物联网安全问题日益突出
发布者: 管理员 发布时间:2016年06月29日 阅读次数:4966
物联网既带来了巨大的机遇,也带来了严峻的挑战。有别于以往的互联设备,大量的新式物联网设备正部署到我们的家庭、交通系统、城市、医疗设备以及其他地方,这对公司及其用户构成了独特的安全挑战。
它们也为攻击者提供了大量诱人的新机会。
首先,物联网设备显著扩大了攻击面。黑客可以轻易买到任何物联网设备,它们的安全特性跟已经部署到成百上千家庭的同类产品往往是一样的。跟服务器或网络设备不同——它们往往被置于受保护和监测的环境,黑客通常利用远程接入点发起攻击——物联网设备更容易被攻击者接触到。
这些物联网设备得到大规模普及,无处不在,这意味着,一旦一台设备被攻陷,公司很难关闭一个总开关,并(像在全球范围内销售它们那样)对数百万台其他设备进行升级。这还意味着,黑客可以利用一台不安全的设备越级侵入更广泛的互联网络,从而通过一台设备盗取敏感数据,从银行和健康信息到更广泛的企业资产不一而足(因为工作和生活之间的界线正变得越来越模糊)。
想一想如今那些顶尖物联网设备的制造商,这也很重要。通常情况下,这些制造商都是创业公司,他们可能没有足够的资金来维持安全专家和白帽黑客团队来确保设备的安全部署。相反,他们必须依赖供应商来提供硬件和软件。而且,大宗商品的定价对安全工程和维护造成了巨大的压力。如今货架上的很多物联网设备必然具备制造成本低廉的特点,这意味着公司不大可能花很多钱来保障开发过程的安全性。
现在,科技行业是时候去积极解决这些问题了,以防大规模物联网的安全漏洞威胁变成现实。这个领域的行业标准组织、企业组织、创业公司军团以及制造者社区必须联合起来,在为时已晚之前开始努力解决保障物联网安全的关键问题。
准备开始
好消息是,科技行业已经认识到,必须采取措施来保障物联网安全,既需要通过行业组织,也要在公司层面上发力。举例来说, 国际标准组织(ISO)有专门的工作组在评估,如何将同样令人欢欣鼓舞的是,数个物联网厂商联盟已经组建起来,其中包括 Thread Group、开放互连联盟(Open Interconnect Consortium)、 AllSeen 联盟 以及 产业互联网联盟(Industrial Internet Consortium)。尽管这些联盟各自聚焦于物联网不同的开发者和用户社区,但所有这些联盟似乎都支持广泛采用数据加密和其他安全措施。
严峻的挑战
尽管有上述进展,但确保物联网安全的任务仍然面临着诸多严峻的挑战。
麦肯锡公司(McKinsey & Co.)和全球半导体联盟(GSA)近日报告称,尽管物联网的某些部分拥有了定义明确的标准,但其他方面要么没有标准,要么标准繁多且相互竞争。
此外,虽然 SDN(软件定义网络)有助于处理预期中的大量物联网数据,但它也带来了额外的安全问题,因为 SDN 使用了多个通信信道以及远程计算资源。
自动驾驶汽车取得的进展——举例来说,一些技术会要求汽车相互连接并同时跟道路基础设施进行连接——将推动对更强大安全保障和风险消减的需求。
最后,同时也是最重要的是,领先的技术公司仍然没有尽全力寻找保障物联网应用安全性的解决方案。
如果如今的科技巨头不挺身而出来保障物联网的安全,这一至关重要的使命可能落到众多创业公司的肩头,正是这些公司推动了物联网行业当前的大部分增长。市场研究公司高德纳(Gartner)估计,到 2017 年的时候,超过一半的物联网产品和服务将由成立不到三年时间的公司开发。尽管这些新来者可能具备强大的技术专业知识,但很多公司将缺乏部署严密安全措施的专有技术或能力。
保障未来
作为一个行业,我们如何对新一代技术专家提供支持,让他们配备必要的专业和背景知识,从而创造出一个真正安全的物联网?作。对正在摸索复杂安全标准和组件但却缺乏经验的开发者来说,芯片厂商及其合作伙伴可以成为不可估价的向导。
我们还可以在教育方面做得更好一些。这个问题如何被解决的主要例证是安全实验室的建立,比如由微软、Breed Reply 以及 Indiegogo 组建的实验室。在那里,开发者跟合作伙伴可以访问系统和使用试验台,从而帮助推进开发工作。参与者会了解到,安全性的问题必须从每个物联网项目的一开始就被考虑到,而且在设计、开发以及制造(甚至在产品和服务投入使用之后)的整个过程中保持作为优先事项的地位。
在一个完美的世界中,安全风险和漏洞根本不会存在。不过,随着我们的世界变得越来越互联,一切事物都变得可以访问,因此也就有了潜在的漏洞。我们可能永远无法解决那个根本性的矛盾,但通过共同努力,我们可以开始打造一个世界应有的安全物联网。