据《连线》杂志报道,物联网即将到来,但许多IT高管都在担心隐藏其中的网络安全问题。或者更准确地说,他们已经选择听天由命。5月份对553名IT决策者的研究中,78%的人表示,他们认为自己所在公司很可能会遭受物联网设备数据丢失或盗窃事故。约72%的人表示,物联网的发展速度使其难以跟上不断变化的安全要求。
这种担忧源于现实。去年10月份,黑客利用物联网设备的大约10万个“恶意端点”,攻击了控制大部分互联网域名系统基础设施的公司。最近,恶意软件WannaCry攻击使许多银行的ATM网络瘫痪。对于物联网反对者来说,这些攻击证实了他们的恐惧,即黑客可以通过劫持我们的物联网设备来制造混乱。
与此同时,物联网产业继续稳步增长。市场研究公司Gartner预测,到2020年,将有大约210亿部物联网设备存在,而2015年时仅为50亿部。其中大约80亿部将是工业产品,而不是消费类设备。这两类设备都为黑客提供了诱人的攻击目标。
DXC的首席技术官和网络安全副总裁克里斯·莫耶尔(Chris Moyer)说:“这个行业没有放弃物联网的原因是它的价值非常高,但其风险也同样高,这就是平衡的所在。”不管行业的胃口如何,在行业解决安全问题之前,物联网的规模不大可能扩大。这将需要供应商之间的合作,政府的干预和标准化。在2017年,这些事情似乎都没有解决的眉目。
物联网有什么安全问题?
现在的共识是,物联网仍未得到充分保护,并可能带来灾难性的安全风险,因为企业相信物联网设备可用于业务、运营和安全决策。现有的标准并不到位,供应商始终在努力将恰当的智能和管理水平嵌入产品中。随着攻击者之间的协作日益紧密,需要在多个维度上解决这些挑战。下面就是物联网设备所需要面对的安全挑战:
1)与个人电脑或智能手机不同,物联网设备通常缺乏处理能力和内存。这意味着,它们缺乏强有力的安全解决方案和加密协议,而这些往往可以保护它们免受攻击威胁。
2)因为这些设备连接到互联网,它们每天都会遇到威胁。而物联网设备的搜索引擎也为黑客提供了进入网络摄像头、路由器和安全系统的机会。
3)在许多联网设备的设计或开发阶段,安全性从未被考虑过。
4)不只是物联网设备本身缺乏安全能力,许多连接它们的网络和协议也没有强大的端到端加密机制。
5)许多物联网设备需要人工干预才能升级,而其他设备根本无法升级。莫耶尔说:“这些设备中有些是非常迅速地建立起来的,它们的设计思维还局限于首次迭代之中,而且有些甚至是不可升级的。”
6)物联网设备是个“薄弱环节”,允许黑客渗透到IT系统中。如果设备连接到整个网络,这一点尤其令人担忧。
7)许多物联网设备都有默认密码,黑客可以在网上查到。鉴于这个事实,Mirai分布式拒绝服务攻击是可能的。
8)这些设备可能留有“后门”,同样为黑客提供机会。
9)物联网设备的安全成本可能会抵消其财务价值。物联网安全专家博·伍兹(Beau Woods)表示:“当你有个2美分的组件,而你需要在它身上花费1美元维护安全时,你就破坏了商业模式。”
10)这些设备也会产生大量的数据。DXC的技术项目主管基里安·麦考利(Kieran McCorry)说:“你不仅仅需要应对210亿部互联网设备,还要应对由它们生成的庞大数据。这些数据几乎是数量级的,而且远远超过了这些设备所产生的数量。这是一个巨大的数据处理问题。”
考虑到这些缺陷,企业可以通过遵守物联网安全最佳实践,这在某种程度上可以保护它们。但是,如果合规不是100%(这是不可能的),那么就不可避免地会发生攻击,导致行业对物联网失去信心。这就是安全标准势在必行的原因。
谁来制定安全标准?
各种政府机构已经对许多物联网设备进行了监管。举例来说,美国联邦航空管理局(FAA)监管无人机,美国国家公路交通安全管理局(NHTSA)监管无人驾驶车辆。美国国土安全部正积极参与基于物联网的智能城市计划,而FDA也在对物联网医疗设备进行监督。
但在目前,还没有任何政府机构负责监管智能工厂或智能家居领域使用的物联网设备。2015年,联邦贸易委员会(FTC)发布了一份关于物联网的报告,其中包括关于最佳实践的建议。在2017年初,FTC还向公众发布挑战赛,即创建“修复物联网设备中过时软件引发的安全漏洞的工具”,并为获胜者提供2.5万美元的奖金。
莫耶尔表示,虽然政府将对物联网的某些方面进行监管,但他认为只有行业才能创造出自己的标准。他设想了制定这种标准的两种途径:第一,买家推出标准,并拒绝购买不支持这个标准的产品;第二,一两个主要参与者利用其市场主导地位设定一个事实上的标准。莫耶尔说:“我不认为后一种情况会发生,目前还没有这样的主导参与者存在。”
这个行业现在有好几个标准,而不是一个或两个标准,而且似乎没有哪个标准正逐渐取得主导地位。这些标准包括基于供应商的标准,以及物联网安全基金会、IEEE、可Trusted Computing Group、物联网世界联盟以及工业互联网协会安全工作组提出的标准。所有这些机构都在研究打造安全物联网环境的标准、协议和最佳实践。
莫耶尔说,最终改变市场的将是买家,他们将开始要求标准。他解释称:“标准的制定有很多原因,有些是监管所需,但很多是因为买家认为这对他们很重要。”
由于缺乏标准,伍兹看到了几条改善物联网安全的途径:一个是商业模式的透明度。伍兹说:“如果你购买了1000辆汽车,你就可以进行‘空中更新’,而其他汽车则需要手动更新,那可能需要7个月的时间。这是不同的风险计算。”
另一种解决方案是要求制造商为他们的设备承担责任。伍兹表示,目前硬件设备的情况是这样的,但不清楚谁会为软件故障承担责任。
AI充当救星?
在这种情况下,一个未知因素是人工智能(AI)。支持者认为,机器学习可以发现一般的使用模式,并在出现异常时提醒系统。例如,Bitdefender查看来自所有端点的云服务器数据,并使用机器学习来识别异常或恶意行为。就像信用卡系统可能会将在国外炫耀1000美元的行为标注为可疑那样,机器学习系统可能会通过传感器或智能设备识别不同寻常的行为。由于物联网设备在功能上是有限的,所以发现这些异常是相对容易的。由于使用机器学习的安全性仍然是新的,这种方法的拥护者提倡使用包括人工干预的安全系统。
真正的解决办法:把一切都结合起来
虽然AI在保护物联网安全方面的作用可能比最初设想的要大,但综合物联网解决方案将包括所有这些东西,如政府监管、标准和AI。虽然这个行业有能力创造出这样的解决方案,但问题是它需要以非常快的速度完成。目前,在物联网安全与物联网普及的竞争中,后者正在胜出。
那么,公司现在能做些什么呢?莫耶尔对此有些建议:
1)采取集成的方法。这是个越多越好的方案,莫耶尔表示,使用物联网的公司应该集成管理解决方案,将物联网平台引入到主要的连接和数据移动中,并将这些数据导入到更复杂的分析环境中,对它们进行自动化行为分析。他说:“通过整合这些组件,你可以更有信心地相信,在物联网环境中所得到的信息在统计上是有效的。”
2)选择正确的物联网设备。这些设备拥有超强的生态系统和一系列的合作伙伴,它们公开分享信息。
3)使用物联网网关和边缘设备。为了加强整体安全性,许多公司使用物联网网关和边缘设备来隔离不安全设备和互联网,并在它们之间提供保护层。
4)参与制定标准。在宏观层面上,你能做的最好事情就是确保长期运行的物联网安全,这涉及到在你的特定行业和整个科技行业制定标准。
