|
(原标题:IoT is Coming Even if the Security Isn’t Ready: Here’s What to Do) 1月18日消息,据《连线》杂志报道,物联网即将到来,但许多IT高管都在担心隐藏其中的网络安全问题。或者更准确地说,他们已经选择听天由命。5月份对553名IT决策者的研究中,78%的人表示,他们认为自己所在公司很可能会遭受物联网设备数据丢失或盗窃事故。约72%的人表示,物联网的发展速度使其难以跟上不断变化的安全要求。 这种担忧源于现实。去年10月份,黑客利用物联网设备的大约10万个“恶意端点”,攻击了控制大部分互联网域名系统基础设施的公司。最近,恶意软件WannaCry攻击使许多银行的ATM网络瘫痪。对于物联网反对者来说,这些攻击证实了他们的恐惧,即黑客可以通过劫持我们的物联网设备来制造混乱。 与此同时,物联网产业继续稳步增长。市场研究公司Gartner预测,到2020年,将有大约210亿部物联网设备存在,而2015年时仅为50亿部。其中大约80亿部将是工业产品,而不是消费类设备。这两类设备都为黑客提供了诱人的攻击目标。 DXC的首席技术官和网络安全副总裁克里斯·莫耶尔(Chris Moyer)说:“这个行业没有放弃物联网的原因是它的价值非常高,但其风险也同样高,这就是平衡的所在。”不管行业的胃口如何,在行业解决安全问题之前,物联网的规模不大可能扩大。这将需要供应商之间的合作,政府的干预和标准化。在2017年,这些事情似乎都没有解决的眉目。 物联网有什么安全问题? 现在的共识是,物联网仍未得到充分保护,并可能带来灾难性的安全风险,因为企业相信物联网设备可用于业务、运营和安全决策。现有的标准并不到位,供应商始终在努力将恰当的智能和管理水平嵌入产品中。随着攻击者之间的协作日益紧密,需要在多个维度上解决这些挑战。下面就是物联网设备所需要面对的安全挑战: 1)与个人电脑或智能手机不同,物联网设备通常缺乏处理能力和内存。这意味着,它们缺乏强有力的安全解决方案和加密协议,而这些往往可以保护它们免受攻击威胁。 2)因为这些设备连接到互联网,它们每天都会遇到威胁。而物联网设备的搜索引擎也为黑客提供了进入网络摄像头、路由器和安全系统的机会。 3)在许多联网设备的设计或开发阶段,安全性从未被考虑过。 4)不只是物联网设备本身缺乏安全能力,许多连接它们的网络和协议也没有强大的端到端加密机制。 5)许多物联网设备需要人工干预才能升级,而其他设备根本无法升级。莫耶尔说:“这些设备中有些是非常迅速地建立起来的,它们的设计思维还局限于首次迭代之中,而且有些甚至是不可升级的。” 6)物联网设备是个“薄弱环节”,允许黑客渗透到IT系统中。如果设备连接到整个网络,这一点尤其令人担忧。 7)许多物联网设备都有默认密码,黑客可以在网上查到。鉴于这个事实,Mirai分布式拒绝服务攻击是可能的。 8)这些设备可能留有“后门”,同样为黑客提供机会。 9)物联网设备的安全成本可能会抵消其财务价值。物联网安全专家博·伍兹(Beau Woods)表示:“当你有个2美分的组件,而你需要在它身上花费1美元维护安全时,你就破坏了商业模式。” 10)这些设备也会产生大量的数据。DXC的技术项目主管基里安·麦考利(Kieran McCorry)说:“你不仅仅需要应对210亿部互联网设备,还要应对由它们生成的庞大数据。这些数据几乎是数量级的,而且远远超过了这些设备所产生的数量。这是一个巨大的数据处理问题。” 考虑到这些缺陷,企业可以通过遵守物联网安全最佳实践,这在某种程度上可以保护它们。但是,如果合规不是100%(这是不可能的),那么就不可避免地会发生攻击,导致行业对物联网失去信心。这就是安全标准势在必行的原因。 谁来制定安全标准? 各种政府机构已经对许多物联网设备进行了监管。举例来说,美国联邦航空管理局(FAA)监管无人机,美国国家公路交通安全管理局(NHTSA)监管无人驾驶车辆。美国国土安全部正积极参与基于物联网的智能城市计划,而FDA也在对物联网医疗设备进行监督。 但在目前,还没有任何政府机构负责监管智能工厂或智能家居领域使用的物联网设备。2015年,联邦贸易委员会(FTC)发布了一份关于物联网的报告,其中包括关于最佳实践的建议。在2017年初,FTC还向公众发布挑战赛,即创建“修复物联网设备中过时软件引发的安全漏洞的工具”,并为获胜者提供2.5万美元的奖金。 莫耶尔表示,虽然政府将对物联网的某些方面进行监管,但他认为只有行业才能创造出自己的标准。他设想了制定这种标准的两种途径:第一,买家推出标准,并拒绝购买不支持这个标准的产品;第二,一两个主要参与者利用其市场主导地位设定一个事实上的标准。莫耶尔说:“我不认为后一种情况会发生,目前还没有这样的主导参与者存在。” 这个行业现在有好几个标准,而不是一个或两个标准,而且似乎没有哪个标准正逐渐取得主导地位。这些标准包括基于供应商的标准,以及物联网安全基金会、IEEE、可Trusted Computing Group、物联网世界联盟以及工业互联网协会安全工作组提出的标准。所有这些机构都在研究打造安全物联网环境的标准、协议和最佳实践。 莫耶尔说,最终改变市场的将是买家,他们将开始要求标准。他解释称:“标准的制定有很多原因,有些是监管所需,但很多是因为买家认为这对他们很重要。” 由于缺乏标准,伍兹看到了几条改善物联网安全的途径:一个是商业模式的透明度。伍兹说:“如果你购买了1000辆汽车,你就可以进行‘空中更新’,而其他汽车则需要手动更新,那可能需要7个月的时间。这是不同的风险计算。” 另一种解决方案是要求制造商为他们的设备承担责任。伍兹表示,目前硬件设备的情况是这样的,但不清楚谁会为软件故障承担责任。
免责声明:本网站内容由网友自行在页面发布,上传者应自行负责所上传内容涉及的法律责任,本网站对内容真实性、版权等概不负责,亦不承担任何法律责任。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。 |
京公网安备11010802031211号