物聯(lián)網(wǎng)在安全性方面進(jìn)展緩慢��,使得用戶隱私和人身安全一直受到威脅。在過去的幾年里�����,物聯(lián)網(wǎng)的安全問題獲得了較大的關(guān)注���,但大多數(shù)都是討論消費(fèi)者應(yīng)該如何做來(lái)保障安全���。問題是���,企業(yè)是可以比消費(fèi)者做的更多來(lái)提高安全性的。此外�,消費(fèi)者似乎對(duì)如何保護(hù)自己并不那么感興趣。
物聯(lián)網(wǎng)提供商應(yīng)汲取歷史經(jīng)驗(yàn)
20世紀(jì)30年代��,隨著汽車的普及��,醫(yī)生經(jīng)常性的接觸到與車禍相關(guān)的傷亡���,使得美國(guó)醫(yī)生開始在自己的汽車上安裝臨時(shí)安全帶����。在隨后的幾十年里���,科技人員在汽車安全方面進(jìn)行了大量的研究���。直到1968年,第一部聯(lián)邦汽車安全法才生效。它要求所有機(jī)動(dòng)車輛(公共汽車除外)都必須配備安全帶���。
對(duì)許多人來(lái)說��,安全帶確實(shí)可以挽救他們的生命��,但仍然有不少人在沒有系安全帶的情況下乘坐汽車�����。這一項(xiàng)簡(jiǎn)單的措施被很多乘客忽視��,美國(guó)各州花了幾年時(shí)間才通過了一些法律����,這些法律要求乘客系安全帶否則承擔(dān)罰款���。那為什么業(yè)界和消費(fèi)者都花了這么長(zhǎng)時(shí)間來(lái)促使大眾采用這種簡(jiǎn)單的安全機(jī)制?如今,這個(gè)問題會(huì)不會(huì)印證在物聯(lián)網(wǎng)的安全狀況上?
就像上世紀(jì)30年代的醫(yī)生一樣��,我們意識(shí)到了這個(gè)問題�����。
早在2014年��,Target公司就處理過遠(yuǎn)程訪問其網(wǎng)絡(luò)(通過HVAC系統(tǒng)連接設(shè)備)的黑客所帶來(lái)的創(chuàng)傷。單是這一次攻擊就使得數(shù)以萬(wàn)計(jì)的持卡人記錄被泄露���。在2016年底��,物聯(lián)網(wǎng)設(shè)備的安全性引起了更多的關(guān)注�。Mirai
僵尸網(wǎng)絡(luò)感染了數(shù)以十萬(wàn)計(jì)的連接設(shè)備�����。惡意代碼被用來(lái)對(duì)各種目標(biāo)發(fā)起分布式拒絕服務(wù)(DDoS)攻擊�����,造成了大規(guī)模的破壞���。賽門鐵克公司在2017年互聯(lián)網(wǎng)安全威脅報(bào)告中闡述的另一個(gè)驚人的事實(shí)是��,入侵一臺(tái)連接設(shè)備的平均時(shí)間僅為兩分鐘
�����。關(guān)注設(shè)備安全性的不僅僅是受感染的用戶/設(shè)備�,還包括這些設(shè)備所鏈接網(wǎng)絡(luò)的一部分資產(chǎn)。所以��,IT安全專家和專業(yè)人士十分關(guān)注連接設(shè)備的安全性��。
根據(jù)Gartner
的數(shù)據(jù)���,2017年連接設(shè)備的數(shù)量達(dá)到了約84億臺(tái)����。他們預(yù)測(cè)2020年市場(chǎng)將增長(zhǎng)近三倍��,達(dá)到204億美元���。也許�����,比連接設(shè)備數(shù)量更令人震驚的是接入網(wǎng)絡(luò)的沒有安全保障的設(shè)備數(shù)量。
市場(chǎng)需求推動(dòng)了增強(qiáng)功能和用戶體驗(yàn)的需求����。為了滿足當(dāng)今市場(chǎng)的需求,制造只用于功能目的的電器或產(chǎn)品的時(shí)代已經(jīng)一去不復(fù)返了����。因此�����,在企業(yè)高管們推動(dòng)業(yè)務(wù)變革和創(chuàng)新來(lái)提供這些產(chǎn)品的同時(shí)��,IT專業(yè)人員和安全專家也面臨著同樣令人擔(dān)憂的問題:公司如何才能在保正智能設(shè)備需求的同時(shí)兼顧其安全問題?
為了回答這個(gè)問題�,小編概括了一些可能造成IoT安全性危機(jī)的因素:
1���、非技術(shù)公司被迫在技術(shù)領(lǐng)域競(jìng)爭(zhēng)
2�、信息技術(shù)和安全專業(yè)人才短缺
3�����、各種各樣的設(shè)備帶來(lái)的標(biāo)準(zhǔn)化挑戰(zhàn)
在感覺一臺(tái)只烤面包的烤面包機(jī)有點(diǎn)過時(shí)的時(shí)代����,似乎每一家公司都需要成為一家科技公司。
如果一家公司要在當(dāng)今科技驅(qū)動(dòng)的經(jīng)濟(jì)中不落后��,他們必須重新定位自己在聯(lián)網(wǎng)世界中的角色——即使他們是傳統(tǒng)的家電制造商而非技術(shù)公司��。此外�����,似乎把“智能”引入傳統(tǒng)產(chǎn)品的壓力還不夠,科技公司也在尋找進(jìn)入傳統(tǒng)產(chǎn)品市場(chǎng)的方法��,這只會(huì)增加非技術(shù)公司在物聯(lián)網(wǎng)設(shè)備競(jìng)賽中競(jìng)爭(zhēng)的緊迫感�。這意味著原設(shè)備制造商或非技術(shù)公司被賦予了一項(xiàng)艱巨的任務(wù):那就是迅速地將創(chuàng)新引入市場(chǎng),這不僅滿足了設(shè)備最初的預(yù)期用途��,而且也滿足了用戶的需求���。
搶奪市場(chǎng)
那么����,什么是‘非技術(shù)’公司?非技術(shù)公司是指生產(chǎn)或制造傳統(tǒng)上不被認(rèn)為是智能或連接產(chǎn)品/設(shè)備的公司(如.冰箱�����、暖氣系統(tǒng)��、醫(yī)療設(shè)備��、汽車等)�����。另外���,科技公司是主要生產(chǎn)或開發(fā)技術(shù)的公司���,比如谷歌、亞馬遜���、微軟���、IBM等。將連接組件添加到傳統(tǒng)的非科技設(shè)備中需要大量的專業(yè)知識(shí)來(lái)研究和開發(fā)����。很多非技術(shù)公司正在尋找留在游戲中的方法,一種策略是與科技公司合并或收購(gòu)�,另一種是與科技公司進(jìn)行合資合作。
非技術(shù)公司對(duì)科技公司的收購(gòu)呈上升趨勢(shì)�����。根據(jù)彭博社的數(shù)據(jù)���,“ 在 2007 年����, 682 家 技術(shù) 公司被非技術(shù)公司收購(gòu), 655 家被科技公司收購(gòu)��。 ”
非科技公司占科技公司收購(gòu)案的一半多����。
通用汽車為了在無(wú)人駕駛汽車市場(chǎng)上與特斯拉競(jìng)爭(zhēng),采取了大膽的行動(dòng)����。他們收購(gòu)了Strobe,這是一家位于加利福尼亞州的初創(chuàng)科技公司����,專門從事無(wú)人駕駛技術(shù)的開發(fā)。
惠而浦就是采取OEM(定點(diǎn)生產(chǎn)���,俗稱代工)合作的例子�,該公司在2010年建立了一家合資企業(yè)���,將家用電器連接到互聯(lián)網(wǎng)����。他們通過與科技公司Prodea合作來(lái)建立家電與互聯(lián)網(wǎng)之間的連接�����。這一戰(zhàn)略舉措使消費(fèi)者可通過智能手機(jī)遠(yuǎn)程控制和監(jiān)控他們的設(shè)備����。
值得注意的是,上述每種策略均存在安全性方面的難題���。收購(gòu)技術(shù)公司�,仍然有責(zé)任為物聯(lián)網(wǎng)安全開發(fā)提供適當(dāng)?shù)馁Y金�。
“Gartner預(yù)測(cè),到2020年�,企業(yè)遭受的攻擊中有超過25%將涉及物聯(lián)網(wǎng),盡管物聯(lián)網(wǎng)只占IT安全預(yù)算的不到10%�����。
由于物聯(lián)網(wǎng)的預(yù)算有限以及物聯(lián)網(wǎng)的碎片化����,安全供應(yīng)商將很難提供可用的物聯(lián)網(wǎng)安全功能。
外包也不能免除非科技公司的責(zé)任�。應(yīng)制定嚴(yán)謹(jǐn)?shù)挠?jì)劃����,以確定誰(shuí)負(fù)責(zé)確保產(chǎn)品的安全設(shè)計(jì)和設(shè)備的后續(xù)支持����。只要非技術(shù)公司將軟件開發(fā)項(xiàng)目外包給第三方,非技術(shù)公司就需要負(fù)責(zé)制定完善的安全和可持續(xù)發(fā)展計(jì)劃����。從本質(zhì)上講,這要求他們通過代理成為一家科技公司�����。
安全專業(yè)人員缺口大
市場(chǎng)對(duì)智能技術(shù)型人才的需求愈加迫切����,但與此同時(shí),身懷安全智能技術(shù)的技能人員卻日益短缺��。正如思科的Sudashan
Krishnamurthi所報(bào)告的那樣�����,“許多組織正致力于了解哪些技能是成功的物聯(lián)網(wǎng)項(xiàng)目所必需的”。此外��,ISC 2
的分析人士認(rèn)為�,到2020年,安全專業(yè)人員將短缺150萬(wàn)人��。
這并不是說物聯(lián)網(wǎng)行業(yè)沒有為此做出努力����。為了彌補(bǔ)缺乏合格專業(yè)人員的問題�����,主要的安全行業(yè)組織正在增加認(rèn)證項(xiàng)目和培訓(xùn)機(jī)會(huì)���。例如��,ISC
2創(chuàng)建了國(guó)際學(xué)術(shù)計(jì)劃�����,以支持高等教育機(jī)構(gòu)開發(fā)安全課程�,建立網(wǎng)絡(luò)安全與教育中心 ���。該中心設(shè)立了獎(jiǎng)學(xué)金����,以吸引人才投身網(wǎng)絡(luò)安全領(lǐng)域。此外���,ISC 2
(與網(wǎng)絡(luò)安全有關(guān)的一個(gè)基金會(huì))為強(qiáng)調(diào)了這一問題��,提出了下列相關(guān)的建議:
1����、為學(xué)生提供更多的實(shí)踐機(jī)會(huì)����,為他們提供更多的入門課程.
2、將網(wǎng)絡(luò)安全和信息安全納入學(xué)術(shù)課程�����。
3�、開拓新的人才來(lái)源,或充分挖掘仍未充分利用的現(xiàn)有人才(如社區(qū)大學(xué)生����、婦女、回國(guó)服務(wù)人員及少數(shù)民族)
4、整合人才選拔流程����,優(yōu)化整體人才資源。
最大的風(fēng)險(xiǎn)是��,這些產(chǎn)品被創(chuàng)造和進(jìn)入市場(chǎng)的速度�。如芝加哥論壇報(bào) ,Haka產(chǎn)品的創(chuàng)始人Colm
Lennon說:“在這個(gè)萬(wàn)物互聯(lián)的物聯(lián)網(wǎng)空間中��,所有的角色都必須緊密合作�����,如果公司想要以極快的速度進(jìn)行創(chuàng)新�����,同時(shí)也要進(jìn)行安全功能創(chuàng)新�����。這樣做是為了保護(hù)他們的客戶�,保護(hù)自己��,保護(hù)他們的合作伙伴?�!彪S著企業(yè)努力發(fā)展和變革���,他們的戰(zhàn)略需要納入消費(fèi)者保護(hù)�����,而不是單純的在市場(chǎng)競(jìng)爭(zhēng)中處于優(yōu)勝地位���。
物聯(lián)網(wǎng)設(shè)備面臨的安全挑戰(zhàn)
物聯(lián)網(wǎng)系統(tǒng)中有各種各樣的設(shè)備和體系結(jié)構(gòu),這就帶來(lái)了各種各樣的安全挑戰(zhàn)����。連接的設(shè)備執(zhí)行各種功能,包括處理���、存儲(chǔ)和傳輸數(shù)據(jù);一些設(shè)備要執(zhí)行三個(gè)功能��,一些只執(zhí)行一個(gè)�����。此外���,物聯(lián)網(wǎng)設(shè)備有不同的形狀和大小���。大多數(shù)設(shè)備都是小巧而離散的。
正如Nick
Allot博士在2016年物聯(lián)網(wǎng)安全會(huì)議所指出的�����,處理數(shù)據(jù)受限的低功耗設(shè)備有著重大的安全挑戰(zhàn)�,這些設(shè)備很難保證數(shù)據(jù)加密。設(shè)備小���,處理能力自然受到限制�����。在設(shè)備功能、尺寸和安全性之間尋找一個(gè)平衡點(diǎn)是設(shè)備開發(fā)商和制造商面臨的主要障礙之一��。
各種類型的安全體系都是可用的�����。然而, 根據(jù)發(fā)表在《沙特國(guó)王大學(xué)》雜志上的一項(xiàng)研究,
這些體系結(jié)構(gòu)的核心問題是抽象層面上互聯(lián)的事物缺乏充分的互操作性�����。這導(dǎo)致了很多的問題, 如:
不智能、適應(yīng)性較差�����、匿名性有限�、系統(tǒng)行為不良、隱私和安全性降低���。
應(yīng)要求設(shè)計(jì)的安全性
不論非科技公司是如何將聯(lián)網(wǎng)設(shè)備集成到他們的產(chǎn)品中���,有一件事是肯定的:安全必須首先被考慮。盡管各個(gè)行業(yè)的管理層都想出了如何將物聯(lián)網(wǎng)納入未來(lái)的業(yè)務(wù)計(jì)劃�,但安全專業(yè)人士必須就安全標(biāo)準(zhǔn)達(dá)成共識(shí)。問題是����,全球經(jīng)濟(jì)仍繼續(xù)通過技術(shù)實(shí)現(xiàn)增長(zhǎng),而物聯(lián)網(wǎng)設(shè)備制造商卻沒有一套確保設(shè)備安全的監(jiān)管標(biāo)準(zhǔn)�����。
物聯(lián)網(wǎng)行業(yè)可以著手很多事情來(lái)提高產(chǎn)品安全性���。企業(yè)�����、政府都提出了SRO(成交率
優(yōu)化)的最佳策略��。谷歌�、亞馬遜和微軟等云供應(yīng)商都稱擁有物聯(lián)網(wǎng)安全最佳解決方案,從加密�����,認(rèn)證�����,及時(shí)修補(bǔ)和防止惡意活動(dòng)角度出發(fā)����,可保證基礎(chǔ)設(shè)施安全����。一些云供應(yīng)商甚至從安全性的角度指導(dǎo)設(shè)備制造商。他們推廣的標(biāo)準(zhǔn)有:可修補(bǔ)的設(shè)備設(shè)計(jì)���、加密的數(shù)據(jù)����、沒有硬編碼的密碼、沒有已知的安全漏洞以及使用行業(yè)標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議���。
同樣����,一個(gè)非營(yíng)利性組織物聯(lián)網(wǎng)安全基金會(huì)(IOTSF)被建立���,該組織已發(fā)表了大量最佳實(shí)踐用戶指南����,可供實(shí)施合規(guī)性框架的組織使用����。馬薩諸塞州和加州參議員于2017年10月起草了一項(xiàng)法案,以確保物聯(lián)網(wǎng)設(shè)備滿足某些網(wǎng)絡(luò)安全要求����,給滿足網(wǎng)絡(luò)安全的設(shè)備一個(gè)安全印章或標(biāo)記。參議員Edward
J.
Markey說��,預(yù)期的結(jié)果是“幫助消費(fèi)者識(shí)別符合某些安全標(biāo)準(zhǔn)的產(chǎn)品”。這些印章或標(biāo)記有助于提高消費(fèi)者的安全意識(shí)�,通過這種方式,經(jīng)濟(jì)發(fā)展的同時(shí)可以更快地驅(qū)動(dòng)受保護(hù)的設(shè)備的增長(zhǎng)��。
物聯(lián)網(wǎng)行業(yè)可以提高設(shè)備安全合規(guī)度
云和物聯(lián)網(wǎng)網(wǎng)絡(luò)供應(yīng)商可以聯(lián)合起來(lái)保護(hù)物聯(lián)網(wǎng)系統(tǒng)��。例如�,支付品牌Visa、MasterCard和美國(guó)運(yùn)通通過創(chuàng)建支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)
����,來(lái)減少信用卡詐騙。
云和物聯(lián)網(wǎng)解決方案提供商�,如谷歌、微軟和AT&T會(huì)通過執(zhí)行安全標(biāo)準(zhǔn)來(lái)保護(hù)聯(lián)網(wǎng)設(shè)備嗎?有一天�,這些供應(yīng)商會(huì)要求設(shè)備制造商提供第三方審計(jì)安全聲明,這將是一件很有趣的事情��。為此�����,第三方審計(jì)機(jī)構(gòu)將越來(lái)越需要獨(dú)立審查安全盡職調(diào)查����。
也許,目前業(yè)界可以采用的安全最佳實(shí)踐是更新連接設(shè)備使用的互聯(lián)網(wǎng)協(xié)議�。正如Charles
Sun所說,“當(dāng)我們關(guān)閉IPv4時(shí)�����,我們將消除基于IPv4堆棧的全球網(wǎng)絡(luò)攻擊和安全威脅”����。在保護(hù)數(shù)據(jù)方面,政府比消費(fèi)者更具利害關(guān)系����,因此,政府更加關(guān)注安全問題�。我們不僅可以使用IPv6保護(hù)目前的設(shè)備,而且IPv6還可以擴(kuò)展到未來(lái)出現(xiàn)的連接設(shè)備�����。美國(guó)食品和藥物管理局和美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所已經(jīng)發(fā)布了行業(yè)和國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化指南��,而英國(guó)金融培訓(xùn)集團(tuán)正在積極尋求簡(jiǎn)單易用的用戶友好型解決方案��,以幫助消費(fèi)者保護(hù)他們的智能家居設(shè)備。
如何保護(hù)物聯(lián)網(wǎng)設(shè)備
物聯(lián)網(wǎng)醫(yī)療設(shè)備的一些安全問題實(shí)際上并不是源于設(shè)備本身����。根據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全公司ZingBox的一項(xiàng)新研究,“最常見的物聯(lián)網(wǎng)醫(yī)療設(shè)備安全警報(bào)來(lái)自用戶實(shí)踐(比如使用醫(yī)療工作站上的嵌入式瀏覽器瀏覽網(wǎng)頁(yè)��、進(jìn)行在線聊天或下載內(nèi)容)���,占所有安全警報(bào)的41%����?���!?/p>
消費(fèi)者不能完全依靠設(shè)備制造商來(lái)保證產(chǎn)品安全,但是90% 的消費(fèi)者對(duì)保護(hù)自己的設(shè)備缺乏信心�。
然而,消費(fèi)者確實(shí)可以做些事情來(lái)確保物聯(lián)網(wǎng)設(shè)備安全�����?;叵胍幌拢?0世紀(jì)的汽車死亡危機(jī)�,這個(gè)危機(jī)需要個(gè)人�、工業(yè)�����、州和聯(lián)邦政黨被一個(gè)簡(jiǎn)單的解決方案聯(lián)合起來(lái):安全帶���。物聯(lián)網(wǎng)設(shè)備連接到消費(fèi)者的家庭網(wǎng)絡(luò),通常消費(fèi)者的智能手機(jī)或集線器保持對(duì)家庭網(wǎng)絡(luò)的直接控制�����。出于這個(gè)原因���,消費(fèi)者需要確保三個(gè)領(lǐng)域:智能手機(jī)�、家庭網(wǎng)絡(luò)和連接設(shè)備的安全�。
1��、保護(hù)智能手機(jī)
使用強(qiáng)密碼并鎖定屏幕
盡可能使用多中要素進(jìn)行身份驗(yàn)證
安裝安全軟件
任何用于控制設(shè)備的應(yīng)用程序都需要進(jìn)行補(bǔ)丁更新。
2����、重視家庭網(wǎng)絡(luò)安全性
在連接的設(shè)備上創(chuàng)建網(wǎng)絡(luò),以便在線購(gòu)物或銀行存儲(chǔ)
設(shè)置WiFi時(shí)使用加密協(xié)議
使用提供防火墻保護(hù)的路由器
使用強(qiáng)密碼并更改默認(rèn)用戶名和密碼
更新��,保證使用的軟件是最新版本
3、關(guān)注連接設(shè)備
了解設(shè)備的工作原理��、功能以及它傳輸或存儲(chǔ)的數(shù)據(jù)��。
確定設(shè)備是否需要連接到Internet
為每個(gè)設(shè)備設(shè)置強(qiáng)而獨(dú)特的密碼���。
收到通知后注冊(cè)安裝更新
消費(fèi)者應(yīng)該了解了自己確實(shí)可以保護(hù)物聯(lián)網(wǎng)����。 安全標(biāo)準(zhǔn)和協(xié)議正在慢慢融合在一起��。 加速安全物聯(lián)網(wǎng)系統(tǒng)的做法可以像這樣簡(jiǎn)單:
加強(qiáng)網(wǎng)絡(luò)安全教育���,鼓勵(lì)年輕一代尋求與網(wǎng)絡(luò)安全/信息安全有關(guān)的職業(yè);設(shè)置網(wǎng)絡(luò)安全/信息安全課程���,即使是針對(duì)低年級(jí)學(xué)生;多宣傳提高消費(fèi)者網(wǎng)絡(luò)安全意識(shí)
企業(yè)能做什么:聘用安全專業(yè)人員、有的放矢地投資于網(wǎng)絡(luò)安全�、使用受信任的第三方并建立透明的業(yè)務(wù)關(guān)系、做更多的網(wǎng)絡(luò)安全研究并加入IOTSF�、支持政府法規(guī)
如果您碰巧在物聯(lián)網(wǎng)行業(yè),期待您的企業(yè)可以做到上述幾點(diǎn)��,以確保產(chǎn)品的安全性處于最前沿�。如果您是消費(fèi)者��,是在使用物聯(lián)網(wǎng)����,那對(duì)網(wǎng)絡(luò)和設(shè)備的安全性進(jìn)行反復(fù)檢查確認(rèn)是很有必要的!
