技術(shù)
導(dǎo)讀:物聯(lián)網(wǎng)在安全性方面進(jìn)展緩慢,使得用戶(hù)隱私和人身安全一直受到威脅。
物聯(lián)網(wǎng)在安全性方面進(jìn)展緩慢,使得用戶(hù)隱私和人身安全一直受到威脅。在過(guò)去的幾年里,物聯(lián)網(wǎng)的安全問(wèn)題獲得了較大的關(guān)注,但大多數(shù)都是討論消費(fèi)者應(yīng)該如何做來(lái)保障安全。問(wèn)題是,企業(yè)是可以比消費(fèi)者做的更多來(lái)提高安全性的。此外,消費(fèi)者似乎對(duì)如何保護(hù)自己并不那么感興趣。
物聯(lián)網(wǎng)提供商應(yīng)汲取歷史經(jīng)驗(yàn)
20世紀(jì)30年代,隨著汽車(chē)的普及,醫(yī)生經(jīng)常性的接觸到與車(chē)禍相關(guān)的傷亡,使得美國(guó)醫(yī)生開(kāi)始在自己的汽車(chē)上安裝臨時(shí)安全帶。在隨后的幾十年里,科技人員在汽車(chē)安全方面進(jìn)行了大量的研究。直到1968年,第一部聯(lián)邦汽車(chē)安全法才生效。它要求所有機(jī)動(dòng)車(chē)輛(公共汽車(chē)除外)都必須配備安全帶。
對(duì)許多人來(lái)說(shuō),安全帶確實(shí)可以挽救他們的生命,但仍然有不少人在沒(méi)有系安全帶的情況下乘坐汽車(chē)。這一項(xiàng)簡(jiǎn)單的措施被很多乘客忽視,美國(guó)各州花了幾年時(shí)間才通過(guò)了一些法律,這些法律要求乘客系安全帶否則承擔(dān)罰款。那為什么業(yè)界和消費(fèi)者都花了這么長(zhǎng)時(shí)間來(lái)促使大眾采用這種簡(jiǎn)單的安全機(jī)制?如今,這個(gè)問(wèn)題會(huì)不會(huì)印證在物聯(lián)網(wǎng)的安全狀況上?
就像上世紀(jì)30年代的醫(yī)生一樣,我們意識(shí)到了這個(gè)問(wèn)題。
早在2014年,Target公司就處理過(guò)遠(yuǎn)程訪問(wèn)其網(wǎng)絡(luò)(通過(guò)HVAC系統(tǒng)連接設(shè)備)的黑客所帶來(lái)的創(chuàng)傷。單是這一次攻擊就使得數(shù)以萬(wàn)計(jì)的持卡人記錄被泄露。在2016年底,物聯(lián)網(wǎng)設(shè)備的安全性引起了更多的關(guān)注。Mirai 僵尸網(wǎng)絡(luò)感染了數(shù)以十萬(wàn)計(jì)的連接設(shè)備。惡意代碼被用來(lái)對(duì)各種目標(biāo)發(fā)起分布式拒絕服務(wù)(DDoS)攻擊,造成了大規(guī)模的破壞。賽門(mén)鐵克公司在2017年互聯(lián)網(wǎng)安全威脅報(bào)告中闡述的另一個(gè)驚人的事實(shí)是,入侵一臺(tái)連接設(shè)備的平均時(shí)間僅為兩分鐘 。關(guān)注設(shè)備安全性的不僅僅是受感染的用戶(hù)/設(shè)備,還包括這些設(shè)備所鏈接網(wǎng)絡(luò)的一部分資產(chǎn)。所以,IT安全專(zhuān)家和專(zhuān)業(yè)人士十分關(guān)注連接設(shè)備的安全性。
根據(jù)Gartner 的數(shù)據(jù),2017年連接設(shè)備的數(shù)量達(dá)到了約84億臺(tái)。他們預(yù)測(cè)2020年市場(chǎng)將增長(zhǎng)近三倍,達(dá)到204億美元。也許,比連接設(shè)備數(shù)量更令人震驚的是接入網(wǎng)絡(luò)的沒(méi)有安全保障的設(shè)備數(shù)量。
市場(chǎng)需求推動(dòng)了增強(qiáng)功能和用戶(hù)體驗(yàn)的需求。為了滿(mǎn)足當(dāng)今市場(chǎng)的需求,制造只用于功能目的的電器或產(chǎn)品的時(shí)代已經(jīng)一去不復(fù)返了。因此,在企業(yè)高管們推動(dòng)業(yè)務(wù)變革和創(chuàng)新來(lái)提供這些產(chǎn)品的同時(shí),IT專(zhuān)業(yè)人員和安全專(zhuān)家也面臨著同樣令人擔(dān)憂(yōu)的問(wèn)題:公司如何才能在保正智能設(shè)備需求的同時(shí)兼顧其安全問(wèn)題?
為了回答這個(gè)問(wèn)題,小編概括了一些可能造成IoT安全性危機(jī)的因素:
1、非技術(shù)公司被迫在技術(shù)領(lǐng)域競(jìng)爭(zhēng)
2、信息技術(shù)和安全專(zhuān)業(yè)人才短缺
3、各種各樣的設(shè)備帶來(lái)的標(biāo)準(zhǔn)化挑戰(zhàn)
在感覺(jué)一臺(tái)只烤面包的烤面包機(jī)有點(diǎn)過(guò)時(shí)的時(shí)代,似乎每一家公司都需要成為一家科技公司。
如果一家公司要在當(dāng)今科技驅(qū)動(dòng)的經(jīng)濟(jì)中不落后,他們必須重新定位自己在聯(lián)網(wǎng)世界中的角色——即使他們是傳統(tǒng)的家電制造商而非技術(shù)公司。此外,似乎把“智能”引入傳統(tǒng)產(chǎn)品的壓力還不夠,科技公司也在尋找進(jìn)入傳統(tǒng)產(chǎn)品市場(chǎng)的方法,這只會(huì)增加非技術(shù)公司在物聯(lián)網(wǎng)設(shè)備競(jìng)賽中競(jìng)爭(zhēng)的緊迫感。這意味著原設(shè)備制造商或非技術(shù)公司被賦予了一項(xiàng)艱巨的任務(wù):那就是迅速地將創(chuàng)新引入市場(chǎng),這不僅滿(mǎn)足了設(shè)備最初的預(yù)期用途,而且也滿(mǎn)足了用戶(hù)的需求。
搶奪市場(chǎng)
那么,什么是‘非技術(shù)’公司?非技術(shù)公司是指生產(chǎn)或制造傳統(tǒng)上不被認(rèn)為是智能或連接產(chǎn)品/設(shè)備的公司(如.冰箱、暖氣系統(tǒng)、醫(yī)療設(shè)備、汽車(chē)等)。另外,科技公司是主要生產(chǎn)或開(kāi)發(fā)技術(shù)的公司,比如谷歌、亞馬遜、微軟、IBM等。將連接組件添加到傳統(tǒng)的非科技設(shè)備中需要大量的專(zhuān)業(yè)知識(shí)來(lái)研究和開(kāi)發(fā)。很多非技術(shù)公司正在尋找留在游戲中的方法,一種策略是與科技公司合并或收購(gòu),另一種是與科技公司進(jìn)行合資合作。
非技術(shù)公司對(duì)科技公司的收購(gòu)呈上升趨勢(shì)。根據(jù)彭博社的數(shù)據(jù),“ 在 2007 年, 682 家 技術(shù) 公司被非技術(shù)公司收購(gòu), 655 家被科技公司收購(gòu)。 ” 非科技公司占科技公司收購(gòu)案的一半多。
通用汽車(chē)為了在無(wú)人駕駛汽車(chē)市場(chǎng)上與特斯拉競(jìng)爭(zhēng),采取了大膽的行動(dòng)。他們收購(gòu)了Strobe,這是一家位于加利福尼亞州的初創(chuàng)科技公司,專(zhuān)門(mén)從事無(wú)人駕駛技術(shù)的開(kāi)發(fā)。
惠而浦就是采取OEM(定點(diǎn)生產(chǎn),俗稱(chēng)代工)合作的例子,該公司在2010年建立了一家合資企業(yè),將家用電器連接到互聯(lián)網(wǎng)。他們通過(guò)與科技公司Prodea合作來(lái)建立家電與互聯(lián)網(wǎng)之間的連接。這一戰(zhàn)略舉措使消費(fèi)者可通過(guò)智能手機(jī)遠(yuǎn)程控制和監(jiān)控他們的設(shè)備。
值得注意的是,上述每種策略均存在安全性方面的難題。收購(gòu)技術(shù)公司,仍然有責(zé)任為物聯(lián)網(wǎng)安全開(kāi)發(fā)提供適當(dāng)?shù)馁Y金。 “Gartner預(yù)測(cè),到2020年,企業(yè)遭受的攻擊中有超過(guò)25%將涉及物聯(lián)網(wǎng),盡管物聯(lián)網(wǎng)只占IT安全預(yù)算的不到10%。 由于物聯(lián)網(wǎng)的預(yù)算有限以及物聯(lián)網(wǎng)的碎片化,安全供應(yīng)商將很難提供可用的物聯(lián)網(wǎng)安全功能。
外包也不能免除非科技公司的責(zé)任。應(yīng)制定嚴(yán)謹(jǐn)?shù)挠?jì)劃,以確定誰(shuí)負(fù)責(zé)確保產(chǎn)品的安全設(shè)計(jì)和設(shè)備的后續(xù)支持。只要非技術(shù)公司將軟件開(kāi)發(fā)項(xiàng)目外包給第三方,非技術(shù)公司就需要負(fù)責(zé)制定完善的安全和可持續(xù)發(fā)展計(jì)劃。從本質(zhì)上講,這要求他們通過(guò)代理成為一家科技公司。
安全專(zhuān)業(yè)人員缺口大
市場(chǎng)對(duì)智能技術(shù)型人才的需求愈加迫切,但與此同時(shí),身懷安全智能技術(shù)的技能人員卻日益短缺。正如思科的Sudashan Krishnamurthi所報(bào)告的那樣,“許多組織正致力于了解哪些技能是成功的物聯(lián)網(wǎng)項(xiàng)目所必需的”。此外,ISC 2 的分析人士認(rèn)為,到2020年,安全專(zhuān)業(yè)人員將短缺150萬(wàn)人。
這并不是說(shuō)物聯(lián)網(wǎng)行業(yè)沒(méi)有為此做出努力。為了彌補(bǔ)缺乏合格專(zhuān)業(yè)人員的問(wèn)題,主要的安全行業(yè)組織正在增加認(rèn)證項(xiàng)目和培訓(xùn)機(jī)會(huì)。例如,ISC 2創(chuàng)建了國(guó)際學(xué)術(shù)計(jì)劃,以支持高等教育機(jī)構(gòu)開(kāi)發(fā)安全課程,建立網(wǎng)絡(luò)安全與教育中心 。該中心設(shè)立了獎(jiǎng)學(xué)金,以吸引人才投身網(wǎng)絡(luò)安全領(lǐng)域。此外,ISC 2 (與網(wǎng)絡(luò)安全有關(guān)的一個(gè)基金會(huì))為強(qiáng)調(diào)了這一問(wèn)題,提出了下列相關(guān)的建議:
1、為學(xué)生提供更多的實(shí)踐機(jī)會(huì),為他們提供更多的入門(mén)課程.
2、將網(wǎng)絡(luò)安全和信息安全納入學(xué)術(shù)課程。
3、開(kāi)拓新的人才來(lái)源,或充分挖掘仍未充分利用的現(xiàn)有人才(如社區(qū)大學(xué)生、婦女、回國(guó)服務(wù)人員及少數(shù)民族)
4、整合人才選拔流程,優(yōu)化整體人才資源。
最大的風(fēng)險(xiǎn)是,這些產(chǎn)品被創(chuàng)造和進(jìn)入市場(chǎng)的速度。如芝加哥論壇報(bào) ,Haka產(chǎn)品的創(chuàng)始人Colm Lennon說(shuō):“在這個(gè)萬(wàn)物互聯(lián)的物聯(lián)網(wǎng)空間中,所有的角色都必須緊密合作,如果公司想要以極快的速度進(jìn)行創(chuàng)新,同時(shí)也要進(jìn)行安全功能創(chuàng)新。這樣做是為了保護(hù)他們的客戶(hù),保護(hù)自己,保護(hù)他們的合作伙伴?!彪S著企業(yè)努力發(fā)展和變革,他們的戰(zhàn)略需要納入消費(fèi)者保護(hù),而不是單純的在市場(chǎng)競(jìng)爭(zhēng)中處于優(yōu)勝地位。
物聯(lián)網(wǎng)設(shè)備面臨的安全挑戰(zhàn)
物聯(lián)網(wǎng)系統(tǒng)中有各種各樣的設(shè)備和體系結(jié)構(gòu),這就帶來(lái)了各種各樣的安全挑戰(zhàn)。連接的設(shè)備執(zhí)行各種功能,包括處理、存儲(chǔ)和傳輸數(shù)據(jù);一些設(shè)備要執(zhí)行三個(gè)功能,一些只執(zhí)行一個(gè)。此外,物聯(lián)網(wǎng)設(shè)備有不同的形狀和大小。大多數(shù)設(shè)備都是小巧而離散的。
正如Nick Allot博士在2016年物聯(lián)網(wǎng)安全會(huì)議所指出的,處理數(shù)據(jù)受限的低功耗設(shè)備有著重大的安全挑戰(zhàn),這些設(shè)備很難保證數(shù)據(jù)加密。設(shè)備小,處理能力自然受到限制。在設(shè)備功能、尺寸和安全性之間尋找一個(gè)平衡點(diǎn)是設(shè)備開(kāi)發(fā)商和制造商面臨的主要障礙之一。
各種類(lèi)型的安全體系都是可用的。然而, 根據(jù)發(fā)表在《沙特國(guó)王大學(xué)》雜志上的一項(xiàng)研究, 這些體系結(jié)構(gòu)的核心問(wèn)題是抽象層面上互聯(lián)的事物缺乏充分的互操作性。這導(dǎo)致了很多的問(wèn)題, 如: 不智能、適應(yīng)性較差、匿名性有限、系統(tǒng)行為不良、隱私和安全性降低。
應(yīng)要求設(shè)計(jì)的安全性
不論非科技公司是如何將聯(lián)網(wǎng)設(shè)備集成到他們的產(chǎn)品中,有一件事是肯定的:安全必須首先被考慮。盡管各個(gè)行業(yè)的管理層都想出了如何將物聯(lián)網(wǎng)納入未來(lái)的業(yè)務(wù)計(jì)劃,但安全專(zhuān)業(yè)人士必須就安全標(biāo)準(zhǔn)達(dá)成共識(shí)。問(wèn)題是,全球經(jīng)濟(jì)仍繼續(xù)通過(guò)技術(shù)實(shí)現(xiàn)增長(zhǎng),而物聯(lián)網(wǎng)設(shè)備制造商卻沒(méi)有一套確保設(shè)備安全的監(jiān)管標(biāo)準(zhǔn)。
物聯(lián)網(wǎng)行業(yè)可以著手很多事情來(lái)提高產(chǎn)品安全性。企業(yè)、政府都提出了SRO(成交率 優(yōu)化)的最佳策略。谷歌、亞馬遜和微軟等云供應(yīng)商都稱(chēng)擁有物聯(lián)網(wǎng)安全最佳解決方案,從加密,認(rèn)證,及時(shí)修補(bǔ)和防止惡意活動(dòng)角度出發(fā),可保證基礎(chǔ)設(shè)施安全。一些云供應(yīng)商甚至從安全性的角度指導(dǎo)設(shè)備制造商。他們推廣的標(biāo)準(zhǔn)有:可修補(bǔ)的設(shè)備設(shè)計(jì)、加密的數(shù)據(jù)、沒(méi)有硬編碼的密碼、沒(méi)有已知的安全漏洞以及使用行業(yè)標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議。
同樣,一個(gè)非營(yíng)利性組織物聯(lián)網(wǎng)安全基金會(huì)(IOTSF)被建立,該組織已發(fā)表了大量最佳實(shí)踐用戶(hù)指南,可供實(shí)施合規(guī)性框架的組織使用。馬薩諸塞州和加州參議員于2017年10月起草了一項(xiàng)法案,以確保物聯(lián)網(wǎng)設(shè)備滿(mǎn)足某些網(wǎng)絡(luò)安全要求,給滿(mǎn)足網(wǎng)絡(luò)安全的設(shè)備一個(gè)安全印章或標(biāo)記。參議員Edward J. Markey說(shuō),預(yù)期的結(jié)果是“幫助消費(fèi)者識(shí)別符合某些安全標(biāo)準(zhǔn)的產(chǎn)品”。這些印章或標(biāo)記有助于提高消費(fèi)者的安全意識(shí),通過(guò)這種方式,經(jīng)濟(jì)發(fā)展的同時(shí)可以更快地驅(qū)動(dòng)受保護(hù)的設(shè)備的增長(zhǎng)。
物聯(lián)網(wǎng)行業(yè)可以提高設(shè)備安全合規(guī)度
云和物聯(lián)網(wǎng)網(wǎng)絡(luò)供應(yīng)商可以聯(lián)合起來(lái)保護(hù)物聯(lián)網(wǎng)系統(tǒng)。例如,支付品牌Visa、MasterCard和美國(guó)運(yùn)通通過(guò)創(chuàng)建支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) ,來(lái)減少信用卡詐騙。
云和物聯(lián)網(wǎng)解決方案提供商,如谷歌、微軟和AT&T會(huì)通過(guò)執(zhí)行安全標(biāo)準(zhǔn)來(lái)保護(hù)聯(lián)網(wǎng)設(shè)備嗎?有一天,這些供應(yīng)商會(huì)要求設(shè)備制造商提供第三方審計(jì)安全聲明,這將是一件很有趣的事情。為此,第三方審計(jì)機(jī)構(gòu)將越來(lái)越需要獨(dú)立審查安全盡職調(diào)查。
也許,目前業(yè)界可以采用的安全最佳實(shí)踐是更新連接設(shè)備使用的互聯(lián)網(wǎng)協(xié)議。正如Charles Sun所說(shuō),“當(dāng)我們關(guān)閉IPv4時(shí),我們將消除基于IPv4堆棧的全球網(wǎng)絡(luò)攻擊和安全威脅”。在保護(hù)數(shù)據(jù)方面,政府比消費(fèi)者更具利害關(guān)系,因此,政府更加關(guān)注安全問(wèn)題。我們不僅可以使用IPv6保護(hù)目前的設(shè)備,而且IPv6還可以擴(kuò)展到未來(lái)出現(xiàn)的連接設(shè)備。美國(guó)食品和藥物管理局和美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所已經(jīng)發(fā)布了行業(yè)和國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化指南,而英國(guó)金融培訓(xùn)集團(tuán)正在積極尋求簡(jiǎn)單易用的用戶(hù)友好型解決方案,以幫助消費(fèi)者保護(hù)他們的智能家居設(shè)備。
如何保護(hù)物聯(lián)網(wǎng)設(shè)備
物聯(lián)網(wǎng)醫(yī)療設(shè)備的一些安全問(wèn)題實(shí)際上并不是源于設(shè)備本身。根據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全公司ZingBox的一項(xiàng)新研究,“最常見(jiàn)的物聯(lián)網(wǎng)醫(yī)療設(shè)備安全警報(bào)來(lái)自用戶(hù)實(shí)踐(比如使用醫(yī)療工作站上的嵌入式瀏覽器瀏覽網(wǎng)頁(yè)、進(jìn)行在線聊天或下載內(nèi)容),占所有安全警報(bào)的41%?!?/p>
消費(fèi)者不能完全依靠設(shè)備制造商來(lái)保證產(chǎn)品安全,但是90% 的消費(fèi)者對(duì)保護(hù)自己的設(shè)備缺乏信心。 然而,消費(fèi)者確實(shí)可以做些事情來(lái)確保物聯(lián)網(wǎng)設(shè)備安全?;叵胍幌拢?0世紀(jì)的汽車(chē)死亡危機(jī),這個(gè)危機(jī)需要個(gè)人、工業(yè)、州和聯(lián)邦政黨被一個(gè)簡(jiǎn)單的解決方案聯(lián)合起來(lái):安全帶。物聯(lián)網(wǎng)設(shè)備連接到消費(fèi)者的家庭網(wǎng)絡(luò),通常消費(fèi)者的智能手機(jī)或集線器保持對(duì)家庭網(wǎng)絡(luò)的直接控制。出于這個(gè)原因,消費(fèi)者需要確保三個(gè)領(lǐng)域:智能手機(jī)、家庭網(wǎng)絡(luò)和連接設(shè)備的安全。
1、保護(hù)智能手機(jī)
使用強(qiáng)密碼并鎖定屏幕
盡可能使用多中要素進(jìn)行身份驗(yàn)證
安裝安全軟件
任何用于控制設(shè)備的應(yīng)用程序都需要進(jìn)行補(bǔ)丁更新。
2、重視家庭網(wǎng)絡(luò)安全性
在連接的設(shè)備上創(chuàng)建網(wǎng)絡(luò),以便在線購(gòu)物或銀行存儲(chǔ)
設(shè)置WiFi時(shí)使用加密協(xié)議
使用提供防火墻保護(hù)的路由器
使用強(qiáng)密碼并更改默認(rèn)用戶(hù)名和密碼
更新,保證使用的軟件是最新版本
3、關(guān)注連接設(shè)備
了解設(shè)備的工作原理、功能以及它傳輸或存儲(chǔ)的數(shù)據(jù)。
確定設(shè)備是否需要連接到Internet
為每個(gè)設(shè)備設(shè)置強(qiáng)而獨(dú)特的密碼。
收到通知后注冊(cè)安裝更新
消費(fèi)者應(yīng)該了解了自己確實(shí)可以保護(hù)物聯(lián)網(wǎng)。 安全標(biāo)準(zhǔn)和協(xié)議正在慢慢融合在一起。 加速安全物聯(lián)網(wǎng)系統(tǒng)的做法可以像這樣簡(jiǎn)單:
加強(qiáng)網(wǎng)絡(luò)安全教育,鼓勵(lì)年輕一代尋求與網(wǎng)絡(luò)安全/信息安全有關(guān)的職業(yè);設(shè)置網(wǎng)絡(luò)安全/信息安全課程,即使是針對(duì)低年級(jí)學(xué)生;多宣傳提高消費(fèi)者網(wǎng)絡(luò)安全意識(shí)
企業(yè)能做什么:聘用安全專(zhuān)業(yè)人員、有的放矢地投資于網(wǎng)絡(luò)安全、使用受信任的第三方并建立透明的業(yè)務(wù)關(guān)系、做更多的網(wǎng)絡(luò)安全研究并加入IOTSF、支持政府法規(guī)
如果您碰巧在物聯(lián)網(wǎng)行業(yè),期待您的企業(yè)可以做到上述幾點(diǎn),以確保產(chǎn)品的安全性處于最前沿。如果您是消費(fèi)者,是在使用物聯(lián)網(wǎng),那對(duì)網(wǎng)絡(luò)和設(shè)備的安全性進(jìn)行反復(fù)檢查確認(rèn)是很有必要的!