賽,即創(chuàng)建“修復(fù)物聯(lián)網(wǎng)設(shè)備中過時軟件引發(fā)的安全漏洞的工具”�����,并為獲勝者提供2.5萬美元的獎金����。
莫耶爾表示,雖然政府將對物聯(lián)網(wǎng)的某些方面進行監(jiān)管�,但他認為只有行業(yè)才能創(chuàng)造出自己的標(biāo)準(zhǔn)。他設(shè)想了制定這種標(biāo)準(zhǔn)的兩種途徑:第一����,買家推出標(biāo)準(zhǔn),并拒絕購買不支持這個標(biāo)準(zhǔn)的產(chǎn)品�;第二��,一兩個主要參與者利用其市場主導(dǎo)地位設(shè)定一個事實上的標(biāo)準(zhǔn)�����。莫耶爾說:“我不認為后一種情況會發(fā)生��,目前還沒有這樣的主導(dǎo)參與者存在���。”
這個行業(yè)現(xiàn)在有好幾個標(biāo)準(zhǔn)��,而不是一個或兩個標(biāo)準(zhǔn)��,而且似乎沒有哪個標(biāo)準(zhǔn)正逐漸取得主導(dǎo)地位�����。這些標(biāo)準(zhǔn)包括基于供應(yīng)商的標(biāo)準(zhǔn)�,以及物聯(lián)網(wǎng)安全基金會�、IEEE、可Trusted Computing Group��、物聯(lián)網(wǎng)世界聯(lián)盟以及工業(yè)互聯(lián)網(wǎng)協(xié)會安全工作組提出的標(biāo)準(zhǔn)�。所有這些機構(gòu)都在研究打造安全物聯(lián)網(wǎng)環(huán)境的標(biāo)準(zhǔn)����、協(xié)議和最佳實踐���。
莫耶爾說�,最終改變市場的將是買家���,他們將開始要求標(biāo)準(zhǔn)�。他解釋稱:“標(biāo)準(zhǔn)的制定有很多原因��,有些是監(jiān)管所需���,但很多是因為買家認為這對他們很重要�����!
由于缺乏標(biāo)準(zhǔn),伍茲看到了幾條改善物聯(lián)網(wǎng)安全的途徑:一個是商業(yè)模式的透明度�。伍茲說:“如果你購買了1000輛汽車,你就可以進行‘空中更新’�,而其他汽車則需要手動更新,那可能需要7個月的時間��。這是不同的風(fēng)險計算�����!
另一種解決方案是要求制造商為他們的設(shè)備承擔(dān)責(zé)任���。伍茲表示���,目前硬件設(shè)備的情況是這樣的,但不清楚誰會為軟件故障承擔(dān)責(zé)任���。
AI充當(dāng)救星�����?
在這種情況下,一個未知因素是人工智能(AI)��。支持者認為�,機器學(xué)習(xí)可以發(fā)現(xiàn)一般的使用模式,并在出現(xiàn)異常時提醒系統(tǒng)���。例如����,Bitdefender查看來自所有端點的云服務(wù)器數(shù)據(jù),并使用機器學(xué)習(xí)來識別異���;驉阂庑袨�����。就像信用卡系統(tǒng)可能會將在國外炫耀1000美元的行為標(biāo)注為可疑那樣��,機器學(xué)習(xí)系統(tǒng)可能會通過傳感器或智能設(shè)備識別不同尋常的行為�。由于物聯(lián)網(wǎng)設(shè)備在功能上是有限的���,所以發(fā)現(xiàn)這些異常是相對容易的�����。由于使用機器學(xué)習(xí)的安全性仍然是新的�,這種方法的擁護者提倡使用包括人工干預(yù)的安全系統(tǒng)����。
真正的解決辦法:把一切都結(jié)合起來
雖然AI在保護物聯(lián)網(wǎng)安全方面的作用可能比最初設(shè)想的要大,但綜合物聯(lián)網(wǎng)解決方案將包括所有這些東西,如政府監(jiān)管����、標(biāo)準(zhǔn)和AI。雖然這個行業(yè)有能力創(chuàng)造出這樣的解決方案����,但問題是它需要以非常快的速度完成����。目前,在物聯(lián)網(wǎng)安全與物聯(lián)網(wǎng)普及的競爭中�����,后者正在勝出����。
那么,公司現(xiàn)在能做些什么呢��?莫耶爾對此有些建議:
1)采取集成的方法�����。這是個越多越好的方案��,莫耶爾表示���,使用物聯(lián)網(wǎng)的公司應(yīng)該集成管理解決方案��,將物聯(lián)網(wǎng)平臺引入到主要的連接和數(shù)據(jù)移動中����,并將這些數(shù)據(jù)導(dǎo)入到更復(fù)雜的分析環(huán)境中�����,對它們進行自動化行為分析�����。他說:“通過整合這些組件��,你可以更有信心地相信����,在物聯(lián)網(wǎng)環(huán)境中所得到的信息在統(tǒng)計上是有效的����!
2)選擇正確的物聯(lián)網(wǎng)設(shè)備�����。這些設(shè)備擁有超強的生態(tài)系統(tǒng)和一系列的合作伙伴�����,它們公開分享信息����。
3)使用物聯(lián)網(wǎng)網(wǎng)關(guān)和邊緣設(shè)備��。為了加強整體安全性�,許多公司使用物聯(lián)網(wǎng)網(wǎng)關(guān)和邊緣設(shè)備來隔離不安全設(shè)備和互聯(lián)網(wǎng),并在它們之間提供保護層����。
4)參與制定標(biāo)準(zhǔn)。在宏觀層面上���,你能做的最好事情就是確保長期運行的物聯(lián)網(wǎng)安全�����,這涉及到在你的特定行業(yè)和整個科技行業(yè)制定標(biāo)準(zhǔn)�。
