安全策略新思维
互联网世界的安全措施基本上是从实体安全的角度得到的灵感:例如钥匙、防火墙、安全区域等等,但实际上,生物学同样也是一种可供选择的方案。
现阶段,人们时常谈到的计算机病毒,还仅仅涉及到恶意攻击程序的概念和感染扩散,远未达到防御方法的层面。这很不幸,因为利用活性有机体来防止病毒感染应该也是一个灵感来源,毕竟,经过数十亿年的进化,人类生命已经发展出针对病菌的一系列极其复杂的防御手段。
尽管已有大量文章讨论过利用生物模拟技术来加强网络安全,但却并未得到广泛采纳,并且这种方法一般运用在典型的互联网架构之下,如工作站、个人电脑以及通过有线或无线方式接入互联网的平板电脑和智能手机等。而面对当前蓬勃发展的物联网建设所提出的新挑战,可能会重新唤起人们对于生物防御方式的兴趣。
物联网是互联网技术的延伸,它不仅是把电脑和各种通信设备连接起来,而且还要连接一些可穿戴设备(如饰品或衣物等)、人们体内的医疗装置、家中的智能电器等,甚至还要连接桥梁、建筑、机场、船只、铁路、输配电网络以及工厂、百货商店等场所中的各种传感器等等。这不仅是为了连接而连接,物联网能够增强人们的健康与安全、优化资源使用、改善生活品质,且只有当物联网设备可以互连时,才能管理这样广泛分布的网络,实现对整个网络的自动化监控管理。
支持这一美好愿景所需的装置与传感器(即:边缘节点)数量,不再是用人数来衡量,而是要用实现互连的物体个数来衡量。有关预测指出,潜在边缘节点的数量可能高达1万亿个,换句话说,这样一个系统可能把目前互联网设备的数量增加到一千倍以上,而目前正处于这一成长期的起步阶段。
“1万亿”在生物学上是一个普通的数量级,例如,新生儿就有1万亿个左右的细胞,且拥有非常强的防传染性病菌攻击的能力,可以通过一个复杂的免疫系统来探测、反击和隔离这些有害病菌;同时人体还能够自动恢复攻击所导致的局部缺损。也许人们可以从自然界如何形成这种强大的防御系统中学到一些东西,更具体一点说,借鉴生物学可以帮助人类换一种方式来思考,从系统层面来实施防御措施。但需要指出的是,这里所谈到的安全系统建设是在现有策略的基础之上,并不是代替现有的防御措施,而是在于进一步增强与改进。
物联网面对的独特挑战
首先,物联网有着异常巨大的易受攻击界面。在电脑安全领域,攻击界面是所有可能受到攻击的“点”的集合。那些数万亿个边缘节点,不论是应变传感器,还是心率起博器或者家用冰箱,都代表着一个潜在的攻击点,极有可能通过无线监测、破坏或是直接调换,向这些“点”发起攻击。在传统的互联网中,人们一般会利用防火墙和防病毒软件来建立起防御屏障,但是要用这些方法覆盖所有的边缘节点却是一件非常繁琐的事,因为这些边缘节点无处不在,分布广泛,且呈开放式,往往难以对其进行实体监控或保护。
其次就是成本的问题。为了实现如此大规模的系统部署,每一个边缘节点的配置必须要非常便宜,至少平均费用应该相对较低。但按照今天消费电子产品的单价,要达到这一目标,在经济上并不可行。以1美元单价来计算,要想在这样的价格水平上建成一套安全系统,那么系统制造商的利润将非常微薄,而且几乎没有添加复杂安全解决方案的空间。如果运营商能够提供价格补贴,就像手机价格补贴那样,那么这个问题可能会好办一些,但许多应用有可能在追求长期服务合约的过程中而失去用户,甚至有些应用也将受到消费者购买力的限制。
最后,物联网设备的功耗是另一大阻碍因素。许多边缘节点需要一次充电就能工作数年,例如医疗植入装置和远程感应传感器等。功耗严重限制了这些节点所运行的软件,任何已知形式的防病毒软件都需要进行大量运算,且耗费许多功耗。这样的防病毒形式很难适用于在功耗上需要精打细算的边缘节点。人们通常提出的一个对策是把检证工作转移到功耗限制较小的主机上面,如云或网关节点。但出于同样的原因,检证工作不能连续进行,而且边缘节点也面临着各种破坏的威胁。
所有这些新挑战都呼唤一种新的解决方案。边缘节点首当其冲需要具有成本效益的解决方案来实现对攻击的防御,同时还需要局部解决方案来迅速阻止攻击,因此,生物识别以及基于真伪认证的防卫技术非常值得参考。
生物学多样性优势
生物学系统中的一个重要防御特点是多样性。例如,在农业上,专家们已认识到,单种种植虽然经济上很划算,但却具有可被利用的弱点,如果某种害虫或病菌能够攻击某一区域内的作物,那么就会迅速扩散到整片农作物,甚至导致颗粒无收。然而,在多品种种植的模式下,即使某种病菌攻击了某一种作物,但扩散到其它作物的可能性也会下降。虽然关于控制这种风险同时保持规模经济的最佳方式仍然存在争论,但多样性可以使系统对攻击的抵抗力增强,这是毫无疑问的。
在物联网中也存在着这样有趣的相似特点。由于这一市场的规模将非常巨大,由此可以预见不同系统之间的良性竞争会出现在同一市场之上。但这种多样性可能只是表象,实际上这些系统的核心计算引擎可能最终来自数量有限的几家供应商(甚至是一家供应商),无线接口最终也可能迅速集中于少数供应商,同样,开源软件趋势(例如Linux、Java和Android)也降低了多样性。因此,可能看到,和农业单种种植的风险相比,除非这些供应商采取额外措施来重新增强系统的多样性。
增强多样性的方法仍在发展之中,尤其是增强单种环境中的多样性。目前采用的一些方法包括:地址空间随机化、通过添加虚设代码来打乱源代码,以及堆叠设计随机化。这些方法能够提升侵入代码、跳转到恶意程序或发起新攻击的难度,实施成本较低,特别适合边缘节点的防御。
另一个增强多样性的方式,是确保物联网内在的加密能力,并在整个网络中使用不同的加密密钥,这样即使一个密钥被破解,网络其余部分的安全性也不会受到影响,当然,要为每一个节点设置不同的密钥,可能也会带来成本的上升。
病毒防范手段的局限
在生物学上,系统层面最为人知的防御方式是抗病毒型药物的研制。这种手段几乎完全依赖于特征识别。生物模拟技术首先将探测某种疾病(定义其特征),然后建造抗病毒模型,再把它添加到所有其它抗病毒的清单之中,同时还必须经常更新抗病毒模型,以对抗已知疾病的新变种。
但这种方式不可扩展,甚至是在传统的IT领域中。问题在于这种防病毒方式无法自适应性,每种病毒必须由中心位置的专家来确定,然后再生成抗病毒措施向周围发散,这可能需要数天的时间,而期间已经造成了重大损害。更加糟糕的是,一些病毒现在似乎能够自然变异,可能在特征识别环节就使任何尝试归于失败。此外,基于特征识别的反病毒检测需要耗费大量的工作,因此并不适合物联网边缘节点的应用,虽然这种防病毒方式仍将是整个系统防御中的重要一环,但显然还不足以独自胜任。
另一种有趣的措施是免疫学防御。这可能是生物学与网络系统防御之间最相似的手段,人们正在通过模仿生物免疫学来建立模型,积极推动这一方法。这些方法寻求通过行为识别来克服特征识别的不可扩展性,行为识别不需要检查病菌层面的细节情况,而特征识别则需要。免疫细胞能对自身进行调整,通过观察行为模式来分辨“自我(正常行为)”和“非自我(攻击者)”。
而用在网络世界中,则可以通过请求者IP地址和目标IP地址来确定某一行为的特点,或者可以通过通信通道中的加密密钥的某种特征来触发。通过学习,系统的正常操作被列为“自我行为”,而自我行为以外的任何动作都将被视为企图侵入的信号。这种方式最令人感兴趣是,它是局部的,可能非常便宜(行为探测通常比匹配许多特征要简单得多),而且能自动探测新的“非自我”威胁,因而可以以最低的成本做出快速反应,且能够自动探测新威胁(基于特征识别的方法做不到这点)。当然,行为探测也有一个弱点:当侦测到病毒的时候,节点可能已经被感染了,类似的问题也同样存在于细胞生物学中,需要从系统层面来考虑防御方法。
最后,一旦探测到威胁,就必须将其清除或隔绝。自动清除可能不是一个好主意——这是因为PC机中清除病毒的复杂程度,以及随后并不能确定问题是否真正得到了解决。在物联网的边缘节点上,这类方式似乎也完全不可控。虽然清除行动需要人类干预,但也需要建立能够立即阻止感染扩散的机制。这同样可以从生物学中得到启发。例如,细胞坏死是不受控制的死亡,表明攻击已获得了成功;而细胞凋亡(细胞新陈代谢式消亡)则是一种受控制的死亡,是对感染的成功防御,这两种方式同时存在,提供了双重防御机制,这些都是物联网世界安全措施可以学习的方法。 |
