信息化觀察網(wǎng)

物聯(lián)網(wǎng)已是炙手可熱的名詞。近年來，物聯(lián)網(wǎng)高速發(fā)展，根據(jù)Gartner預(yù)測，到2020年，將有大約210億部物聯(lián)網(wǎng)設(shè)備存在。這些看似無害的物聯(lián)網(wǎng)設(shè)備不僅可能會被黑客操縱窺探個(gè)人隱私,威脅用戶的人身財(cái)產(chǎn)安全,還可能成為他們發(fā)動網(wǎng)絡(luò)攻擊的新一代“武器”。

據(jù)《連線》雜志報(bào)道，物聯(lián)網(wǎng)即將到來，但許多IT高管都在擔(dān)心隱藏其中的網(wǎng)絡(luò)安全問題?；蛘吒鼫?zhǔn)確地說，他們已經(jīng)選擇聽天由命。5月份對553名IT決策者的研究中，78%的人表示，他們認(rèn)為自己所在公司很可能會遭受物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)丟失或盜竊事故。約72%的人表示，物聯(lián)網(wǎng)的發(fā)展速度使其難以跟上不斷變化的安全要求。

這種擔(dān)憂源于現(xiàn)實(shí)。去年10月份，黑客利用物聯(lián)網(wǎng)設(shè)備的大約10萬個(gè)“惡意端點(diǎn)”，攻擊了控制大部分互聯(lián)網(wǎng)域名系統(tǒng)基礎(chǔ)設(shè)施的公司。最近，惡意軟件WannaCry攻擊使許多銀行的ATM網(wǎng)絡(luò)癱瘓。對于物聯(lián)網(wǎng)反對者來說，這些攻擊證實(shí)了他們的恐懼，即黑客可以通過劫持我們的物聯(lián)網(wǎng)設(shè)備來制造混亂。

與此同時(shí)，物聯(lián)網(wǎng)產(chǎn)業(yè)繼續(xù)穩(wěn)步增長。市場研究公司Gartner預(yù)測，到2020年，將有大約210億部物聯(lián)網(wǎng)設(shè)備存在，而2015年時(shí)僅為50億部。其中大約80億部將是工業(yè)產(chǎn)品，而不是消費(fèi)類設(shè)備。這兩類設(shè)備都為黑客提供了誘人的攻擊目標(biāo)。

DXC的首席技術(shù)官和網(wǎng)絡(luò)安全副總裁克里斯·莫耶爾（Chris Moyer）說:“這個(gè)行業(yè)沒有放棄物聯(lián)網(wǎng)的原因是它的價(jià)值非常高，但其風(fēng)險(xiǎn)也同樣高，這就是平衡的所在。”不管行業(yè)的胃口如何，在行業(yè)解決安全問題之前，物聯(lián)網(wǎng)的規(guī)模不大可能擴(kuò)大。這將需要供應(yīng)商之間的合作，政府的干預(yù)和標(biāo)準(zhǔn)化。在2017年，這些事情似乎都沒有解決的眉目。

物聯(lián)網(wǎng)有什么安全問題？

現(xiàn)在的共識是，物聯(lián)網(wǎng)仍未得到充分保護(hù)，并可能帶來災(zāi)難性的安全風(fēng)險(xiǎn)，因?yàn)槠髽I(yè)相信物聯(lián)網(wǎng)設(shè)備可用于業(yè)務(wù)、運(yùn)營和安全決策。現(xiàn)有的標(biāo)準(zhǔn)并不到位，供應(yīng)商始終在努力將恰當(dāng)?shù)闹悄芎凸芾硭角度氘a(chǎn)品中。隨著攻擊者之間的協(xié)作日益緊密，需要在多個(gè)維度上解決這些挑戰(zhàn)。下面就是物聯(lián)網(wǎng)設(shè)備所需要面對的安全挑戰(zhàn)：

1）與個(gè)人電腦或智能手機(jī)不同，物聯(lián)網(wǎng)設(shè)備通常缺乏處理能力和內(nèi)存。這意味著，它們?nèi)狈?qiáng)有力的安全解決方案和加密協(xié)議，而這些往往可以保護(hù)它們免受攻擊威脅。

2）因?yàn)檫@些設(shè)備連接到互聯(lián)網(wǎng)，它們每天都會遇到威脅。而物聯(lián)網(wǎng)設(shè)備的搜索引擎也為黑客提供了進(jìn)入網(wǎng)絡(luò)攝像頭、路由器和安全系統(tǒng)的機(jī)會。

3）在許多聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)或開發(fā)階段，安全性從未被考慮過。

4）不只是物聯(lián)網(wǎng)設(shè)備本身缺乏安全能力，許多連接它們的網(wǎng)絡(luò)和協(xié)議也沒有強(qiáng)大的端到端加密機(jī)制。

5）許多物聯(lián)網(wǎng)設(shè)備需要人工干預(yù)才能升級，而其他設(shè)備根本無法升級。莫耶爾說:“這些設(shè)備中有些是非常迅速地建立起來的，它們的設(shè)計(jì)思維還局限于首次迭代之中，而且有些甚至是不可升級的。”

6）物聯(lián)網(wǎng)設(shè)備是個(gè)“薄弱環(huán)節(jié)”，允許黑客滲透到IT系統(tǒng)中。如果設(shè)備連接到整個(gè)網(wǎng)絡(luò)，這一點(diǎn)尤其令人擔(dān)憂。

7）許多物聯(lián)網(wǎng)設(shè)備都有默認(rèn)密碼，黑客可以在網(wǎng)上查到。鑒于這個(gè)事實(shí)，Mirai分布式拒絕服務(wù)攻擊是可能的。

8）這些設(shè)備可能留有“后門”，同樣為黑客提供機(jī)會。

9）物聯(lián)網(wǎng)設(shè)備的安全成本可能會抵消其財(cái)務(wù)價(jià)值。物聯(lián)網(wǎng)安全專家博·伍茲(Beau Woods)表示:“當(dāng)你有個(gè)2美分的組件，而你需要在它身上花費(fèi)1美元維護(hù)安全時(shí)，你就破壞了商業(yè)模式。”

10）這些設(shè)備也會產(chǎn)生大量的數(shù)據(jù)。DXC的技術(shù)項(xiàng)目主管基里安·麥考利（Kieran McCorry）說:“你不僅僅需要應(yīng)對210億部互聯(lián)網(wǎng)設(shè)備，還要應(yīng)對由它們生成的龐大數(shù)據(jù)。這些數(shù)據(jù)幾乎是數(shù)量級的，而且遠(yuǎn)遠(yuǎn)超過了這些設(shè)備所產(chǎn)生的數(shù)量。這是一個(gè)巨大的數(shù)據(jù)處理問題。”

考慮到這些缺陷，企業(yè)可以通過遵守物聯(lián)網(wǎng)安全最佳實(shí)踐，這在某種程度上可以保護(hù)它們。但是，如果合規(guī)不是100%(這是不可能的)，那么就不可避免地會發(fā)生攻擊，導(dǎo)致行業(yè)對物聯(lián)網(wǎng)失去信心。這就是安全標(biāo)準(zhǔn)勢在必行的原因。

誰來制定安全標(biāo)準(zhǔn)？

各種政府機(jī)構(gòu)已經(jīng)對許多物聯(lián)網(wǎng)設(shè)備進(jìn)行了監(jiān)管。舉例來說，美國聯(lián)邦航空管理局(FAA)監(jiān)管無人機(jī)，美國國家公路交通安全管理局(NHTSA)監(jiān)管無人駕駛車輛。美國國土安全部正積極參與基于物聯(lián)網(wǎng)的智能城市計(jì)劃，而FDA也在對物聯(lián)網(wǎng)醫(yī)療設(shè)備進(jìn)行監(jiān)督。

但在目前，還沒有任何政府機(jī)構(gòu)負(fù)責(zé)監(jiān)管智能工廠或智能家居領(lǐng)域使用的物聯(lián)網(wǎng)設(shè)備。2015年，聯(lián)邦貿(mào)易委員會（FTC）發(fā)布了一份關(guān)于物聯(lián)網(wǎng)的報(bào)告，其中包括關(guān)于最佳實(shí)踐的建議。在2017年初，F(xiàn)TC還向公眾發(fā)布挑戰(zhàn)賽，即創(chuàng)建“修復(fù)物聯(lián)網(wǎng)設(shè)備中過時(shí)軟件引發(fā)的安全漏洞的工具”，并為獲勝者提供2.5萬美元的獎(jiǎng)金。

莫耶爾表示，雖然政府將對物聯(lián)網(wǎng)的某些方面進(jìn)行監(jiān)管，但他認(rèn)為只有行業(yè)才能創(chuàng)造出自己的標(biāo)準(zhǔn)。他設(shè)想了制定這種標(biāo)準(zhǔn)的兩種途徑：第一，買家推出標(biāo)準(zhǔn)，并拒絕購買不支持這個(gè)標(biāo)準(zhǔn)的產(chǎn)品；第二，一兩個(gè)主要參與者利用其市場主導(dǎo)地位設(shè)定一個(gè)事實(shí)上的標(biāo)準(zhǔn)。莫耶爾說：“我不認(rèn)為后一種情況會發(fā)生，目前還沒有這樣的主導(dǎo)參與者存在。”

這個(gè)行業(yè)現(xiàn)在有好幾個(gè)標(biāo)準(zhǔn)，而不是一個(gè)或兩個(gè)標(biāo)準(zhǔn)，而且似乎沒有哪個(gè)標(biāo)準(zhǔn)正逐漸取得主導(dǎo)地位。這些標(biāo)準(zhǔn)包括基于供應(yīng)商的標(biāo)準(zhǔn)，以及物聯(lián)網(wǎng)安全基金會、IEEE、可Trusted Computing Group、物聯(lián)網(wǎng)世界聯(lián)盟以及工業(yè)互聯(lián)網(wǎng)協(xié)會安全工作組提出的標(biāo)準(zhǔn)。所有這些機(jī)構(gòu)都在研究打造安全物聯(lián)網(wǎng)環(huán)境的標(biāo)準(zhǔn)、協(xié)議和最佳實(shí)踐。

莫耶爾說，最終改變市場的將是買家，他們將開始要求標(biāo)準(zhǔn)。他解釋稱：“標(biāo)準(zhǔn)的制定有很多原因，有些是監(jiān)管所需，但很多是因?yàn)橘I家認(rèn)為這對他們很重要。”

由于缺乏標(biāo)準(zhǔn)，伍茲看到了幾條改善物聯(lián)網(wǎng)安全的途徑：一個(gè)是商業(yè)模式的透明度。伍茲說:“如果你購買了1000輛汽車，你就可以進(jìn)行‘空中更新’，而其他汽車則需要手動更新，那可能需要7個(gè)月的時(shí)間。這是不同的風(fēng)險(xiǎn)計(jì)算。”

另一種解決方案是要求制造商為他們的設(shè)備承擔(dān)責(zé)任。伍茲表示，目前硬件設(shè)備的情況是這樣的，但不清楚誰會為軟件故障承擔(dān)責(zé)任。

AI充當(dāng)救星？

在這種情況下，一個(gè)未知因素是人工智能（AI）。支持者認(rèn)為，機(jī)器學(xué)習(xí)可以發(fā)現(xiàn)一般的使用模式，并在出現(xiàn)異常時(shí)提醒系統(tǒng)。例如，Bitdefender查看來自所有端點(diǎn)的云服務(wù)器數(shù)據(jù)，并使用機(jī)器學(xué)習(xí)來識別異常或惡意行為。就像信用卡系統(tǒng)可能會將在國外炫耀1000美元的行為標(biāo)注為可疑那樣，機(jī)器學(xué)習(xí)系統(tǒng)可能會通過傳感器或智能設(shè)備識別不同尋常的行為。由于物聯(lián)網(wǎng)設(shè)備在功能上是有限的，所以發(fā)現(xiàn)這些異常是相對容易的。由于使用機(jī)器學(xué)習(xí)的安全性仍然是新的，這種方法的擁護(hù)者提倡使用包括人工干預(yù)的安全系統(tǒng)。

真正的解決辦法：把一切都結(jié)合起來

雖然AI在保護(hù)物聯(lián)網(wǎng)安全方面的作用可能比最初設(shè)想的要大，但綜合物聯(lián)網(wǎng)解決方案將包括所有這些東西，如政府監(jiān)管、標(biāo)準(zhǔn)和AI。雖然這個(gè)行業(yè)有能力創(chuàng)造出這樣的解決方案，但問題是它需要以非?？斓乃俣韧瓿伞Ｄ壳?，在物聯(lián)網(wǎng)安全與物聯(lián)網(wǎng)普及的競爭中，后者正在勝出。

那么，公司現(xiàn)在能做些什么呢？莫耶爾對此有些建議：

1）采取集成的方法。這是個(gè)越多越好的方案，莫耶爾表示，使用物聯(lián)網(wǎng)的公司應(yīng)該集成管理解決方案，將物聯(lián)網(wǎng)平臺引入到主要的連接和數(shù)據(jù)移動中，并將這些數(shù)據(jù)導(dǎo)入到更復(fù)雜的分析環(huán)境中，對它們進(jìn)行自動化行為分析。他說:“通過整合這些組件，你可以更有信心地相信，在物聯(lián)網(wǎng)環(huán)境中所得到的信息在統(tǒng)計(jì)上是有效的。”

（原標(biāo)題：物聯(lián)網(wǎng)即將爆發(fā)，但許多IT高管在擔(dān)心安全問題）

2）選擇正確的物聯(lián)網(wǎng)設(shè)備。這些設(shè)備擁有超強(qiáng)的生態(tài)系統(tǒng)和一系列的合作伙伴，它們公開分享信息。

3）使用物聯(lián)網(wǎng)網(wǎng)關(guān)和邊緣設(shè)備。為了加強(qiáng)整體安全性，許多公司使用物聯(lián)網(wǎng)網(wǎng)關(guān)和邊緣設(shè)備來隔離不安全設(shè)備和互聯(lián)網(wǎng)，并在它們之間提供保護(hù)層。

4）參與制定標(biāo)準(zhǔn)。在宏觀層面上，你能做的最好事情就是確保長期運(yùn)行的物聯(lián)網(wǎng)安全，這涉及到在你的特定行業(yè)和整個(gè)科技行業(yè)制定標(biāo)準(zhǔn)。