2018年9月28日,加州州長簽署了加州SB327法令,這是美國第一部授權物聯網(IoT)設備制造安全條款的法律(有一部類似的、但范圍更廣的聯邦法案叫做《物聯網2017年網絡安全改進法案》),由國土安全和政府事務委員會負責,我沒有看到該委員會最近有什么動向。
新的加州法律規定,連接設備必須具有合理的安全特性。這意味著物聯網設備制造商可能需要開始提供唯一的預編程設備密碼(而不是默認密碼),或者在首次授予設備訪問權限之前增加強制用戶進行身份驗證的功能。加州現有的法律已經迫使企業實施和維持與收集數據的性質相適應的合理的網絡安全程序,但新的法律專門適用于事務。我看到新法律的批評者指出,這些要求含糊不清,忽視了加密,也沒有解決助長這一問題的潛在不良做法。
但幾乎每個人都認同現在存在的問題。安全狀況不佳的物聯網設備的使用助長了Mirai僵尸網絡(Botnet 是指采用一種或多種傳播手段,將大量主機感染bot程序病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡)。在2016年破壞性的網絡攻擊,造成了無數其他網絡安全的噩夢。在過去的幾周里,據報道一個新的Hakai物聯網僵尸網絡正在發展成為一種迫在眉睫的威脅,甚至產生了兩個不同的基于Hakai的變種,這些惡意軟件正在網上傳播。這些小程序主要由被劫持的物聯網設備提供動力。加州這部將于2020年生效的法律是否會對遏制這一問題產生任何影響仍有待觀察,但它表明,信息安全部門以外的人現在也在關注事務的安全,以及生活在智能和互聯世界中的影響。
雖然像Mirai這樣的僵尸網絡很大程度上是由被征用的消費者物聯網設備驅動的,并被用于拒絕服務(DoS)網絡攻擊,但工業物聯網(IIoT)網絡威脅背后的動機可能對企業的利潤構成更大的威脅。我看到了IIoT支持的制造業的特殊弱點,例如,Industry4.0鼓勵了供應鏈中信息技術系統、設備和云資源的大規模整合。而現在,運營能力和知識產權都受到威脅。
最近的Vectra《2018年工業專題報告》指出,工業遭受了大量的惡意內部網絡活動、橫向移動和偵察活動(盡管他們是一家網絡安全公司);Deloitte在最近的一篇文章中也談到了這些漏洞。這表明攻擊者已經滲透到這些網絡中,正在窺探關鍵資產或試圖破壞基礎設施。攻擊者可以利用持有者不小心部署下的不安全的IIoT設備和薄弱(或不存在)內部網絡控制,輕松進入這些網絡。
廣泛執行更好的設備安全最佳做法的法律可能是解決這一問題的一種辦法,但援助也可能來自更具創新性的方面。區塊鏈技術作為一個分布式數據庫,以加密和不變的方式記錄在系統中移動的每一個數據塊,它可能為我們連接的設備指明一個更安全的未來。區塊鏈很難被欺騙。從理論上講,它的對等結構、去中心化結構和對共識的依賴使其更難破解。根據我的觀察,基本上沒有中央控制可以進入,也沒有驗證者來愚弄。例如,攻擊者可能會以數字方式強行進入一家公司的一個安全性較差的IIoT路由器。但是,試圖使用該入口點操作或與網絡中的其他節點進行交互的嘗試可能會在區塊鏈模型中受到阻礙。在這種情況下,被攻擊路由器的哈希活動記錄將不再與網絡中的其他活動相匹配,并且無法實現一致驗證。
目前正在進行許多規模較小的初步研究,包括對物聯網安全問題進行一次2018年的審查(需要注冊),以及對智能家居的區塊鏈安全進行2017年的案例研究(需要注冊),并且已經成立了聯盟,試圖將區塊鏈安全應用于物聯網和IIoT網絡。但可行性分析的狀況不太樂觀。希望進一步深入研究環境的科技領袖和創新者最好能探索Hyperledger或以太坊社區,以了解新出現的能力和概念證明。
區塊鏈仍然是一項相對較年輕的技術,目前它在規模和速度上面臨著限制,這在現代IIoT的部署中是必不可少的,但它的模式顯示出了希望。我相信,無論是誰發現了解決這些限制的辦法,都會賺到一大筆錢,并得到一百萬IT經理的感激。而遵循類似邏輯的解決方案值得我們考慮。從傳統的客戶端-服務器模式轉向新興技術的想法可能是未來的唯一選擇。同時,我認為減輕安全問題的最好方法是實際實施網絡安全(就像美國計算機應急準備計劃所概述的那樣),定期進行審計、管理和監控訪問、利用分層防御等等。實際上,我們中很少有人這樣做,攻擊者也知道這一點。
有一件事是肯定的:我們現在做事情的方式太冒險了。無論立法者在設備安全方面做了什么或不做什么,物聯網工業都必須加強應對這一威脅。