外媒:物联网即将爆发,但许多IT高管在担心安全
这种担忧源于现实。去年10月份,黑客利用设备的大约10万个“恶意端点”,攻击了控制大部分互联网域名系统基础设施的公司。最近,恶意软件WannaCry攻击使许多银行的ATM网络瘫痪。对于反对者来说,这些攻击证实了他们的恐惧,即黑客可以通过劫持我们的设备来制造混乱。
与此,产业继续稳步增长。市场研究公司Gartner预测,到2020年,将有大约210亿部设备存在,而2015年时仅为50亿部。其中大约80亿部将是工业产品,而不是消费类设备。这两类设备都为黑客提供了诱人的攻击目标。
DXC的首席技术官和网络安全副总裁克里斯·莫耶尔(Chris Moyer)说:“这个行业没有放弃的原因是它的价值非常高,但其风险也同样高,这就是平衡的所在。”不管行业的胃口如何,在行业解决安全问题之前,的规模不大可能扩大。这将需要供应商之间的合作,政府的干预和标准化。在2017年,这些事情似乎都没有解决的眉目。
有什么安全问题?
现在的共识是,仍未得到充分保护,并可能带来灾难性的安全风险,因为企业相信设备可用于业务、运营和安全决策。现有的标准并不到位,供应商始终在努力将恰当的智能和管理水平嵌入产品中。随着攻击者之间的协作日益紧密,需要在多个维度上解决这些挑战。下面就是设备所需要面对的安全挑战
1)与个人电脑或智能手机不同,设备通常缺乏处理能力和内存。这意味着,它们缺乏强有力的安全解决方案和加密协议,而这些往往可以保护它们免受攻击威胁。
2)因为这些设备连接到互联网,它们每天都会遇到威胁。而设备的也为黑客提供了进入网络摄像头、路由器和安全系统的机会。
3)在许多联网设备的设计或开发阶段,安全性从未被考虑过。
4)不只是设备本身缺乏安全能力,许多连接它们的网络和协议也没有强大的端到端加密机制。
5)许多设备需要人工干预才能升级,而其他设备根本无法升级。莫耶尔说:“这些设备中有些是非常迅速地建立起来的,它们的设计思维还局限于迭代之中,而且有些甚至是不可升级的。”
6)设备是个“薄弱环节”,允许黑客渗透到IT系统中。如果设备连接到整个网络,这一点尤其令人担忧。
7)许多设备都有默认密码,黑客可以在网上查到。鉴于这个事实,Mirai分布式拒绝服务攻击是可能的。
8)这些设备可能留有“后门”,同样为黑客提供机会。
9)设备的安全成本可能会抵消其财务价值。安全专家博·伍兹(Beau Woods)表示:“当你有个2美分的组件,而你需要在它身上花费1美元维护安全时,你就破坏了商业模式。”
10)这些设备也会产生大量的数据。DXC的技术项目主管基里安·麦考利(Kieran McCorry)说:“你不仅仅需要应对210亿部互联网设备,还要应对由它们生成的庞。这些数据几乎是数量级的,而且远远超过了这些设备所产生的数量。这是一个巨大的数据处理问题。”
考虑到这些缺陷,企业可以通过遵守安全最佳实践,这在某种程度上可以保护它们。,如果合规不是100%(这是不可能的),那么就不可避免地会发生攻击,导致行业对失去信心。这就是安全标准势在必行的原因。
谁来制定安全标准?
各种政府机构已经对许多设备进行了监管。举例来说,美国联邦航空管理局(FAA)监管,美国国家公路交通安全管理局(NHTSA)监管车辆。美国国土安全部正积极参与基于的智能城市计划,而FDA也在对医疗设备进行监督。
但在目前,还没有任何政府机构负责监管智能工厂或领域使用的设备。2015年,联邦贸易委员会(FTC)发布了一份关于的报告,其中包括关于最佳实践的建议。在2017年初,FTC还向公众发布挑战赛,即创建“修复设备中过时软件引发的安全漏洞的工具”,并为获胜者提供2.5万美元的奖金。
莫耶尔表示,虽然政府将对的某些方面进行监管,但他认为只有行业才能创造出自己的标准。他设想了制定这种标准的两种途径第一,买家推出标准,并拒绝购买不支持这个标准的产品;第二,一两个主要参与者利用其市场主导地位设定一个事实上的标准。莫耶尔说“我不认为后一种情况会发生,目前还没有这样的主导参与者存在。”
这个行业现在有好几个标准,而不是一个或两个标准,而且似乎没有哪个标准正逐渐取得主导地位。这些标准包括基于供应商的标准,以及安全基金会、IEEE、可Trusted Computing Group、世界联盟以及工业互联网协会安全工作组提出的标准。所有这些机构都在研究打造安全环境的标准、协议和最佳实践。
莫耶尔说,最终改变市场的将是买家,他们将开始要求标准。他解释称“标准的制定有很多原因,有些是监管所需,但很多是因为买家认为这对他们很重要。”
由于缺乏标准,伍兹看到了几条改善安全的途径一个是商业模式的透明度。伍兹说:“如果你购买了1000辆汽车,你就可以进行‘空中更新’,而其他汽车则需要手动更新,那可能需要7个月的时间。这是不同的风险计算。”
另一种解决方案是要求制造商为他们的设备承担责任。伍兹表示,目前硬件设备的情况是这样的,但不清楚谁会为软件故障承担责任。
AI充当救星?
在这种情况下,一个未知因素是人工智能(AI)。支持者认为,可以发现一般的使用模式,并在出现异常时提醒系统。例如,Bitdefender查看来自所有端点的云服务器数据,并使用来识别异常或恶意行为。就像信用卡系统可能会将在国外炫耀1000美元的行为标注为可疑那样,系统可能会通过传感器或智能设备识别不同寻常的行为。由于设备在功能上是有限的,所以发现这些异常是相对容易的。由于使用的安全性仍然是新的,这种方法的拥护者提倡使用包括人工干预的安全系统。
真正的解决办法把一切都结合起来
虽然AI在保护安全方面的作用可能比最初设想的要大,但综合解决方案将包括所有这些东西,如政府监管、标准和AI。虽然这个行业有能力创造出这样的解决方案,但问题是它需要以非常快的速度完成。目前,在安全与普及的竞争中,后者正在胜出。
那么,公司现在能做些什么呢?莫耶尔对此有些建议
1)采取集成的方法。这是个越多越好的方案,莫耶尔表示,使用的公司应该集成管理解决方案,将平台引入到主要的连接和数据移动中,并将这些数据导入到更复杂的分析环境中,对它们进行自动化行为分析。他说:“通过整合这些组件,你可以更有信心地相信,在环境中所得到的信息在统计上是有效的。”
2)选择正确的设备。这些设备拥有超强的生态系统和一系列的合作伙伴,它们公开分享信息。
3)使用网关和边缘设备。为了加强整体安全性,许多公司使用网关和边缘设备来隔离不安全设备和互联网,并在它们之间提供保护层。
4)参与制定标准。在宏观层面上,你能做的最好事情就是确保长期运行的安全,这涉及到在你的特定行业和整个科技行业制定标准。(小小)
原文链接 https://.ired./brandlab/2017/06/iot-is-ing-even-if-the-security-isnt-ready-heres-hat-to-do/?intcid=polar?