物聯(lián)網(wǎng)在安全性方面進展緩慢,使得用戶隱私和人身安全一直受到威脅�。在過去的幾年里,物聯(lián)網(wǎng)的安全問題獲得了較大的關注�,但大多數(shù)都是討論消費者應該如何做來保障安全。問題是�,企業(yè)是可以比消費者做的更多來提高安全性的。此外��,消費者似乎對如何保護自己并不那么感興趣�。
物聯(lián)網(wǎng)提供商應汲取歷史經(jīng)驗
20世紀30年代,隨著汽車的普及,醫(yī)生經(jīng)常性的接觸到與車禍相關的傷亡��,使得美國醫(yī)生開始在自己的汽車上安裝臨時安全帶��。在隨后的幾十年里�,科技人員在汽車安全方面進行了大量的研究�。直到1968年,第一部聯(lián)邦汽車安全法才生效�。它要求所有機動車輛(公共汽車除外)都必須配備安全帶。
對許多人來說��,安全帶確實可以挽救他們的生命��,但仍然有不少人在沒有系安全帶的情況下乘坐汽車�。這一項簡單的措施被很多乘客忽視,美國各州花了幾年時間才通過了一些法律��,這些法律要求乘客系安全帶否則承擔罰款��。那為什么業(yè)界和消費者都花了這么長時間來促使大眾采用這種簡單的安全機制?如今��,這個問題會不會印證在物聯(lián)網(wǎng)的安全狀況上?
就像上世紀30年代的醫(yī)生一樣��,我們意識到了這個問題��。
早在2014年�,Target公司就處理過遠程訪問其網(wǎng)絡(通過HVAC系統(tǒng)連接設備)的黑客所帶來的創(chuàng)傷��。單是這一次攻擊就使得數(shù)以萬計的持卡人記錄被泄露�。在2016年底�,物聯(lián)網(wǎng)設備的安全性引起了更多的關注。Mirai
僵尸網(wǎng)絡感染了數(shù)以十萬計的連接設備�。惡意代碼被用來對各種目標發(fā)起分布式拒絕服務(DDoS)攻擊,造成了大規(guī)模的破壞�。賽門鐵克公司在2017年互聯(lián)網(wǎng)安全威脅報告中闡述的另一個驚人的事實是,入侵一臺連接設備的平均時間僅為兩分鐘
��。關注設備安全性的不僅僅是受感染的用戶/設備�,還包括這些設備所鏈接網(wǎng)絡的一部分資產(chǎn)。所以�,IT安全專家和專業(yè)人士十分關注連接設備的安全性。
根據(jù)Gartner
的數(shù)據(jù)�,2017年連接設備的數(shù)量達到了約84億臺。他們預測2020年市場將增長近三倍��,達到204億美元�。也許,比連接設備數(shù)量更令人震驚的是接入網(wǎng)絡的沒有安全保障的設備數(shù)量�。
市場需求推動了增強功能和用戶體驗的需求。為了滿足當今市場的需求�,制造只用于功能目的的電器或產(chǎn)品的時代已經(jīng)一去不復返了。因此,在企業(yè)高管們推動業(yè)務變革和創(chuàng)新來提供這些產(chǎn)品的同時�,IT專業(yè)人員和安全專家也面臨著同樣令人擔憂的問題:公司如何才能在保正智能設備需求的同時兼顧其安全問題?
為了回答這個問題,小編概括了一些可能造成IoT安全性危機的因素:
1�、非技術公司被迫在技術領域競爭
2、信息技術和安全專業(yè)人才短缺
3��、各種各樣的設備帶來的標準化挑戰(zhàn)
在感覺一臺只烤面包的烤面包機有點過時的時代��,似乎每一家公司都需要成為一家科技公司��。
如果一家公司要在當今科技驅動的經(jīng)濟中不落后�,他們必須重新定位自己在聯(lián)網(wǎng)世界中的角色——即使他們是傳統(tǒng)的家電制造商而非技術公司��。此外��,似乎把“智能”引入傳統(tǒng)產(chǎn)品的壓力還不夠��,科技公司也在尋找進入傳統(tǒng)產(chǎn)品市場的方法�,這只會增加非技術公司在物聯(lián)網(wǎng)設備競賽中競爭的緊迫感。這意味著原設備制造商或非技術公司被賦予了一項艱巨的任務:那就是迅速地將創(chuàng)新引入市場�,這不僅滿足了設備最初的預期用途,而且也滿足了用戶的需求��。
搶奪市場
那么��,什么是‘非技術’公司?非技術公司是指生產(chǎn)或制造傳統(tǒng)上不被認為是智能或連接產(chǎn)品/設備的公司(如.冰箱、暖氣系統(tǒng)��、醫(yī)療設備��、汽車等)��。另外�,科技公司是主要生產(chǎn)或開發(fā)技術的公司,比如谷歌�、亞馬遜、微軟�、IBM等。將連接組件添加到傳統(tǒng)的非科技設備中需要大量的專業(yè)知識來研究和開發(fā)�。很多非技術公司正在尋找留在游戲中的方法,一種策略是與科技公司合并或收購�,另一種是與科技公司進行合資合作。
非技術公司對科技公司的收購呈上升趨勢�。根據(jù)彭博社的數(shù)據(jù),“ 在 2007 年��, 682 家 技術 公司被非技術公司收購��, 655 家被科技公司收購�。 ”
非科技公司占科技公司收購案的一半多。
通用汽車為了在無人駕駛汽車市場上與特斯拉競爭�,采取了大膽的行動�。他們收購了Strobe��,這是一家位于加利福尼亞州的初創(chuàng)科技公司�,專門從事無人駕駛技術的開發(fā)。
惠而浦就是采取OEM(定點生產(chǎn)�,俗稱代工)合作的例子,該公司在2010年建立了一家合資企業(yè)��,將家用電器連接到互聯(lián)網(wǎng)��。他們通過與科技公司Prodea合作來建立家電與互聯(lián)網(wǎng)之間的連接��。這一戰(zhàn)略舉措使消費者可通過智能手機遠程控制和監(jiān)控他們的設備�。
值得注意的是��,上述每種策略均存在安全性方面的難題�。收購技術公司,仍然有責任為物聯(lián)網(wǎng)安全開發(fā)提供適當?shù)馁Y金�。
“Gartner預測,到2020年��,企業(yè)遭受的攻擊中有超過25%將涉及物聯(lián)網(wǎng)��,盡管物聯(lián)網(wǎng)只占IT安全預算的不到10%�。
由于物聯(lián)網(wǎng)的預算有限以及物聯(lián)網(wǎng)的碎片化��,安全供應商將很難提供可用的物聯(lián)網(wǎng)安全功能�。
外包也不能免除非科技公司的責任��。應制定嚴謹?shù)挠媱?�,以確定誰負責確保產(chǎn)品的安全設計和設備的后續(xù)支持�。只要非技術公司將軟件開發(fā)項目外包給第三方,非技術公司就需要負責制定完善的安全和可持續(xù)發(fā)展計劃�。從本質(zhì)上講,這要求他們通過代理成為一家科技公司��。
安全專業(yè)人員缺口大
市場對智能技術型人才的需求愈加迫切�,但與此同時,身懷安全智能技術的技能人員卻日益短缺��。正如思科的Sudashan
Krishnamurthi所報告的那樣�,“許多組織正致力于了解哪些技能是成功的物聯(lián)網(wǎng)項目所必需的”。此外��,ISC 2
的分析人士認為��,到2020年��,安全專業(yè)人員將短缺150萬人��。
這并不是說物聯(lián)網(wǎng)行業(yè)沒有為此做出努力。為了彌補缺乏合格專業(yè)人員的問題�,主要的安全行業(yè)組織正在增加認證項目和培訓機會。例如��,ISC
2創(chuàng)建了國際學術計劃�,以支持高等教育機構開發(fā)安全課程,建立網(wǎng)絡安全與教育中心 ��。該中心設立了獎學金��,以吸引人才投身網(wǎng)絡安全領域�。此外,ISC 2
(與網(wǎng)絡安全有關的一個基金會)為強調(diào)了這一問題�,提出了下列相關的建議:
1、為學生提供更多的實踐機會�,為他們提供更多的入門課程.
2、將網(wǎng)絡安全和信息安全納入學術課程�。
3��、開拓新的人才來源��,或充分挖掘仍未充分利用的現(xiàn)有人才(如社區(qū)大學生��、婦女�、回國服務人員及少數(shù)民族)
4��、整合人才選拔流程�,優(yōu)化整體人才資源��。
最大的風險是�,這些產(chǎn)品被創(chuàng)造和進入市場的速度。如芝加哥論壇報 ��,Haka產(chǎn)品的創(chuàng)始人Colm
Lennon說:“在這個萬物互聯(lián)的物聯(lián)網(wǎng)空間中�,所有的角色都必須緊密合作,如果公司想要以極快的速度進行創(chuàng)新�,同時也要進行安全功能創(chuàng)新。這樣做是為了保護他們的客戶��,保護自己�,保護他們的合作伙伴?!彪S著企業(yè)努力發(fā)展和變革,他們的戰(zhàn)略需要納入消費者保護�,而不是單純的在市場競爭中處于優(yōu)勝地位。
物聯(lián)網(wǎng)設備面臨的安全挑戰(zhàn)
物聯(lián)網(wǎng)系統(tǒng)中有各種各樣的設備和體系結構�,這就帶來了各種各樣的安全挑戰(zhàn)。連接的設備執(zhí)行各種功能�,包括處理、存儲和傳輸數(shù)據(jù);一些設備要執(zhí)行三個功能��,一些只執(zhí)行一個。此外�,物聯(lián)網(wǎng)設備有不同的形狀和大小。大多數(shù)設備都是小巧而離散的��。
正如Nick
Allot博士在2016年物聯(lián)網(wǎng)安全會議所指出的��,處理數(shù)據(jù)受限的低功耗設備有著重大的安全挑戰(zhàn)��,這些設備很難保證數(shù)據(jù)加密�。設備小,處理能力自然受到限制�。在設備功能、尺寸和安全性之間尋找一個平衡點是設備開發(fā)商和制造商面臨的主要障礙之一��。
各種類型的安全體系都是可用的�。然而, 根據(jù)發(fā)表在《沙特國王大學》雜志上的一項研究,
這些體系結構的核心問題是抽象層面上互聯(lián)的事物缺乏充分的互操作性。這導致了很多的問題, 如:
不智能�、適應性較差、匿名性有限�、系統(tǒng)行為不良、隱私和安全性降低�。
應要求設計的安全性
不論非科技公司是如何將聯(lián)網(wǎng)設備集成到他們的產(chǎn)品中�,有一件事是肯定的:安全必須首先被考慮。盡管各個行業(yè)的管理層都想出了如何將物聯(lián)網(wǎng)納入未來的業(yè)務計劃��,但安全專業(yè)人士必須就安全標準達成共識。問題是��,全球經(jīng)濟仍繼續(xù)通過技術實現(xiàn)增長��,而物聯(lián)網(wǎng)設備制造商卻沒有一套確保設備安全的監(jiān)管標準�。
物聯(lián)網(wǎng)行業(yè)可以著手很多事情來提高產(chǎn)品安全性。企業(yè)��、政府都提出了SRO(成交率
優(yōu)化)的最佳策略��。谷歌��、亞馬遜和微軟等云供應商都稱擁有物聯(lián)網(wǎng)安全最佳解決方案�,從加密,認證��,及時修補和防止惡意活動角度出發(fā)��,可保證基礎設施安全�。一些云供應商甚至從安全性的角度指導設備制造商。他們推廣的標準有:可修補的設備設計�、加密的數(shù)據(jù)、沒有硬編碼的密碼�、沒有已知的安全漏洞以及使用行業(yè)標準的互聯(lián)網(wǎng)協(xié)議。
同樣,一個非營利性組織物聯(lián)網(wǎng)安全基金會(IOTSF)被建立��,該組織已發(fā)表了大量最佳實踐用戶指南��,可供實施合規(guī)性框架的組織使用��。馬薩諸塞州和加州參議員于2017年10月起草了一項法案�,以確保物聯(lián)網(wǎng)設備滿足某些網(wǎng)絡安全要求,給滿足網(wǎng)絡安全的設備一個安全印章或標記�。參議員Edward
J.
Markey說,預期的結果是“幫助消費者識別符合某些安全標準的產(chǎn)品”��。這些印章或標記有助于提高消費者的安全意識��,通過這種方式��,經(jīng)濟發(fā)展的同時可以更快地驅動受保護的設備的增長�。
物聯(lián)網(wǎng)行業(yè)可以提高設備安全合規(guī)度
云和物聯(lián)網(wǎng)網(wǎng)絡供應商可以聯(lián)合起來保護物聯(lián)網(wǎng)系統(tǒng)。例如�,支付品牌Visa、MasterCard和美國運通通過創(chuàng)建支付卡行業(yè)數(shù)據(jù)安全標準
��,來減少信用卡詐騙�。
云和物聯(lián)網(wǎng)解決方案提供商,如谷歌��、微軟和AT&T會通過執(zhí)行安全標準來保護聯(lián)網(wǎng)設備嗎?有一天,這些供應商會要求設備制造商提供第三方審計安全聲明�,這將是一件很有趣的事情��。為此��,第三方審計機構將越來越需要獨立審查安全盡職調(diào)查�。
也許,目前業(yè)界可以采用的安全最佳實踐是更新連接設備使用的互聯(lián)網(wǎng)協(xié)議��。正如Charles
Sun所說��,“當我們關閉IPv4時�,我們將消除基于IPv4堆棧的全球網(wǎng)絡攻擊和安全威脅”。在保護數(shù)據(jù)方面�,政府比消費者更具利害關系,因此��,政府更加關注安全問題��。我們不僅可以使用IPv6保護目前的設備�,而且IPv6還可以擴展到未來出現(xiàn)的連接設備。美國食品和藥物管理局和美國國家標準技術研究所已經(jīng)發(fā)布了行業(yè)和國際網(wǎng)絡安全標準化指南�,而英國金融培訓集團正在積極尋求簡單易用的用戶友好型解決方案,以幫助消費者保護他們的智能家居設備�。
如何保護物聯(lián)網(wǎng)設備
物聯(lián)網(wǎng)醫(yī)療設備的一些安全問題實際上并不是源于設備本身。根據(jù)物聯(lián)網(wǎng)網(wǎng)絡安全公司ZingBox的一項新研究,“最常見的物聯(lián)網(wǎng)醫(yī)療設備安全警報來自用戶實踐(比如使用醫(yī)療工作站上的嵌入式瀏覽器瀏覽網(wǎng)頁�、進行在線聊天或下載內(nèi)容),占所有安全警報的41%��?!?/p>
消費者不能完全依靠設備制造商來保證產(chǎn)品安全,但是90% 的消費者對保護自己的設備缺乏信心��。
然而�,消費者確實可以做些事情來確保物聯(lián)網(wǎng)設備安全?�;叵胍幌?�,20世紀的汽車死亡危機��,這個危機需要個人��、工業(yè)��、州和聯(lián)邦政黨被一個簡單的解決方案聯(lián)合起來:安全帶��。物聯(lián)網(wǎng)設備連接到消費者的家庭網(wǎng)絡�,通常消費者的智能手機或集線器保持對家庭網(wǎng)絡的直接控制。出于這個原因�,消費者需要確保三個領域:智能手機�、家庭網(wǎng)絡和連接設備的安全��。
1�、保護智能手機
使用強密碼并鎖定屏幕
盡可能使用多中要素進行身份驗證
安裝安全軟件
任何用于控制設備的應用程序都需要進行補丁更新。
2�、重視家庭網(wǎng)絡安全性
在連接的設備上創(chuàng)建網(wǎng)絡��,以便在線購物或銀行存儲
設置WiFi時使用加密協(xié)議
使用提供防火墻保護的路由器
使用強密碼并更改默認用戶名和密碼
更新�,保證使用的軟件是最新版本
3、關注連接設備
了解設備的工作原理�、功能以及它傳輸或存儲的數(shù)據(jù)。
確定設備是否需要連接到Internet
為每個設備設置強而獨特的密碼��。
收到通知后注冊安裝更新
消費者應該了解了自己確實可以保護物聯(lián)網(wǎng)��。 安全標準和協(xié)議正在慢慢融合在一起�。 加速安全物聯(lián)網(wǎng)系統(tǒng)的做法可以像這樣簡單:
加強網(wǎng)絡安全教育,鼓勵年輕一代尋求與網(wǎng)絡安全/信息安全有關的職業(yè);設置網(wǎng)絡安全/信息安全課程�,即使是針對低年級學生;多宣傳提高消費者網(wǎng)絡安全意識
企業(yè)能做什么:聘用安全專業(yè)人員、有的放矢地投資于網(wǎng)絡安全�、使用受信任的第三方并建立透明的業(yè)務關系、做更多的網(wǎng)絡安全研究并加入IOTSF�、支持政府法規(guī)
如果您碰巧在物聯(lián)網(wǎng)行業(yè),期待您的企業(yè)可以做到上述幾點��,以確保產(chǎn)品的安全性處于最前沿。如果您是消費者��,是在使用物聯(lián)網(wǎng)�,那對網(wǎng)絡和設備的安全性進行反復檢查確認是很有必要的!
