Strategy Analytics公司系統研究和咨詢部門的企業研究主任Laura DiDio說,雖然物聯網帶來了大好機遇,但是在互聯環境下,“安全風險成倍增加;從理論上來說,攻擊途徑或攻擊面可能是無限的。”
DiDio說:“此外,IT部門肩負的擔子要重得多。它們要跟蹤的對象數量多得多。”DiDio表示,端點安全或周邊安全是許多人關注的焦點,這有其充分理由,因為端點安全或周邊安全是第一道防線,承受正面攻擊的沖擊。
DiDio說:“話雖如此,它并不是物聯網基礎設施中唯一的薄弱點。”據Strategy Analytics的2016年調查數據顯示,實際上,在每個物件、乃至每個人都高度互聯的物聯網環境中,粗心大意的最終用戶對所在企業的物聯網網絡構成了最大的安全威脅。
物聯網安全方面的支出一路上升,這不足為奇。Gartner公司在2016年4月份的一份報告中表示,2016年,全球物聯網安全方面的支出將達到3.48億美元,比2015年的支出:2.815億美元增長24%。而到2018年,物聯網安全支出預計會達到5.47億美元。
物聯網支出圖
Gartner預測,2020年以后,由于加強的技能、組織變化和更多可擴展的服務選項改進執行力,物聯網安全市場支出會以更快的速度增長。
該公司表示,由于消費者和企業都開始使用數量越來越多的互聯設備,市場在發展壯大。Gartner公司預測,今年全球使用的聯網物件會多達64億個,比2015年增加30%,到2018年會達到114億個。
該公司預測,到2020年,企業受到的已識別攻擊中25%以上會與物聯網有關,不過物聯網這塊在整個IT安全預算中所占的比重不到10%。
Gartner表示,由于分配給物聯網的預算有限,加上采用一種分散的方法在企業組織早期實施物聯網,安全廠商很難提供實用的物聯網安全功能。預計,確保物聯網安全方面的工作將更多地側重于設備及其數據的管理、分析和配置上。Gartner預測,到2020年,實施的所有物聯網中一半以上將使用某種基于云的安全服務。
在未來幾年,物聯網很可能是許多企業組織高度關注的網絡安全優先事項之一。2016年5月,卡耐基·梅隆大學軟件工程研究所計算機緊急響應小組(CERT)部門發布了一份報告,報告列出了十大高危新興技術,一些技術與物聯網有關。
在《2016年新興技術領域風險調查》這份研究報告中,CERT分析了聯網家庭等方面的安全,聯網家庭涉及家庭設備、家電和計算機的自動化。另一個方面是智能傳感器,這是物聯網的支撐技術之一。
CERT部門的安全漏洞分析師Christopher King在一篇博文中表示,在如今日益高度互聯的世界,信息安全界要做好準備,消除新技術可能帶來的安全漏洞。他說:“了解新興技術方面的發展趨勢,可以幫助信息安全專業人員、企業領導人以及對信息安全感興趣的其他人識別哪些方面面臨安全風險,以便進一步研究。”
卡內基·梅隆大學是物聯網的早期開發者,它將安全列為一個優先事項。 這家大學正在研發一種名為Giotto的物聯網平臺,這以文藝復興時期追求創新的畫家Giotto di Bondone命名。Jason Hong是卡內基·梅隆大學計算機科學學院人機交互:移動隱私安全實驗室的研究小組負責人,他說:“我們正在開發一套全面架構,包括硬件、中間件和應用層,自始至終整合機器學習、隱私和安全,而且還注重用戶體驗。”
Hong說:“我們的目的是,讓人們擁有一體化物聯網(IoT-in-a-box),那樣他們能迅速使用我們的一些傳感器平臺,演示物件具有感知功能(比如開窗或有人敲門),并創建由感知的那些動作觸發的應用程序。” Hong表示,物聯網有望大大改善日常生活,“但同時也為安全帶來了諸多新的風險。物聯網好比是個金字。最上面你有幾個設備會頻繁使用,而且擁有大量的計算能力”,比如筆記本電腦、智能手機、手表和游戲機。
中間是幾十個偶爾使用的設備,它們的計算能力一般。這一層包括恒溫器、電視機和箱等。最下面是人們很少意識到的數百個設備,比如暖通空調、徽章、植入體內的醫療設備、數碼相框和電子鎖等。
Hong表示,最上面一層會得到充分保護,因為生產這些產品的公司擁有豐富的專長和經驗,這些設備還可以運行許多安全軟件。他說:“然而,中間這層和最下面這層卻會出現許多問題。許多廠商在軟件方面基本上沒什么經驗可言,這些設備也基本上無法保護好自己。”
Hong表示,物聯網的最大威脅將是勒索軟件。“如今的勒索軟件攻擊涉及加密受害者的數據,將數據扣為人質,直到受害者乖乖交錢。將來,物聯網會帶來一系列新的勒索軟件攻擊。腳本小子可能會將人們鎖在房子或汽車外面,因而令人煩不勝煩。”他表示,黑客組織Anonymous可能會對公司的暖通空調或照明系統做手腳,增加電費或者惹毛住戶;攻擊者可能企圖闖入多輛自動駕駛汽車或多個自主醫療設備,實際上將受害者扣為人質。
卡內基·梅隆大學的實驗室正在研究幾個想法,確保Giotto里面的安全性。Hong表示,其中之一是,如何利用鄰近位置作為獲得訪問權的一種方式。比如說,如果你在一個房間,你也許能夠訪問這個房間里面的一些傳感器和服務,比如溫度。如果你走到房間外面,你能獲得的信息就會減少或干脆沒有。 Hong說:“我們還在考慮如何區別公共數據和私有數據。比如說,在我們大學,我們可能將走廊傳感器指定為公共數據,這所大學里的任何人都可以查看和使用該數據。但是與私人辦公室有關的數據和服務只能由該辦公室的主人和大樓管理員訪問。”
另外,實驗室還在考慮Giotto的不同層次如何支持安全的不同部分。Hong表示,比如說,物理層需要讓人們容易了解傳感器在那里,核實傳感器在收集什么數據,查看這些數據在如何使用,以及了解誰可以查看該數據。
Hong說:“邏輯層和中間件層需要提供訪問控制,作為實用的默認機制,明確人們可以訪問哪些數據和服務,要提供很簡單的控制機制,不需要博士生才能了解。應用層需要讓普通開發人員很容易充分利用數據,同時注重用戶的隱私。”
Hong表示,在企業IT環境下,大家常常很重視端點安全,或者將安全軟件安裝在筆記本電腦、臺式機和智能手機上。他說:“這只適用于最上面一層設備,但并不適合構成中間層和最下面一層的數十億個設備。網絡安全方面要有重大的進展,才能保護這些種類的設備。”
Hong補充道,企業組織還需要人工智能和大數據技術方面有重大創新,才能檢測異常行為。“如今我們只能說勉強可以管理臺式機、筆記本電腦和云服務器的安全;家庭網絡或企業網絡添加成千上萬個設備將意味著,我們需要新的、自動化的方法,以便迅速檢測和應對攻擊。”
Contu表示,總的來說,沒有哪一種安全技術能夠保護所有IT資產,包括物聯網邊緣處理、物聯網平臺中間件、后端系統和數據。“需要一種多管齊下的安全方法,應對更大的數字風險和物理風險。”
Contu表示,端點層面可以使用不同的方法,從安全功能嵌入到芯片架構里面,到部署軟件代理以執行不同的安全控制機制,不一而足。在物聯網生態系統之類的復雜架構中,網關將會大有幫助;由于各種各樣的設備和身份,很難為這類架構確保安全。
Contu說:“網關將得到部署,以處理物聯網的特定領域,管理一組信任需求相似的特定設備,因而可以使用通用信任模型的原則來確定領域。聯合信任模型讓使用不同信任模型的不同領域和設備之間實現互操作性。”
金融服務公司GE Capital Americas的首席信息安全官(CISO)兼IT風險負責人James Beeson表示,物聯網安全方面的關鍵技術可能會是機器學習和人工智能。 Beeson說:“由于數十億其他設備連接到互聯網,人工處理那么多的警報及/或未知的資產和事件會變得不可能。技術需要能夠處理海量數據,并且迅速做出決定。”
DiDio表示,即使在考慮技術之前,企業也要實施強有力的安全策略和程序。她說:“如果你沒有落實安全策略或方案,就會有大問題。”
之后,企業應購買并安裝適合本企業的相應的安全工具和軟件包。DiDio說:“企業還要確保補丁和修正版是最新版本。許多公司之所以碰到問題,是由于它們沒有升級、打上補丁,結果發現設備和應用程序門戶大開、易受攻擊。”
物聯網環境下的安全不是一成不變,而是個活動目標。DiDio說:“你得不斷重新評估和監控你的安全狀況、安全策略和程序,并執行策略和程序,以便隨時了解黑客構成的外部威脅以及自己員工(故意或不小心)構成的內部威脅。企業永遠無法宣告勝利。自滿是你最大的敵人。”
京公網安備 11010502049343號