就在不久之前，“物聯網安全” 這個術語聽起來還有點自相矛盾。但現在，對物聯網安全重要性的認知已經達到了空前的高度。聯網設備如今已滲透到我們生活的方方面面，從家居到工廠無處不在，惡意黑客如今手握大把形形色色的終端目標。現在我們就來預測一下，來年網絡安全領域的貓鼠游戲中會出現些什么。

 

1. 智能樓宇安全問題引人關注

 

2020 年，智能樓宇安全問題可能會成為設施管理者的首要考慮。Gartner 的調查研究表明，2020 年，80% 的聯網設備與樓宇相關，智能樓宇為對手提供了新的攻擊途徑。但在明年此類攻擊會不會大幅增加的問題上，專家們意見不一。Honeywell Building Solutions 網絡安全全球總監 Mirel Sehic 預期會出現大幅增長。攻擊者可能將樓宇管理系統作為跳板，用以獲取 IT 數據，以及操縱建筑控制。

 

Kudelski Security 首席執行官 Andrew Howard 表示：我不認為明年會看到更多此類攻擊，因為很多建筑內部的網絡都是高度隔離的。

 

盡管可能會有一兩個系統接入互聯網，但事實上大部分系統都沒有聯網。即便聯網，通常也是 VLAN 隔離的。這可不是像常見的物聯網網絡那樣所有設備都鋪在平面網絡架構上。以我的經驗看，大多數樓宇，無論是新是舊，事實上都很重視隔離。比如說，電梯就與樓宇管理系統是隔離的，跟自動扶梯也是隔開的。樓宇中的安全攝像頭可能接入互聯網，但基本上很難以此為跳板跳轉到樓宇管理系統中。

 

2013 年塔吉特信用卡數據泄露后，聯網樓宇系統的前景就成了主要的網絡安全顧慮。該事件中，塔吉特的暖通空調供應商被入侵，攻擊者能夠進入其內部網絡，包括其支付系統。僅此一項，黑客就卷走了 4,000 萬信用卡號。

 

保護樓宇安全的挑戰之一，就是情況常是碎片化的。沒有大玩家現身充當該領域的安全供應商。

 

2. 5G安全開始嶄露頭角

 

2019 年時，5G 看起來還只是理論上的可能性。上半年，5G 在商展和個別地區展示性現身，但現在，電信公司紛紛開始推出他們的 5G 網絡。

 

到 2020 年，隨著 5G 部署持續推出，攻擊亦將接踵而至。IOActive 首席技術官 Cesar Cerrudo 對此表示同意。

 

無論何時，互聯的東西越多，安全問題就越多。

 

5G 最終成為基礎協議的前景意味著，從監視和交通攝像頭到車輛的所有東西都會通過該協議連接。這就有可能給攻擊者提供癱瘓社區、城市甚至整個國家的康莊大道了。5G 還可以為主要使用不同無線協議的設備提供連接。比如，5G 可以作為 LPWAN 設備接入云端的回傳線路。

 

盡管有抗干擾屬性，但與其他無線通信方式一樣，5G 也易于遭受拒絕服務攻擊和阻塞。

 

電信和基礎設施公司大力推廣 5G 的各種用例，包括工業領域。將 5G 用于關鍵工業過程，產生切實業務影響，是頗具風險的提議。對此，PAS Global 首席信息安全官 Jason Haward-Grau 表示：

 

讓情況變得復雜的是，很多工業環境都部署著過時的遺留設備。惡意黑客將開始針對這些環境，帶來嚴重后果，比如對配置的非授權修改——可致工業過程未按既定方式運轉，因而造成工業事故、斷電，甚至環境災難。

 

3. 托管安全服務市場激增

 

近些年，很多公司企業開始拋棄獨自管理安全的想法。增長中的一個細分市場就是托管安全服務，Kenneth Research 的研究概要中稱，該細分市場年增長率達到了 15%。

 

2020 年，托管安全服務市場的增長率還將更高。總體上看，正在進行數字化轉型的很多公司企業，都難以找到足夠的專業人才來處理復雜性不斷增加的網絡安全問題。于是，他們將目光轉向了托管服務。

 

Cerrudo 同樣預測對安全咨詢業務對需求將迎來增長。

 

需求應隨著我們技術依賴和使用的增長而增長。公司企業尋求各類服務幫助將自身問題與服務適應公司的需求。這一過程中采取了多種方法，包括建立合作關系、外包、軟件即服務 (SaaS) 解決方案、常規服務等等。

 

但網絡安全市場的復雜性讓有些公司對完全外包存有疑慮。

 

這幾年我在網絡安全市場中看到的變化之一，是大公司更愿意引入托管安全供應商來負責部分安全工作，但不是全部。過去他們要么完全內部消化，要么就是完全外包。我覺得我們將看到更多的混合模式。

 

4. OT網絡安全巨頭重要性日顯

 

隨著安全儀表系統已成當前攻擊目標的事實曝光，運營技術 (OT) 網絡安全某種程度上已日漸獲得重視。Honeywell 的 Mirel Sehic 預期該趨勢在 2020 年還將繼續加速，因為屆時將有更多的 OT 環境擁抱數字化。

 

Howard 贊同此觀點：以往跟客戶聊到 OT 環境時，他們都很緊張安全問題，并且該趨勢將會加速。

 

其中一個因素就是這個市場仍不成熟。從安全角度看，OT 領域的現狀類似于十年前的 IT 領域。而十年前，想找到適用 IT 環境的安全標準是很難的。網絡安全人員能夠找到一些 NIST 指南，但想找與之略有差別的適用于特定工業環境的指南，就完全不是那么回事兒了。

 

這種狀況促成了專注 OT 的組織的興起，比如西門子的 Charter of Trust(信任憲章)和非盈利性基金會 MITRE Engenuity 的 Center for Threat-Informed Defense(威脅知情防御中心)。Howard 預期 2020 年將有更多專注于 OT 網絡標準的組織出現。

 

在安全問題上，OT 領域比 IT 領域更難。畢竟，在 IT 領域，筆記本 A 與筆記本 B 和服務器 C 之間的差別并不是那么巨大，尤其是在操作系統整合的情況下。但 Rockwell PLC 和 Honeywell 制造系統之間就是天差地別了。

 

PAS Global 首席運營官 Mark Carrigan 觀察到，ISA/IEC 62443 和《歐洲網絡指令》之類針對 OT 的安全標準有所增長，NIST、NERC、SANS 和互聯網安全中心這樣的機構也推出了很多針對 OT 的框架。Carrigan在電子郵件中對媒體說道：

 

2020 年，隨著這些框架和標準的逐步采納，網絡風險將會減小。但是，公司企業采納和驗證這些框架與標準需要消耗一些資源，會增加工業網絡安全開支與復雜性。由于標準和框架的采納相對不成熟，公司企業可能需要評估多個框架采納情況，由此，進一步增加成本與復雜性。

 

5. 物聯網安全：從設計階段開始

 

沒有哪個產品設計者會想創建毫無安全性可言的聯網產品。除非他工作的公司難以協調上市時間、成本和客戶體驗。不過，Arm 物聯網服務小組策略副總裁 Charlene Marini 認為，鑒于物聯網安全所獲得的關注度，情況正在不斷改善。她在郵件中透露：物聯網設備制造商和聯網設備部署者會設置功能升級計劃，確保物聯網系統的安全。

 

這種思維的轉變將意味著，設備制造商開始重視創建受信可連接可管理產品。新的物聯網安全思維模式包括，在設計階段嵌入生命周期管理功能、以安全和隱私原則為前提編寫軟件，以及為部署者提供可用設備更新。對于部署物聯網設備的公司企業而言，這種思維的轉變還涉及引入有經驗的專家幫助管理大規模物聯網網絡。

 

Marini 的同事，Arm 物聯網云服務高級副總裁兼總經理 Hima Mukkamala 認為，歐盟《通用數據保護條例》和美國《加州消費者隱私法案》這樣的監管規定，將繼續強調物聯網設備中隱私與安全的重要性。

 

鑒于物聯網設備數量的增長，以及政府監管規定的陸續出臺，數據隱私與安全將成為物聯網解決方案的最大推動力。對考慮在 2020 年部署物聯網基礎設施的公司企業而言，安全將是他們決策過程中的關鍵因素。

 

Mimecast 電子犯罪主管 Carl Wearn 持類似觀點。他預期明年物聯網相關網絡風險將隨糟糕的安全與勒索機會上升，并預測與此類聯網設備的使用相關的立法將會增多。Wearn 表示，這種連接性和設備內置安全的普遍缺乏被嚴重忽視了太長時間，公眾對其使用和潛在漏洞利用的意識正在增加。

 

6. AI炒作繼續，但垂直AI方法興起

 

網絡安全領域中圍繞人工智能的炒作開始降溫。但別期望情況會有巨大改善。“AI” 這標簽被拍到了幾乎所有東西上，其中很多不過是決策樹、算法或軟件。當然，這并不是說AI沒有巨大的潛力。但真正的術語 “AI” 某種程度上成了沒什么特指的潮詞。

 

舉個例子。之前在一個會議上，我跟其他很多網絡安全主管聊起人工智能如何驅動行為改變的話題。會上眾人紛紛開始給出他們如何使用AI最小化網絡風險的例子。例子還真是挺多的。當聽到第七個例子的時候，我舉手說：‘沒人描述人工智能用例。你們只是在描述過程工作流和軟件。如果背后沒有機器學習模型或神經網絡功能之類的東西，那就僅僅只是軟件。’

 

Augury 是一家專注運用工業物聯網傳感器監視機器健康狀況的公司，其策略副總裁 Artem Kroupenev 對 AI 在網絡安全領域的前景保持樂觀。考慮到AI當前的成熟度，為特定用例精心設計的產品，會比采用通用方法制造的產品更加有效。

 

2020 年，我們將看到工業企業開始圍繞特定垂直用例切實采納 AI。這里的特定用例，我指的是工業物聯網。

 

說到人工智能在網絡安全中的使用，Cerrudo 解釋稱：如果你想提供更好的解決方案，你就必須收窄自己的焦點，著重投入研發。AI 使用持續增長，不斷成熟，用得越有針對性，就會越精確。拓寬范圍只會增加復雜性和降低效率。