日前,中國互聯網安全大會(ISC2015)在國家會議中心落幕。大會期間,物聯網安全再度成為眾多與會大咖關注和熱議的話題。針對物聯網設備安全的脆弱現狀,美國中佛羅里達大學電子工程與計算機系教授金意兒認為,需建立自動化的設備安全監測框架和工具鏈,以快速檢測任意物聯網設備,并生成有針對性的低成本解決方案。
圖說:金意兒在ISC全球互聯網安全精英峰會上演講。
“我們不想等到真正黑客攻擊你的設備讓你感到后悔,而是我們扮演著一個黑客,或者幫助某一個公司技術人員變成一個黑客,黑他們自己公司的設備,最終解決他們的安全問題,而不是等到這個問題被新聞媒體報道為止。”在ISC閉幕全球互聯網安全精英峰會上,金意兒帶來了題為《智能還是安全:物聯網安全與保護》的演講,并提出所有物聯網設備都應該為了安全而設計,而非為了設計而安全。
這一觀點的提出與時下物聯網飛速發展的背景緊密相連。ISC大會名譽主席、中國工程院院士鄔賀銓在大會開幕致辭中便提到,隨著物聯網時代的來臨,接入互聯網的設備也呈現爆發式增長,2015年全球連接到互聯網上的設備將達49億臺,而到2020年將超過 260 億臺。隨著互聯網+計劃的推進,傳統行業逐步數據化、在線化、移動化、遠程化;人、企業、社會服務甚至整個世界都與網絡深度綁定,將產生巨量連接和巨量數據。
鄔賀銓強調,當海量人、設備和服務連接到互聯網后,其存在的安全風險對于整個網絡空間的影響將是災難性的,由于網絡世界與現實物理世界深度融合,網絡世界的安全威脅也將更深地影響到現實世界。
而基于物聯網層面,薄弱的硬件設備安全現狀會對現實世界產生哪些影響?金意兒給出了答案,他將物聯網安全威脅劃分為4個層面——安全考量、隱私考量、人身安全考量和國家戰略安全考量。
具體而言,智能冰箱、電視能被遠程控制發送垃圾郵件,智能手環被遠程監控可能讓竊賊了解你的作息模式并伺機作祟……從早期的ThingBot威脅到個人隱私被竊取,類似的硬件漏洞已是屢見報端。更加令人心生憂慮的是,物聯網設備可能造成人身安全和國家戰略安全層面的威脅。
金意兒舉例稱,比如智能汽車被破解,攻擊者遠程可隨意操縱汽車,乘客安全無法保障;還有曝光尚少的醫療設備,“美國FDA(美國食品藥品監督管理局)不久前下架一款醫療注射產品,這是個很有趣的例子,因為黑客并沒有把這個漏洞報給醫療公司,而是報給了黑客大會,由黑客大會逐步傳到FDA耳朵里,再有FDA命令這款設備下降。這對公司是個很大的打擊,也從側面反映了這個公司沒有把安全作為很強的考慮。”
演講現場,金意兒還以電網實驗為例,展示了硬件安全對工控系統的重要影響。視頻顯示,實驗者遠程操控了發電機組的一些固件,結果整個發電機組被燒毀癱瘓。實驗報回給美國國土安全部之后,引起強烈反響,“因為大家第一次從實際活生生的例子看到,對于固件或者從網絡層面、軟件層面的攻擊是可以導致硬件的問題。”
金意兒表示,對特定智能設備的攻擊,使得工業級的危害成為可能。而未來,由于設備激增、設計周期短、缺乏有效的安全規范和準則等因素,物聯網設備面臨著缺乏有效安全保護的挑戰。解決之道則在于,廠商理解物聯網的安全隱患,并定義“設計準則”來消除、減弱這些安全隱患。
同時,金意兒提出,應當建立自動化的設備安全監測框架和工具鏈,以快速檢測任意物聯網設備,并自動生成有針對性的低成本解決方案,最終幫助設備實現“為了安全而設計”。
據悉,中國互聯網安全大會是由中國互聯網協會和360互聯網安全中心共同創辦于2013年,經過3年發展已經成長為亞太地區規模最大、最具影響的網絡安全行業盛會。主題為“數據驅動安全”的2015中國互聯網安全大會(ISC 2015)9月29日~30日在北京國家會議中心舉行,在為期兩天的會議中,來自中國、美國、以色列、澳大利亞、韓國、新加坡等國家的120位全球頂級安全專家,在中國互聯網安全領袖峰會、全球互聯網安全精英峰會和13個分論壇上圍繞110個議題分享最新的研究成果和行業洞見,深入交流全球信息安全最新發展趨勢,共同探討網絡安全行業未來。
京公網安備 11010502049343號