Strategy Analytics公司系統(tǒng)研究和咨詢部門的企業(yè)研究主任Laura DiDio說,雖然物聯(lián)網(wǎng)帶來了大好機(jī)遇,但是在互聯(lián)環(huán)境下,“安全風(fēng)險(xiǎn)成倍增加;從理論上來說,攻擊途徑或攻擊面可能是無限的。”
DiDio說:“此外,IT部門肩負(fù)的擔(dān)子要重得多。它們要跟蹤的對象數(shù)量多得多。”DiDio表示,端點(diǎn)安全或周邊安全是許多人關(guān)注的焦點(diǎn),這有其充分理由,因?yàn)槎它c(diǎn)安全或周邊安全是第一道防線,承受正面攻擊的沖擊。
DiDio說:“話雖如此,它并不是物聯(lián)網(wǎng)基礎(chǔ)設(shè)施中唯一的薄弱點(diǎn)。”據(jù)Strategy Analytics的2016年調(diào)查數(shù)據(jù)顯示,實(shí)際上,在每個物件、乃至每個人都高度互聯(lián)的物聯(lián)網(wǎng)環(huán)境中,粗心大意的最終用戶對所在企業(yè)的物聯(lián)網(wǎng)網(wǎng)絡(luò)構(gòu)成了最大的安全威脅。
物聯(lián)網(wǎng)安全方面的支出一路上升,這不足為奇。Gartner公司在2016年4月份的一份報(bào)告中表示,2016年,全球物聯(lián)網(wǎng)安全方面的支出將達(dá)到3.48億美元,比2015年的支出:2.815億美元增長24%。而到2018年,物聯(lián)網(wǎng)安全支出預(yù)計(jì)會達(dá)到5.47億美元。
物聯(lián)網(wǎng)支出圖
Gartner預(yù)測,2020年以后,由于加強(qiáng)的技能、組織變化和更多可擴(kuò)展的服務(wù)選項(xiàng)改進(jìn)執(zhí)行力,物聯(lián)網(wǎng)安全市場支出會以更快的速度增長。
該公司表示,由于消費(fèi)者和企業(yè)都開始使用數(shù)量越來越多的互聯(lián)設(shè)備,市場在發(fā)展壯大。Gartner公司預(yù)測,今年全球使用的聯(lián)網(wǎng)物件會多達(dá)64億個,比2015年增加30%,到2018年會達(dá)到114億個。
該公司預(yù)測,到2020年,企業(yè)受到的已識別攻擊中25%以上會與物聯(lián)網(wǎng)有關(guān),不過物聯(lián)網(wǎng)這塊在整個IT安全預(yù)算中所占的比重不到10%。
Gartner表示,由于分配給物聯(lián)網(wǎng)的預(yù)算有限,加上采用一種分散的方法在企業(yè)組織早期實(shí)施物聯(lián)網(wǎng),安全廠商很難提供實(shí)用的物聯(lián)網(wǎng)安全功能。預(yù)計(jì),確保物聯(lián)網(wǎng)安全方面的工作將更多地側(cè)重于設(shè)備及其數(shù)據(jù)的管理、分析和配置上。Gartner預(yù)測,到2020年,實(shí)施的所有物聯(lián)網(wǎng)中一半以上將使用某種基于云的安全服務(wù)。
在未來幾年,物聯(lián)網(wǎng)很可能是許多企業(yè)組織高度關(guān)注的網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)之一。2016年5月,卡耐基·梅隆大學(xué)軟件工程研究所計(jì)算機(jī)緊急響應(yīng)小組(CERT)部門發(fā)布了一份報(bào)告,報(bào)告列出了十大高危新興技術(shù),一些技術(shù)與物聯(lián)網(wǎng)有關(guān)。
在《2016年新興技術(shù)領(lǐng)域風(fēng)險(xiǎn)調(diào)查》這份研究報(bào)告中,CERT分析了聯(lián)網(wǎng)家庭等方面的安全,聯(lián)網(wǎng)家庭涉及家庭設(shè)備、家電和計(jì)算機(jī)的自動化。另一個方面是智能傳感器,這是物聯(lián)網(wǎng)的支撐技術(shù)之一。
CERT部門的安全漏洞分析師Christopher King在一篇博文中表示,在如今日益高度互聯(lián)的世界,信息安全界要做好準(zhǔn)備,消除新技術(shù)可能帶來的安全漏洞。他說:“了解新興技術(shù)方面的發(fā)展趨勢,可以幫助信息安全專業(yè)人員、企業(yè)領(lǐng)導(dǎo)人以及對信息安全感興趣的其他人識別哪些方面面臨安全風(fēng)險(xiǎn),以便進(jìn)一步研究。”
卡內(nèi)基·梅隆大學(xué)是物聯(lián)網(wǎng)的早期開發(fā)者,它將安全列為一個優(yōu)先事項(xiàng)。 這家大學(xué)正在研發(fā)一種名為Giotto的物聯(lián)網(wǎng)平臺,這以文藝復(fù)興時(shí)期追求創(chuàng)新的畫家Giotto di Bondone命名。Jason Hong是卡內(nèi)基·梅隆大學(xué)計(jì)算機(jī)科學(xué)學(xué)院人機(jī)交互:移動隱私安全實(shí)驗(yàn)室的研究小組負(fù)責(zé)人,他說:“我們正在開發(fā)一套全面架構(gòu),包括硬件、中間件和應(yīng)用層,自始至終整合機(jī)器學(xué)習(xí)、隱私和安全,而且還注重用戶體驗(yàn)。”
Hong說:“我們的目的是,讓人們擁有一體化物聯(lián)網(wǎng)(IoT-in-a-box),那樣他們能迅速使用我們的一些傳感器平臺,演示物件具有感知功能(比如開窗或有人敲門),并創(chuàng)建由感知的那些動作觸發(fā)的應(yīng)用程序。” Hong表示,物聯(lián)網(wǎng)有望大大改善日常生活,“但同時(shí)也為安全帶來了諸多新的風(fēng)險(xiǎn)。物聯(lián)網(wǎng)好比是個金字。最上面你有幾個設(shè)備會頻繁使用,而且擁有大量的計(jì)算能力”,比如筆記本電腦、智能手機(jī)、手表和游戲機(jī)。
中間是幾十個偶爾使用的設(shè)備,它們的計(jì)算能力一般。這一層包括恒溫器、電視機(jī)和箱等。最下面是人們很少意識到的數(shù)百個設(shè)備,比如暖通空調(diào)、徽章、植入體內(nèi)的醫(yī)療設(shè)備、數(shù)碼相框和電子鎖等。
Hong表示,最上面一層會得到充分保護(hù),因?yàn)樯a(chǎn)這些產(chǎn)品的公司擁有豐富的專長和經(jīng)驗(yàn),這些設(shè)備還可以運(yùn)行許多安全軟件。他說:“然而,中間這層和最下面這層卻會出現(xiàn)許多問題。許多廠商在軟件方面基本上沒什么經(jīng)驗(yàn)可言,這些設(shè)備也基本上無法保護(hù)好自己。”
Hong表示,物聯(lián)網(wǎng)的最大威脅將是勒索軟件。“如今的勒索軟件攻擊涉及加密受害者的數(shù)據(jù),將數(shù)據(jù)扣為人質(zhì),直到受害者乖乖交錢。將來,物聯(lián)網(wǎng)會帶來一系列新的勒索軟件攻擊。腳本小子可能會將人們鎖在房子或汽車外面,因而令人煩不勝煩。”他表示,黑客組織Anonymous可能會對公司的暖通空調(diào)或照明系統(tǒng)做手腳,增加電費(fèi)或者惹毛住戶;攻擊者可能企圖闖入多輛自動駕駛汽車或多個自主醫(yī)療設(shè)備,實(shí)際上將受害者扣為人質(zhì)。
卡內(nèi)基·梅隆大學(xué)的實(shí)驗(yàn)室正在研究幾個想法,確保Giotto里面的安全性。Hong表示,其中之一是,如何利用鄰近位置作為獲得訪問權(quán)的一種方式。比如說,如果你在一個房間,你也許能夠訪問這個房間里面的一些傳感器和服務(wù),比如溫度。如果你走到房間外面,你能獲得的信息就會減少或干脆沒有?! ong說:“我們還在考慮如何區(qū)別公共數(shù)據(jù)和私有數(shù)據(jù)。比如說,在我們大學(xué),我們可能將走廊傳感器指定為公共數(shù)據(jù),這所大學(xué)里的任何人都可以查看和使用該數(shù)據(jù)。但是與私人辦公室有關(guān)的數(shù)據(jù)和服務(wù)只能由該辦公室的主人和大樓管理員訪問。”
另外,實(shí)驗(yàn)室還在考慮Giotto的不同層次如何支持安全的不同部分。Hong表示,比如說,物理層需要讓人們?nèi)菀琢私鈧鞲衅髟谀抢?,核?shí)傳感器在收集什么數(shù)據(jù),查看這些數(shù)據(jù)在如何使用,以及了解誰可以查看該數(shù)據(jù)。
Hong說:“邏輯層和中間件層需要提供訪問控制,作為實(shí)用的默認(rèn)機(jī)制,明確人們可以訪問哪些數(shù)據(jù)和服務(wù),要提供很簡單的控制機(jī)制,不需要博士生才能了解。應(yīng)用層需要讓普通開發(fā)人員很容易充分利用數(shù)據(jù),同時(shí)注重用戶的隱私。”
Hong表示,在企業(yè)IT環(huán)境下,大家常常很重視端點(diǎn)安全,或者將安全軟件安裝在筆記本電腦、臺式機(jī)和智能手機(jī)上。他說:“這只適用于最上面一層設(shè)備,但并不適合構(gòu)成中間層和最下面一層的數(shù)十億個設(shè)備。網(wǎng)絡(luò)安全方面要有重大的進(jìn)展,才能保護(hù)這些種類的設(shè)備。”
Hong補(bǔ)充道,企業(yè)組織還需要人工智能和大數(shù)據(jù)技術(shù)方面有重大創(chuàng)新,才能檢測異常行為。“如今我們只能說勉強(qiáng)可以管理臺式機(jī)、筆記本電腦和云服務(wù)器的安全;家庭網(wǎng)絡(luò)或企業(yè)網(wǎng)絡(luò)添加成千上萬個設(shè)備將意味著,我們需要新的、自動化的方法,以便迅速檢測和應(yīng)對攻擊。”
Contu表示,總的來說,沒有哪一種安全技術(shù)能夠保護(hù)所有IT資產(chǎn),包括物聯(lián)網(wǎng)邊緣處理、物聯(lián)網(wǎng)平臺中間件、后端系統(tǒng)和數(shù)據(jù)。“需要一種多管齊下的安全方法,應(yīng)對更大的數(shù)字風(fēng)險(xiǎn)和物理風(fēng)險(xiǎn)。”
Contu表示,端點(diǎn)層面可以使用不同的方法,從安全功能嵌入到芯片架構(gòu)里面,到部署軟件代理以執(zhí)行不同的安全控制機(jī)制,不一而足。在物聯(lián)網(wǎng)生態(tài)系統(tǒng)之類的復(fù)雜架構(gòu)中,網(wǎng)關(guān)將會大有幫助;由于各種各樣的設(shè)備和身份,很難為這類架構(gòu)確保安全。
Contu說:“網(wǎng)關(guān)將得到部署,以處理物聯(lián)網(wǎng)的特定領(lǐng)域,管理一組信任需求相似的特定設(shè)備,因而可以使用通用信任模型的原則來確定領(lǐng)域。聯(lián)合信任模型讓使用不同信任模型的不同領(lǐng)域和設(shè)備之間實(shí)現(xiàn)互操作性。”
金融服務(wù)公司GE Capital Americas的首席信息安全官(CISO)兼IT風(fēng)險(xiǎn)負(fù)責(zé)人James Beeson表示,物聯(lián)網(wǎng)安全方面的關(guān)鍵技術(shù)可能會是機(jī)器學(xué)習(xí)和人工智能?! eeson說:“由于數(shù)十億其他設(shè)備連接到互聯(lián)網(wǎng),人工處理那么多的警報(bào)及/或未知的資產(chǎn)和事件會變得不可能。技術(shù)需要能夠處理海量數(shù)據(jù),并且迅速做出決定。”
DiDio表示,即使在考慮技術(shù)之前,企業(yè)也要實(shí)施強(qiáng)有力的安全策略和程序。她說:“如果你沒有落實(shí)安全策略或方案,就會有大問題。”
之后,企業(yè)應(yīng)購買并安裝適合本企業(yè)的相應(yīng)的安全工具和軟件包。DiDio說:“企業(yè)還要確保補(bǔ)丁和修正版是最新版本。許多公司之所以碰到問題,是由于它們沒有升級、打上補(bǔ)丁,結(jié)果發(fā)現(xiàn)設(shè)備和應(yīng)用程序門戶大開、易受攻擊。”
物聯(lián)網(wǎng)環(huán)境下的安全不是一成不變,而是個活動目標(biāo)。DiDio說:“你得不斷重新評估和監(jiān)控你的安全狀況、安全策略和程序,并執(zhí)行策略和程序,以便隨時(shí)了解黑客構(gòu)成的外部威脅以及自己員工(故意或不小心)構(gòu)成的內(nèi)部威脅。企業(yè)永遠(yuǎn)無法宣告勝利。自滿是你最大的敵人。”