据《连线》杂志报道,物联网即将到来,但许多IT高管都在担心隐藏其中的网络安全问题。或者更准确地说,他们已经选择听天由命。5月份对553名IT决策者的研究中,78%的人表示,他们认为自己所在公司很可能会遭受物联网设备数据丢失或盗窃事故。约72%的人表示,物联网的发展速度使其难以跟上不断变化的安全要求。
这种担忧源于现实。去年10月份,黑客利用物联网设备的大约10万个“恶意端点”,攻击了控制大部分互联网域名系统基础设施的公司。最近,恶意软件WannaCry攻击使许多银行的ATM网络瘫痪。对于物联网反对者来说,这些攻击证实了他们的恐惧,即黑客可以通过劫持我们的物联网设备来制造混乱。
与此同时,物联网产业继续稳步增长。市场研究公司Gartner预测,到2020年,将有大约210亿部物联网设备存在,而2015年时仅为50亿部。其中大约80亿部将是工业产品,而不是消费类设备。这两类设备都为黑客提供了诱人的攻击目标。
DXC的首席技术官和网络安全副总裁克里斯·莫耶尔(Chris Moyer)说:“这个行业没有放弃物联网的原因是它的价值非常高,但其风险也同样高,这就是平衡的所在。”不管行业的胃口如何,在行业解决安全问题之前,物联网的规模不大可能扩大。这将需要供应商之间的合作,政府的干预和标准化。在2017年,这些事情似乎都没有解决的眉目。
物联网有什么安全问题?
现在的共识是,物联网仍未得到充分保护,并可能带来灾难性的安全风险,因为企业相信物联网设备可用于业务、运营和安全决策。现有的标准并不到位,供应商始终在努力将恰当的智能和管理水平嵌入产品中。随着攻击者之间的协作日益紧密,需要在多个维度上解决这些挑战。下面就是物联网设备所需要面对的安全挑战:
1)与个人电脑或智能手机不同,物联网设备通常缺乏处理能力和内存。这意味着,它们缺乏强有力的安全解决方案和加密协议,而这些往往可以保护它们免受攻击威胁。
2)因为这些设备连接到互联网,它们每天都会遇到威胁。而物联网设备的搜索引擎也为黑客提供了进入网络摄像头、路由器和安全系统的机会。
3)在许多联网设备的设计或开发阶段,安全性从未被考虑过。
4)不只是物联网设备本身缺乏安全能力,许多连接它们的网络和协议也没有强大的端到端加密机制。
5)许多物联网设备需要人工干预才能升级,而其他设备根本无法升级。莫耶尔说:“这些设备中有些是非常迅速地建立起来的,它们的设计思维还局限于首次迭代之中,而且有些甚至是不可升级的。”
6)物联网设备是个“薄弱环节”,允许黑客渗透到IT系统中。如果设备连接到整个网络,这一点尤其令人担忧。
7)许多物联网设备都有默认密码,黑客可以在网上查到。鉴于这个事实,Mirai分布式拒绝服务攻击是可能的。
8)这些设备可能留有“后门”,同样为黑客提供机会。
9)物联网设备的安全成本可能会抵消其财务价值。物联网安全专家博·伍兹(Beau Woods)表示:“当你有个2美分的组件,而你需要在它身上花费1美元维护安全时,你就破坏了商业模式。”
10)这些设备也会产生大量的数据。DXC的技术项目主管基里安·麦考利(Kieran McCorry)说:“你不仅仅需要应对210亿部互联网设备,还要应对由它们生成的庞大数据。这些数据几乎是数量级的,而且远远超过了这些设备所产生的数量。这是一个巨大的数据处理问题。”
考虑到这些缺陷,企业可以通过遵守物联网安全最佳实践,这在某种程度上可以保护它们。但是,如果合规不是100%(这是不可能的),那么就不可避免地会发生攻击,导致行业对物联网失去信心。这就是安全标准势在必行的原因。
谁来制定安全标准?
各种政府机构已经对许多物联网设备进行了监管。举例来说,美国联邦航空管理局(FAA)监管无人机,美国国家公路交通安全管理局(NHTSA)监管无人驾驶车辆。美国国土安全部正积极参与基于物联网的智能城市计划,而FDA也在对物联网医疗设备进行监督。
但在目前,还没有任何政府机构负责监管智能工厂或智能家居领域使用的物联网设备。2015年,联邦贸易委员会(FTC)发布了一份关于物联网的报告,其中包括关于最佳实践的建议。在2017年初,FTC还向公众发布挑战赛,即创建“修复物联网设备中过时软件引发的安全漏洞的工具”,并为获胜者提供2.5万美元的奖金。