據《連線》雜志報道,物聯網即將到來,但許多IT高管都在擔心隱藏其中的網絡安全問題。或者更準確地說,他們已經選擇聽天由命。5月份對553名IT決策者的研究中,78%的人表示,他們認為自己所在公司很可能會遭受物聯網設備數據丟失或盜竊事故。約72%的人表示,物聯網的發展速度使其難以跟上不斷變化的安全要求。
這種擔憂源于現實。去年10月份,黑客利用物聯網設備的大約10萬個“惡意端點”,攻擊了控制大部分互聯網域名系統基礎設施的公司。最近,惡意軟件WannaCry攻擊使許多銀行的ATM網絡癱瘓。對于物聯網反對者來說,這些攻擊證實了他們的恐懼,即黑客可以通過劫持我們的物聯網設備來制造混亂。
與此同時,物聯網產業繼續穩步增長。市場研究公司Gartner預測,到2020年,將有大約210億部物聯網設備存在,而2015年時僅為50億部。其中大約80億部將是工業產品,而不是消費類設備。這兩類設備都為黑客提供了誘人的攻擊目標。
DXC的首席技術官和網絡安全副總裁克里斯·莫耶爾(Chris Moyer)說:“這個行業沒有放棄物聯網的原因是它的價值非常高,但其風險也同樣高,這就是平衡的所在。”不管行業的胃口如何,在行業解決安全問題之前,物聯網的規模不大可能擴大。這將需要供應商之間的合作,政府的干預和標準化。在2017年,這些事情似乎都沒有解決的眉目。
物聯網有什么安全問題?
現在的共識是,物聯網仍未得到充分保護,并可能帶來災難性的安全風險,因為企業相信物聯網設備可用于業務、運營和安全決策。現有的標準并不到位,供應商始終在努力將恰當的智能和管理水平嵌入產品中。隨著攻擊者之間的協作日益緊密,需要在多個維度上解決這些挑戰。下面就是物聯網設備所需要面對的安全挑戰:
1)與個人電腦或智能手機不同,物聯網設備通常缺乏處理能力和內存。這意味著,它們缺乏強有力的安全解決方案和加密協議,而這些往往可以保護它們免受攻擊威脅。
2)因為這些設備連接到互聯網,它們每天都會遇到威脅。而物聯網設備的搜索引擎也為黑客提供了進入網絡攝像頭、路由器和安全系統的機會。
3)在許多聯網設備的設計或開發階段,安全性從未被考慮過。
4)不只是物聯網設備本身缺乏安全能力,許多連接它們的網絡和協議也沒有強大的端到端加密機制。
5)許多物聯網設備需要人工干預才能升級,而其他設備根本無法升級。莫耶爾說:“這些設備中有些是非常迅速地建立起來的,它們的設計思維還局限于首次迭代之中,而且有些甚至是不可升級的。”
6)物聯網設備是個“薄弱環節”,允許黑客滲透到IT系統中。如果設備連接到整個網絡,這一點尤其令人擔憂。
7)許多物聯網設備都有默認密碼,黑客可以在網上查到。鑒于這個事實,Mirai分布式拒絕服務攻擊是可能的。
8)這些設備可能留有“后門”,同樣為黑客提供機會。
9)物聯網設備的安全成本可能會抵消其財務價值。物聯網安全專家博·伍茲(Beau Woods)表示:“當你有個2美分的組件,而你需要在它身上花費1美元維護安全時,你就破壞了商業模式。”
10)這些設備也會產生大量的數據。DXC的技術項目主管基里安·麥考利(Kieran McCorry)說:“你不僅僅需要應對210億部互聯網設備,還要應對由它們生成的龐大數據。這些數據幾乎是數量級的,而且遠遠超過了這些設備所產生的數量。這是一個巨大的數據處理問題。”
考慮到這些缺陷,企業可以通過遵守物聯網安全最佳實踐,這在某種程度上可以保護它們。但是,如果合規不是100%(這是不可能的),那么就不可避免地會發生攻擊,導致行業對物聯網失去信心。這就是安全標準勢在必行的原因。
誰來制定安全標準?
各種政府機構已經對許多物聯網設備進行了監管。舉例來說,美國聯邦航空管理局(FAA)監管無人機,美國國家公路交通安全管理局(NHTSA)監管無人駕駛車輛。美國國土安全部正積極參與基于物聯網的智能城市計劃,而FDA也在對物聯網醫療設備進行監督。
但在目前,還沒有任何政府機構負責監管智能工廠或智能家居領域使用的物聯網設備。2015年,聯邦貿易委員會(FTC)發布了一份關于物聯網的報告,其中包括關于最佳實踐的建議。在2017年初,FTC還向公眾發布挑戰賽,即創建“修復物聯網設備中過時軟件引發的安全漏洞的工具”,并為獲勝者提供2.5萬美元的獎金。
莫耶爾表示,雖然政府將對物聯網的某些方面進行監管,但他認為只有行業才能創造出自己的標準。他設想了制定這種標準的兩種途徑:第一,買家推出標準,并拒絕購買不支持這個標準的產品;第二,一兩個主要參與者利用其市場主導地位設定一個事實上的標準。莫耶爾說:“我不認為后一種情況會發生,目前還沒有這樣的主導參與者存在。”
這個行業現在有好幾個標準,而不是一個或兩個標準,而且似乎沒有哪個標準正逐漸取得主導地位。這些標準包括基于供應商的標準,以及物聯網安全基金會、IEEE、可Trusted Computing Group、物聯網世界聯盟以及工業互聯網協會安全工作組提出的標準。所有這些機構都在研究打造安全物聯網環境的標準、協議和最佳實踐。
莫耶爾說,最終改變市場的將是買家,他們將開始要求標準。他解釋稱:“標準的制定有很多原因,有些是監管所需,但很多是因為買家認為這對他們很重要。”
由于缺乏標準,伍茲看到了幾條改善物聯網安全的途徑:一個是商業模式的透明度。伍茲說:“如果你購買了1000輛汽車,你就可以進行‘空中更新’,而其他汽車則需要手動更新,那可能需要7個月的時間。這是不同的風險計算。”
另一種解決方案是要求制造商為他們的設備承擔責任。伍茲表示,目前硬件設備的情況是這樣的,但不清楚誰會為軟件故障承擔責任。
AI充當救星?
在這種情況下,一個未知因素是人工智能(AI)。支持者認為,機器學習可以發現一般的使用模式,并在出現異常時提醒系統。例如,Bitdefender查看來自所有端點的云服務器數據,并使用機器學習來識別異常或惡意行為。就像信用卡系統可能會將在國外炫耀1000美元的行為標注為可疑那樣,機器學習系統可能會通過傳感器或智能設備識別不同尋常的行為。由于物聯網設備在功能上是有限的,所以發現這些異常是相對容易的。由于使用機器學習的安全性仍然是新的,這種方法的擁護者提倡使用包括人工干預的安全系統。
真正的解決辦法:把一切都結合起來
雖然AI在保護物聯網安全方面的作用可能比最初設想的要大,但綜合物聯網解決方案將包括所有這些東西,如政府監管、標準和AI。雖然這個行業有能力創造出這樣的解決方案,但問題是它需要以非常快的速度完成。目前,在物聯網安全與物聯網普及的競爭中,后者正在勝出。
那么,公司現在能做些什么呢?莫耶爾對此有些建議:
1)采取集成的方法。這是個越多越好的方案,莫耶爾表示,使用物聯網的公司應該集成管理解決方案,將物聯網平臺引入到主要的連接和數據移動中,并將這些數據導入到更復雜的分析環境中,對它們進行自動化行為分析。他說:“通過整合這些組件,你可以更有信心地相信,在物聯網環境中所得到的信息在統計上是有效的。”
2)選擇正確的物聯網設備。這些設備擁有超強的生態系統和一系列的合作伙伴,它們公開分享信息。
3)使用物聯網網關和邊緣設備。為了加強整體安全性,許多公司使用物聯網網關和邊緣設備來隔離不安全設備和互聯網,并在它們之間提供保護層。
4)參與制定標準。在宏觀層面上,你能做的最好事情就是確保長期運行的物聯網安全,這涉及到在你的特定行業和整個科技行業制定標準。(小小)
原文鏈接 https://www.wired.com/brandlab/2017/06/iot-is-coming-even-if-the-security-isnt-ready-heres-what-to-do/?intcid=polar?
京公網安備 11010502049343號