在科技界,你很難在一周中沒有聽到所謂“物聯(lián)網(wǎng)”這個(gè)詞。物聯(lián)網(wǎng)方面的進(jìn)步已經(jīng)改變了我們的生活,并將繼續(xù)改變,因?yàn)樵絹碓蕉嗟脑O(shè)備連接到物聯(lián)網(wǎng)。物聯(lián)網(wǎng)對(duì)組織和普通人群產(chǎn)生了巨大的影響,但是那些連接物聯(lián)網(wǎng)設(shè)備的安全性又如何?安全性是極為重要的,但也有物聯(lián)網(wǎng)周邊安全的許多神話。以下你會(huì)發(fā)現(xiàn)關(guān)于頂級(jí)物聯(lián)網(wǎng)安全的一些神話:
10.“微小的物聯(lián)網(wǎng)設(shè)備沒有能力做到真正強(qiáng)大的安全性。”
即使是上世紀(jì)80年代只有2K,初級(jí)8位的RAM芯片可以使用256位密鑰長度實(shí)現(xiàn)橢圓曲線加密,并有效地使用2048位密鑰長度進(jìn)行RSA加密,這對(duì)于美國“秘密”級(jí)國家安全信息是足夠強(qiáng)大的。這種加密每隔一小時(shí)使用的時(shí)間簽名或驗(yàn)證數(shù)據(jù),只使用一節(jié)AA電池這樣的小電池的電量可以運(yùn)行二十多年。
9.“安全性太過復(fù)雜,特別是在物聯(lián)網(wǎng)。你永遠(yuǎn)不會(huì)贏。”
真正有效的安全絕不是只有一個(gè)單一的殺手锏。相反,正如擋風(fēng)遮雨的的房子需要幾面墻壁,屋頂和地板一樣,有效物聯(lián)網(wǎng)的安全性也需要一些重要因素組成:
·良好的加密保護(hù)認(rèn)證和潛在的保護(hù)數(shù)據(jù)的機(jī)密性
·在允許該代碼運(yùn)行于任何配置的情況下,對(duì)任何和所有代碼和配置進(jìn)行加密驗(yàn)證。
·通過安全專業(yè)的第三方安全運(yùn)行,以應(yīng)對(duì)任何代碼漏洞
·遠(yuǎn)程管理功能,包括更新和軟件清單管理,遙測和策略管理的安全性靈活性
·安全分析發(fā)現(xiàn)和打擊復(fù)雜的對(duì)手
這些重要因素的組合簡單而強(qiáng)大,足以抵御技能最好的攻擊者。
8.“無法更新這些設(shè)備。”
很多設(shè)備都很難更新,但幾乎沒有一個(gè)是不可能的。工業(yè)系統(tǒng)平均部署了19年,在過去幾十年中,汽車和醫(yī)療設(shè)備的設(shè)計(jì)同樣如此。現(xiàn)在,我們看到工業(yè)設(shè)備供應(yīng)商為了設(shè)備的完整性對(duì)其使用了十年以下的舊設(shè)備進(jìn)行更新,而人們現(xiàn)在所看到的醫(yī)療設(shè)備、自動(dòng)取款機(jī)、銷售點(diǎn)的終端設(shè)備、零售亭,甚至連汽車也是如此。
7.“安全代價(jià)對(duì)于部署的數(shù)十億設(shè)備來說太昂貴了。”
人們認(rèn)為在規(guī)模、安全的代價(jià)往往只有連接裝置,任何連接的設(shè)備超過了20美元,這似乎是完全負(fù)擔(dān)得起,而安全風(fēng)險(xiǎn)大意魯莽將會(huì)危及企業(yè)業(yè)務(wù)安全,當(dāng)預(yù)防總是變化的風(fēng)險(xiǎn)時(shí),有些代價(jià)有些太昂貴了。
6.“我們有airgaps,網(wǎng)關(guān)和網(wǎng)絡(luò)隔離保護(hù)我們。”
幾乎所有的系統(tǒng)都會(huì)以他們的創(chuàng)造者可能不知道的方式連接,但攻擊者會(huì)具有相當(dāng)創(chuàng)造性地找到。這已在軍事、情報(bào)和關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)被反復(fù)證明,去年,德國的一個(gè)鋼鐵廠高爐遭受攻擊,破壞了其一個(gè)旨在保護(hù)操作網(wǎng)絡(luò)免受攻擊的網(wǎng)關(guān)。網(wǎng)關(guān)有助于減少風(fēng)險(xiǎn),但不足以提供足夠的保護(hù)。正如airgaps不得力,VLAN和其他邏輯分離更有效。對(duì)于高價(jià)值的系統(tǒng),要從內(nèi)部進(jìn)行強(qiáng)化,而不要冒險(xiǎn)依賴網(wǎng)關(guān),airgaps和網(wǎng)絡(luò)隔離。
5.“blockchain與PKI”
Blockchain是記錄交易和一個(gè)大臺(tái)賬制度數(shù)字(和物理)對(duì)象,因?yàn)樗麄內(nèi)ミM(jìn)行這樣的分類帳。不幸的是,大多數(shù)人忘記blockchains的臺(tái)賬水平,其核心停留在傳統(tǒng)的加密操作水平,并以較低的基礎(chǔ)與傳統(tǒng)的加密操作,每個(gè)交易的簽名庫、密鑰和證書。例如比特幣,使用橢圓曲線加密和256位密鑰的強(qiáng)度,如經(jīng)常提倡的物聯(lián)網(wǎng)系統(tǒng)有無風(fēng)格分類相同的需求鏈。密鑰管理是密碼系統(tǒng)的一個(gè)軟肋。這就是為什么價(jià)值十億美元以上的物聯(lián)網(wǎng)設(shè)備已經(jīng)在使用世界上最成熟的密鑰管理系統(tǒng)、證書頒發(fā)機(jī)構(gòu)提供管理公鑰基礎(chǔ)設(shè)施(PKI)。更好的PKI使得blockchain分類水平更強(qiáng)。換句話說,blockchain可以更好地利用PKI。
4.“我們只需要供應(yīng)商和標(biāo)準(zhǔn)團(tuán)隊(duì)更快來解決”
如今,供應(yīng)商和標(biāo)準(zhǔn)團(tuán)體正在取得進(jìn)展,但這一過程需要時(shí)間。除非客戶開始詢問他們需要的安全類型,如上面提到的“成分”,設(shè)備供應(yīng)商將繼續(xù)銷售設(shè)備,既沒有安全保障,并且更加危險(xiǎn),而安全作為一個(gè)形容詞,而不是真正衡量對(duì)手的指標(biāo)。
3.“運(yùn)行操作技術(shù)OPS隊(duì)只需要從中吸取教訓(xùn)。”
IT供應(yīng)商和工作人員在運(yùn)營上的討論,并沒有良好的理由受到歡迎。操作限制因IT環(huán)境和后果遠(yuǎn)遠(yuǎn)不同,常有完全不同的時(shí)間尺度。無論是好是壞,OT側(cè)很多技術(shù)在IT方面已經(jīng)使用了多年。然而,直到IT供應(yīng)商和工作人員了解其語言和文化,其他團(tuán)隊(duì)將不會(huì)對(duì)已被選中的并適合他們的環(huán)境的技術(shù)有任何信心。IT安全需要OTOPS團(tuán)隊(duì)管理太多的工具。選擇正確的工具,并適當(dāng)調(diào)整他們需要IT和OT之間的協(xié)作。
2.“我們的系統(tǒng)是如此的不起眼,沒有人能把它們弄清楚,并造成損害。”
如今,鋼鐵廠、污水處理廠、電網(wǎng)、工廠、發(fā)電廠以及其他無數(shù)的系統(tǒng)已經(jīng)被黑客入侵,而管理和技術(shù)人員幼稚的信念導(dǎo)致出現(xiàn)這樣的結(jié)果。
1.“我可以獨(dú)自做到這一點(diǎn)。”
歷史和最近的頭條新聞充斥著那些試圖自己管理安全的企業(yè)的恥辱。沒有任何一家企業(yè),也沒有任何一個(gè)供應(yīng)商可以獨(dú)自打敗所有的攻擊者。捍衛(wèi)者需要團(tuán)結(jié)起來,聘請(qǐng)專業(yè)人士,確保他們?cè)谟布?,軟件和云?jì)算,以及相關(guān)的和特定的垂直方面有良好的合作伙伴。