1月18日消息�����,據《連線》雜志報道��,物聯(lián)網即將到來���,但許多IT高管都在擔心隱藏其中的網絡安全問題�;蛘吒鼫蚀_地說,他們已經選擇聽天由命�����。5月份對553名IT決策者的研究中,78%的人表示�����,他們認為自己所在公司很可能會遭受物聯(lián)網設備數據丟失或盜竊事故����。約72%的人表示,物聯(lián)網的發(fā)展速度使其難以跟上不斷變化的安全要求����。
這種擔憂源于現實。去年10月份����,黑客利用物聯(lián)網設備的大約10萬個“惡意端點”,攻擊了控制大部分互聯(lián)網域名系統(tǒng)基礎設施的公司�。最近,惡意軟件WannaCry攻擊使許多銀行的ATM網絡癱瘓�����。對于物聯(lián)網反對者來說���,這些攻擊證實了他們的恐懼���,即黑客可以通過劫持我們的物聯(lián)網設備來制造混亂����。
與此同時���,物聯(lián)網產業(yè)繼續(xù)穩(wěn)步增長。市場研究公司Gartner預測���,到2020年�����,將有大約210億部物聯(lián)網設備存在����,而2015年時僅為50億部�����。其中大約80億部將是工業(yè)產品�����,而不是消費類設備。這兩類設備都為黑客提供了誘人的攻擊目標��。
DXC的首席技術官和網絡安全副總裁克里斯・莫耶爾(Chris Moyer)說:“這個行業(yè)沒有放棄物聯(lián)網的原因是它的價值非常高��,但其風險也同樣高����,這就是平衡的所在���!辈还苄袠I(yè)的胃口如何��,在行業(yè)解決安全問題之前����,物聯(lián)網的規(guī)模不大可能擴大���。這將需要供應商之間的合作��,政府的干預和標準化�。在2017年�,這些事情似乎都沒有解決的眉目。
物聯(lián)網有什么安全問題?
現在的共識是���,物聯(lián)網仍未得到充分保護���,并可能帶來災難性的安全風險,因為企業(yè)相信物聯(lián)網設備可用于業(yè)務��、運營和安全決策��,F有的標準并不到位����,供應商始終在努力將恰當的智能和管理水平嵌入產品中�����。隨著攻擊者之間的協(xié)作日益緊密���,需要在多個維度上解決這些挑戰(zhàn)���。下面就是物聯(lián)網設備所需要面對的安全挑戰(zhàn):
1)與個人電腦或智能手機不同,物聯(lián)網設備通常缺乏處理能力和內存��。這意味著,它們缺乏強有力的安全解決方案和加密協(xié)議���,而這些往往可以保護它們免受攻擊威脅��。
2)因為這些設備連接到互聯(lián)網�����,它們每天都會遇到威脅��。而物聯(lián)網設備的搜索引擎也為黑客提供了進入網絡攝像頭�����、路由器和安全系統(tǒng)的機會�。
3)在許多聯(lián)網設備的設計或開發(fā)階段����,安全性從未被考慮過。
4)不只是物聯(lián)網設備本身缺乏安全能力����,許多連接它們的網絡和協(xié)議也沒有強大的端到端加密機制。
5)許多物聯(lián)網設備需要人工干預才能升級��,而其他設備根本無法升級。莫耶爾說:“這些設備中有些是非常迅速地建立起來的���,它們的設計思維還局限于首次迭代之中���,而且有些甚至是不可升級的����!
6)物聯(lián)網設備是個“薄弱環(huán)節(jié)”,允許黑客滲透到IT系統(tǒng)中��。如果設備連接到整個網絡��,這一點尤其令人擔憂�。
7)許多物聯(lián)網設備都有默認密碼��,黑客可以在網上查到����。鑒于這個事實,Mirai分布式拒絕服務攻擊是可能的�。
8)這些設備可能留有“后門”,同樣為黑客提供機會��。
9)物聯(lián)網設備的安全成本可能會抵消其財務價值。物聯(lián)網安全專家博・伍茲(Beau Woods)表示:“當你有個2美分的組件���,而你需要在它身上花費1美元維護安全時��,你就破壞了商業(yè)模式����������!
10)這些設備也會產生大量的數據�。DXC的技術項目主管基里安・麥考利(Kieran McCorry)說:“你不僅僅需要應對210億部互聯(lián)網設備���,還要應對由它們生成的龐大數據�����。這些數據幾乎是數量級的��,而且遠遠超過了這些設備所產生的數量�。這是一個巨大的數據處理問題������!
考慮到這些缺陷���,企業(yè)可以通過遵守物聯(lián)網安全最佳實踐,這在某種程度上可以保護它們����。但是,如果合規(guī)不是100%(這是不可能的)�,那么就不可避免地會發(fā)生攻擊,導致行業(yè)對物聯(lián)網失去信心���。這就是安全標準勢在必行的原因����。
誰來制定安全標準����?
各種政府機構已經對許多物聯(lián)網設備進行了監(jiān)管�����。舉例來說,美國聯(lián)邦航空管理局(FAA)監(jiān)管無人機���,美國國家公路交通安全管理局(NHTSA)監(jiān)管無人駕駛車輛�。美國國土安全部正積極參與基于物聯(lián)網的智能城市計劃���,而FDA也在對物聯(lián)網醫(yī)療設備進行監(jiān)督���。
但在目前,還沒有任何政府機構負責監(jiān)管智能工廠或智能家居領域使用的物聯(lián)網設備���。2015年���,聯(lián)邦貿易委員會(FTC)發(fā)布了一份關于物聯(lián)網的報告,其中包括關于最佳實踐的建議��。在2017年初�����,FTC還向公眾發(fā)布挑戰(zhàn)賽��,即創(chuàng)建“修復物聯(lián)網設備中過時軟件引發(fā)的安全漏洞的工具”�,并為獲勝者提供2.5萬美元的獎金��。
莫耶爾表示����,雖然政府將對物聯(lián)網的某些方面進行監(jiān)管���,但他認為只有行業(yè)才能創(chuàng)造出自己的標準�����。他設想了制定這種標準的兩種途徑:第一���,買家推出標準,并拒絕購買不支持這個標準的產品�;第二,一兩個主要參與者利用其市場主導地位設定一個事實上的標準�����。莫耶爾說:“我不認為后一種情況會發(fā)生�����,目前還沒有這樣的主導參與者存在�。”
這個行業(yè)現在有好幾個標準����,而不是一個或兩個標準,而且似乎沒有哪個標準正逐漸取得主導地位���。這些標準包括基于供應商的標準��,以及物聯(lián)網安全基金會���、IEEE、可Trusted Computing Group��、物聯(lián)網世界聯(lián)盟以及工業(yè)互聯(lián)網協(xié)會安全工作組提出的標準��。所有這些機構都在研究打造安全物聯(lián)網環(huán)境的標準����、協(xié)議和最佳實踐。
莫耶爾說���,最終改變市場的將是買家���,他們將開始要求標準��。他解釋稱:“標準的制定有很多原因�,有些是監(jiān)管所需����,但很多是因為買家認為這對他們很重要�!
由于缺乏標準,伍茲看到了幾條改善物聯(lián)網安全的途徑:一個是商業(yè)模式的透明度���。伍茲說:“如果你購買了1000輛汽車�����,你就可以進行‘空中更新’�,而其他汽車則需要手動更新��,那可能需要7個月的時間�����。這是不同的風險計算��������!
另一種解決方案是要求制造商為他們的設備承擔責任����。伍茲表示�����,目前硬件設備的情況是這樣的���,但不清楚誰會為軟件故障承擔責任����。
AI充當救星��?
在這種情況下��,一個未知因素是人工智能(AI)���。支持者認為�����,機器學習可以發(fā)現一般的使用模式����,并在出現異常時提醒系統(tǒng)。例如���,Bitdefender查看來自所有端點的云服務器數據���,并使用機器學習來識別異常或惡意行為�。就像信用卡系統(tǒng)可能會將在國外炫耀1000美元的行為標注為可疑那樣,機器學習系統(tǒng)可能會通過傳感器或智能設備識別不同尋常的行為����。由于物聯(lián)網設備在功能上是有限的,所以發(fā)現這些異常是相對容易的����。由于使用機器學習的安全性仍然是新的,這種方法的擁護者提倡使用包括人工干預的安全系統(tǒng)����。
真正的解決辦法:把一切都結合起來
雖然AI在保護物聯(lián)網安全方面的作用可能比最初設想的要大�,但綜合物聯(lián)網解決方案將包括所有這些東西���,如政府監(jiān)管����、標準和AI�����。雖然這個行業(yè)有能力創(chuàng)造出這樣的解決方案�,但問題是它需要以非��?斓乃俣韧瓿����。目前,在物聯(lián)網安全與物聯(lián)網普及的競爭中���,后者正在勝出����。
那么����,公司現在能做些什么呢����?莫耶爾對此有些建議:
1)采取集成的方法�����。這是個越多越好的方案���,莫耶爾表示���,使用物聯(lián)網的公司應該集成管理解決方案,將物聯(lián)網平臺引入到主要的連接和數據移動中���,并將這些數據導入到更復雜的分析環(huán)境中�,對它們進行自動化行為分析�。他說:“通過整合這些組件,你可以更有信心地相信���,在物聯(lián)網環(huán)境中所得到的信息在統(tǒng)計上是有效的���������!
2)選擇正確的物聯(lián)網設備。這些設備擁有超強的生態(tài)系統(tǒng)和一系列的合作伙伴��,它們公開分享信息�����。
3)使用物聯(lián)網網關和邊緣設備�����。為了加強整體安全性����,許多公司使用物聯(lián)網網關和邊緣設備來隔離不安全設備和互聯(lián)網�,并在它們之間提供保護層。
4)參與制定標準��。在宏觀層面上��,你能做的最好事情就是確保長期運行的物聯(lián)網安全�,這涉及到在你的特定行業(yè)和整個科技行業(yè)制定標準�����。
