物聯(lián)網(wǎng)在安全性方面進展緩慢��,使得用戶隱私和人身安全一直受到威脅�。在過去的幾年里,物聯(lián)網(wǎng)的安全問題獲得了較大的關(guān)注���,但大多數(shù)都是討論消費者應(yīng)該如何做來保障安全����。問題是�,企業(yè)是可以比消費者做的更多來提高安全性的。此外���,消費者似乎對如何保護自己并不那么感興趣�。
物聯(lián)網(wǎng)提供商應(yīng)汲取歷史經(jīng)驗
20世紀30年代��,隨著汽車的普及��,醫(yī)生經(jīng)常性的接觸到與車禍相關(guān)的傷亡,使得美國醫(yī)生開始在自己的汽車上安裝臨時安全帶�。在隨后的幾十年里��,科技人員在汽車安全方面進行了大量的研究��。直到1968年���,第一部聯(lián)邦汽車安全法才生效�。它要求所有機動車輛(公共汽車除外)都必須配備安全帶���。
對許多人來說�,安全帶確實可以挽救他們的生命���,但仍然有不少人在沒有系安全帶的情況下乘坐汽車�。這一項簡單的措施被很多乘客忽視,美國各州花了幾年時間才通過了一些法律��,這些法律要求乘客系安全帶否則承擔罰款�����。那為什么業(yè)界和消費者都花了這么長時間來促使大眾采用這種簡單的安全機制?如今�����,這個問題會不會印證在物聯(lián)網(wǎng)的安全狀況上?
就像上世紀30年代的醫(yī)生一樣�����,我們意識到了這個問題�����。
早在2014年��,Target公司就處理過遠程訪問其網(wǎng)絡(luò)(通過HVAC系統(tǒng)連接設(shè)備)的黑客所帶來的創(chuàng)傷���。單是這一次攻擊就使得數(shù)以萬計的持卡人記錄被泄露�����。在2016年底�����,物聯(lián)網(wǎng)設(shè)備的安全性引起了更多的關(guān)注�����。Mirai
僵尸網(wǎng)絡(luò)感染了數(shù)以十萬計的連接設(shè)備��。惡意代碼被用來對各種目標發(fā)起分布式拒絕服務(wù)(DDoS)攻擊�����,造成了大規(guī)模的破壞��。賽門鐵克公司在2017年互聯(lián)網(wǎng)安全威脅報告中闡述的另一個驚人的事實是��,入侵一臺連接設(shè)備的平均時間僅為兩分鐘
��。關(guān)注設(shè)備安全性的不僅僅是受感染的用戶/設(shè)備���,還包括這些設(shè)備所鏈接網(wǎng)絡(luò)的一部分資產(chǎn)���。所以,IT安全專家和專業(yè)人士十分關(guān)注連接設(shè)備的安全性�。
根據(jù)Gartner
的數(shù)據(jù),2017年連接設(shè)備的數(shù)量達到了約84億臺�����。他們預(yù)測2020年市場將增長近三倍��,達到204億美元�。也許,比連接設(shè)備數(shù)量更令人震驚的是接入網(wǎng)絡(luò)的沒有安全保障的設(shè)備數(shù)量����。
市場需求推動了增強功能和用戶體驗的需求。為了滿足當今市場的需求���,制造只用于功能目的的電器或產(chǎn)品的時代已經(jīng)一去不復(fù)返了����。因此�,在企業(yè)高管們推動業(yè)務(wù)變革和創(chuàng)新來提供這些產(chǎn)品的同時,IT專業(yè)人員和安全專家也面臨著同樣令人擔憂的問題:公司如何才能在保正智能設(shè)備需求的同時兼顧其安全問題?
為了回答這個問題,小編概括了一些可能造成IoT安全性危機的因素:
1���、非技術(shù)公司被迫在技術(shù)領(lǐng)域競爭
2�、信息技術(shù)和安全專業(yè)人才短缺
3�、各種各樣的設(shè)備帶來的標準化挑戰(zhàn)
在感覺一臺只烤面包的烤面包機有點過時的時代,似乎每一家公司都需要成為一家科技公司�。
如果一家公司要在當今科技驅(qū)動的經(jīng)濟中不落后�����,他們必須重新定位自己在聯(lián)網(wǎng)世界中的角色——即使他們是傳統(tǒng)的家電制造商而非技術(shù)公司����。此外,似乎把“智能”引入傳統(tǒng)產(chǎn)品的壓力還不夠�,科技公司也在尋找進入傳統(tǒng)產(chǎn)品市場的方法,這只會增加非技術(shù)公司在物聯(lián)網(wǎng)設(shè)備競賽中競爭的緊迫感�����。這意味著原設(shè)備制造商或非技術(shù)公司被賦予了一項艱巨的任務(wù):那就是迅速地將創(chuàng)新引入市場����,這不僅滿足了設(shè)備最初的預(yù)期用途,而且也滿足了用戶的需求。
搶奪市場
那么�����,什么是‘非技術(shù)’公司?非技術(shù)公司是指生產(chǎn)或制造傳統(tǒng)上不被認為是智能或連接產(chǎn)品/設(shè)備的公司(如.冰箱�����、暖氣系統(tǒng)����、醫(yī)療設(shè)備、汽車等)����。另外,科技公司是主要生產(chǎn)或開發(fā)技術(shù)的公司�,比如谷歌、亞馬遜�����、微軟����、IBM等�。將連接組件添加到傳統(tǒng)的非科技設(shè)備中需要大量的專業(yè)知識來研究和開發(fā)����。很多非技術(shù)公司正在尋找留在游戲中的方法,一種策略是與科技公司合并或收購����,另一種是與科技公司進行合資合作。
非技術(shù)公司對科技公司的收購呈上升趨勢�����。根據(jù)彭博社的數(shù)據(jù)���,“ 在 2007 年, 682 家 技術(shù) 公司被非技術(shù)公司收購���, 655 家被科技公司收購�。 ”
非科技公司占科技公司收購案的一半多�。
通用汽車為了在無人駕駛汽車市場上與特斯拉競爭,采取了大膽的行動��。他們收購了Strobe�����,這是一家位于加利福尼亞州的初創(chuàng)科技公司,專門從事無人駕駛技術(shù)的開發(fā)�����。
惠而浦就是采取OEM(定點生產(chǎn)�����,俗稱代工)合作的例子���,該公司在2010年建立了一家合資企業(yè)���,將家用電器連接到互聯(lián)網(wǎng)。他們通過與科技公司Prodea合作來建立家電與互聯(lián)網(wǎng)之間的連接�����。這一戰(zhàn)略舉措使消費者可通過智能手機遠程控制和監(jiān)控他們的設(shè)備�。
值得注意的是,上述每種策略均存在安全性方面的難題���。收購技術(shù)公司�,仍然有責(zé)任為物聯(lián)網(wǎng)安全開發(fā)提供適當?shù)馁Y金。
“Gartner預(yù)測�����,到2020年����,企業(yè)遭受的攻擊中有超過25%將涉及物聯(lián)網(wǎng),盡管物聯(lián)網(wǎng)只占IT安全預(yù)算的不到10%�����。
由于物聯(lián)網(wǎng)的預(yù)算有限以及物聯(lián)網(wǎng)的碎片化����,安全供應(yīng)商將很難提供可用的物聯(lián)網(wǎng)安全功能。
外包也不能免除非科技公司的責(zé)任���。應(yīng)制定嚴謹?shù)挠媱潱源_定誰負責(zé)確保產(chǎn)品的安全設(shè)計和設(shè)備的后續(xù)支持���。只要非技術(shù)公司將軟件開發(fā)項目外包給第三方��,非技術(shù)公司就需要負責(zé)制定完善的安全和可持續(xù)發(fā)展計劃���。從本質(zhì)上講��,這要求他們通過代理成為一家科技公司�。
安全專業(yè)人員缺口大
市場對智能技術(shù)型人才的需求愈加迫切��,但與此同時��,身懷安全智能技術(shù)的技能人員卻日益短缺����。正如思科的Sudashan
Krishnamurthi所報告的那樣,“許多組織正致力于了解哪些技能是成功的物聯(lián)網(wǎng)項目所必需的”���。此外����,ISC 2
的分析人士認為�,到2020年,安全專業(yè)人員將短缺150萬人���。
這并不是說物聯(lián)網(wǎng)行業(yè)沒有為此做出努力�。為了彌補缺乏合格專業(yè)人員的問題�,主要的安全行業(yè)組織正在增加認證項目和培訓(xùn)機會�����。例如�����,ISC
2創(chuàng)建了國際學(xué)術(shù)計劃����,以支持高等教育機構(gòu)開發(fā)安全課程�����,建立網(wǎng)絡(luò)安全與教育中心 ��。該中心設(shè)立了獎學(xué)金���,以吸引人才投身網(wǎng)絡(luò)安全領(lǐng)域��。此外,ISC 2
(與網(wǎng)絡(luò)安全有關(guān)的一個基金會)為強調(diào)了這一問題����,提出了下列相關(guān)的建議:
1���、為學(xué)生提供更多的實踐機會,為他們提供更多的入門課程.
2����、將網(wǎng)絡(luò)安全和信息安全納入學(xué)術(shù)課程。
3����、開拓新的人才來源,或充分挖掘仍未充分利用的現(xiàn)有人才(如社區(qū)大學(xué)生�、婦女、回國服務(wù)人員及少數(shù)民族)
4�、整合人才選拔流程,優(yōu)化整體人才資源���。
最大的風(fēng)險是���,這些產(chǎn)品被創(chuàng)造和進入市場的速度。如芝加哥論壇報 ���,Haka產(chǎn)品的創(chuàng)始人Colm
Lennon說:“在這個萬物互聯(lián)的物聯(lián)網(wǎng)空間中�����,所有的角色都必須緊密合作����,如果公司想要以極快的速度進行創(chuàng)新,同時也要進行安全功能創(chuàng)新����。這樣做是為了保護他們的客戶,保護自己��,保護他們的合作伙伴�。”隨著企業(yè)努力發(fā)展和變革����,他們的戰(zhàn)略需要納入消費者保護,而不是單純的在市場競爭中處于優(yōu)勝地位����。
物聯(lián)網(wǎng)設(shè)備面臨的安全挑戰(zhàn)
物聯(lián)網(wǎng)系統(tǒng)中有各種各樣的設(shè)備和體系結(jié)構(gòu),這就帶來了各種各樣的安全挑戰(zhàn)����。連接的設(shè)備執(zhí)行各種功能����,包括處理���、存儲和傳輸數(shù)據(jù);一些設(shè)備要執(zhí)行三個功能,一些只執(zhí)行一個�����。此外��,物聯(lián)網(wǎng)設(shè)備有不同的形狀和大小��。大多數(shù)設(shè)備都是小巧而離散的�����。
正如Nick
Allot博士在2016年物聯(lián)網(wǎng)安全會議所指出的�����,處理數(shù)據(jù)受限的低功耗設(shè)備有著重大的安全挑戰(zhàn)����,這些設(shè)備很難保證數(shù)據(jù)加密。設(shè)備小,處理能力自然受到限制�。在設(shè)備功能、尺寸和安全性之間尋找一個平衡點是設(shè)備開發(fā)商和制造商面臨的主要障礙之一�。
各種類型的安全體系都是可用的。然而, 根據(jù)發(fā)表在《沙特國王大學(xué)》雜志上的一項研究,
這些體系結(jié)構(gòu)的核心問題是抽象層面上互聯(lián)的事物缺乏充分的互操作性�。這導(dǎo)致了很多的問題, 如:
不智能、適應(yīng)性較差�、匿名性有限、系統(tǒng)行為不良�����、隱私和安全性降低�����。
應(yīng)要求設(shè)計的安全性
不論非科技公司是如何將聯(lián)網(wǎng)設(shè)備集成到他們的產(chǎn)品中�����,有一件事是肯定的:安全必須首先被考慮����。盡管各個行業(yè)的管理層都想出了如何將物聯(lián)網(wǎng)納入未來的業(yè)務(wù)計劃,但安全專業(yè)人士必須就安全標準達成共識�。問題是����,全球經(jīng)濟仍繼續(xù)通過技術(shù)實現(xiàn)增長���,而物聯(lián)網(wǎng)設(shè)備制造商卻沒有一套確保設(shè)備安全的監(jiān)管標準。
物聯(lián)網(wǎng)行業(yè)可以著手很多事情來提高產(chǎn)品安全性���。企業(yè)�����、政府都提出了SRO(成交率
優(yōu)化)的最佳策略���。谷歌、亞馬遜和微軟等云供應(yīng)商都稱擁有物聯(lián)網(wǎng)安全最佳解決方案�,從加密,認證���,及時修補和防止惡意活動角度出發(fā)�,可保證基礎(chǔ)設(shè)施安全�����。一些云供應(yīng)商甚至從安全性的角度指導(dǎo)設(shè)備制造商。他們推廣的標準有:可修補的設(shè)備設(shè)計���、加密的數(shù)據(jù)��、沒有硬編碼的密碼���、沒有已知的安全漏洞以及使用行業(yè)標準的互聯(lián)網(wǎng)協(xié)議。
同樣�,一個非營利性組織物聯(lián)網(wǎng)安全基金會(IOTSF)被建立,該組織已發(fā)表了大量最佳實踐用戶指南����,可供實施合規(guī)性框架的組織使用。馬薩諸塞州和加州參議員于2017年10月起草了一項法案���,以確保物聯(lián)網(wǎng)設(shè)備滿足某些網(wǎng)絡(luò)安全要求��,給滿足網(wǎng)絡(luò)安全的設(shè)備一個安全印章或標記���。參議員Edward
J.
Markey說,預(yù)期的結(jié)果是“幫助消費者識別符合某些安全標準的產(chǎn)品”��。這些印章或標記有助于提高消費者的安全意識�����,通過這種方式,經(jīng)濟發(fā)展的同時可以更快地驅(qū)動受保護的設(shè)備的增長�����。
物聯(lián)網(wǎng)行業(yè)可以提高設(shè)備安全合規(guī)度
云和物聯(lián)網(wǎng)網(wǎng)絡(luò)供應(yīng)商可以聯(lián)合起來保護物聯(lián)網(wǎng)系統(tǒng)����。例如����,支付品牌Visa、MasterCard和美國運通通過創(chuàng)建支付卡行業(yè)數(shù)據(jù)安全標準
�,來減少信用卡詐騙。
云和物聯(lián)網(wǎng)解決方案提供商�,如谷歌、微軟和AT&T會通過執(zhí)行安全標準來保護聯(lián)網(wǎng)設(shè)備嗎?有一天��,這些供應(yīng)商會要求設(shè)備制造商提供第三方審計安全聲明�,這將是一件很有趣的事情。為此�����,第三方審計機構(gòu)將越來越需要獨立審查安全盡職調(diào)查。
也許���,目前業(yè)界可以采用的安全最佳實踐是更新連接設(shè)備使用的互聯(lián)網(wǎng)協(xié)議���。正如Charles
Sun所說,“當我們關(guān)閉IPv4時����,我們將消除基于IPv4堆棧的全球網(wǎng)絡(luò)攻擊和安全威脅”。在保護數(shù)據(jù)方面�����,政府比消費者更具利害關(guān)系����,因此,政府更加關(guān)注安全問題�����。我們不僅可以使用IPv6保護目前的設(shè)備�����,而且IPv6還可以擴展到未來出現(xiàn)的連接設(shè)備。美國食品和藥物管理局和美國國家標準技術(shù)研究所已經(jīng)發(fā)布了行業(yè)和國際網(wǎng)絡(luò)安全標準化指南�,而英國金融培訓(xùn)集團正在積極尋求簡單易用的用戶友好型解決方案,以幫助消費者保護他們的智能家居設(shè)備���。
如何保護物聯(lián)網(wǎng)設(shè)備
物聯(lián)網(wǎng)醫(yī)療設(shè)備的一些安全問題實際上并不是源于設(shè)備本身����。根據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全公司ZingBox的一項新研究���,“最常見的物聯(lián)網(wǎng)醫(yī)療設(shè)備安全警報來自用戶實踐(比如使用醫(yī)療工作站上的嵌入式瀏覽器瀏覽網(wǎng)頁�����、進行在線聊天或下載內(nèi)容),占所有安全警報的41%����。”
消費者不能完全依靠設(shè)備制造商來保證產(chǎn)品安全�,但是90% 的消費者對保護自己的設(shè)備缺乏信心。
然而����,消費者確實可以做些事情來確保物聯(lián)網(wǎng)設(shè)備安全����?��;叵胍幌?,20世紀的汽車死亡危機���,這個危機需要個人�、工業(yè)�����、州和聯(lián)邦政黨被一個簡單的解決方案聯(lián)合起來:安全帶���。物聯(lián)網(wǎng)設(shè)備連接到消費者的家庭網(wǎng)絡(luò)�,通常消費者的智能手機或集線器保持對家庭網(wǎng)絡(luò)的直接控制�����。出于這個原因����,消費者需要確保三個領(lǐng)域:智能手機���、家庭網(wǎng)絡(luò)和連接設(shè)備的安全。
1�����、保護智能手機
使用強密碼并鎖定屏幕
盡可能使用多中要素進行身份驗證
安裝安全軟件
任何用于控制設(shè)備的應(yīng)用程序都需要進行補丁更新�。
2、重視家庭網(wǎng)絡(luò)安全性
在連接的設(shè)備上創(chuàng)建網(wǎng)絡(luò)�,以便在線購物或銀行存儲
設(shè)置WiFi時使用加密協(xié)議
使用提供防火墻保護的路由器
使用強密碼并更改默認用戶名和密碼
更新,保證使用的軟件是最新版本
3��、關(guān)注連接設(shè)備
了解設(shè)備的工作原理����、功能以及它傳輸或存儲的數(shù)據(jù)。
確定設(shè)備是否需要連接到Internet
為每個設(shè)備設(shè)置強而獨特的密碼����。
收到通知后注冊安裝更新
消費者應(yīng)該了解了自己確實可以保護物聯(lián)網(wǎng)��。 安全標準和協(xié)議正在慢慢融合在一起���。 加速安全物聯(lián)網(wǎng)系統(tǒng)的做法可以像這樣簡單:
加強網(wǎng)絡(luò)安全教育�����,鼓勵年輕一代尋求與網(wǎng)絡(luò)安全/信息安全有關(guān)的職業(yè);設(shè)置網(wǎng)絡(luò)安全/信息安全課程����,即使是針對低年級學(xué)生;多宣傳提高消費者網(wǎng)絡(luò)安全意識
企業(yè)能做什么:聘用安全專業(yè)人員、有的放矢地投資于網(wǎng)絡(luò)安全���、使用受信任的第三方并建立透明的業(yè)務(wù)關(guān)系����、做更多的網(wǎng)絡(luò)安全研究并加入IOTSF����、支持政府法規(guī)
如果您碰巧在物聯(lián)網(wǎng)行業(yè),期待您的企業(yè)可以做到上述幾點���,以確保產(chǎn)品的安全性處于最前沿���。如果您是消費者,是在使用物聯(lián)網(wǎng)�����,那對網(wǎng)絡(luò)和設(shè)備的安全性進行反復(fù)檢查確認是很有必要的!
