物联网行业发展迅速,安全问题却得不到有效解决,该如何应对?
物联网即将到来,许多IT高管都很害怕。或者更准确地说,他们是屈从于自己的命运。
在5月份对553名IT决策者的研究中,78%的人表示,他们认为至少有可能他们的企业会遭受物联网设备的数据丢失或盗窃。约72%的人表示,物联网的发展速度使其难以跟上不断变化的安全要求。
这种恐惧源于现实。去年10月,黑客攻击了使用物联网设备的大约10万个“恶意端点”,控制了大部分互联网域名系统基础设施。最近,WannaCry勒索软件攻击使一些中国银行ATM网络和洗衣机网络陷入瘫痪。对于反对者来说,这些攻击证实了人们担心黑客可能通过控制我们的物联网设备而造成混乱。
与此同时,物联网产业在继续稳步增长。高德纳预测,到2020年,将有大约210亿的物联网设备存在,而2015年已达到50亿。其中大约80亿将是工业产品,而不是消费类设备。两者都为黑客提供了一个诱人的目标。
对于某些人来说,物联网似乎是一个实时播放的慢动作残骸。DXC的CTO和vp -网络安全部门的Chris Moyer说:“这个行业没有放弃的原因是它的价值回报非常强大,风险也非常强大,这就是平衡的所在。”
无论业界的胃口如何,在行业解决其安全问题之前,IoT都不可能获得规模。这将需要供应商之间的合作,政府干预和标准化。在2017年,这些事情似乎都没有出现。
物联网安全有什么问题?
一致认为物联网仍然处于不安全的状态,并且可能带来灾难性的安全风险,因为公司信任物联网设备用于商业,运营和安全决策。现有的标准尚未到位,供应商一直在努力将适当的情报和管理水平嵌入到产品中。增加攻击者之间越来越多的协作,并且需要在一系列维度上应对这些挑战。
考虑我们面临的物联网设备的安全问题:
与个人电脑或智能手机不同,物联网设备的处理能力和内存通常较小。这意味着他们缺乏强大的安全解决方案和加密协议,来保护他们免受威胁。
由于这些设备连接到互联网,他们每天都会遇到威胁。目前,物联网设备的搜索引擎为黑客提供了进入网络摄像机,路由器和安全系统的主机的机会。
许多这些连接互联网的设备在设计或开发阶段从未考虑过安全性。
不仅缺乏安全能力的设备本身,许多连接它们的网络和协议都没有强大的端到端加密机制。
许多物联网设备需要手动干预才能升级,而有些设备则根本无法升级。Moyer说:“这些设备中有些是非常迅速地建立起来的,它们的设计思维局限于初代产品,而且它们是不可更新的。”
物联网设备是一个“薄弱环节”,可以让黑客渗透到IT系统。如果设备链接到网络,情况尤其如此。
许多物联网设备具有黑客可以在线查看的默认密码。由于这个事实,Mirai分发拒绝服务攻击是可能的。
这些设备可能有“后门”,为黑客提供开口。
设备的安全成本可能会降低其财务价值。物联网安全专家Beau Woods表示:“当你拥有2美分的组件,并将一美元的安全性放在首位时,你刚刚打破了商业模式。
这些设备也会产生大量的数据。 DXC技术项目总监Kieran McCorry表示:“这不仅仅是你需要使用的210亿个设备。 “这是从210亿个设备产生的所有数据。有大量的数据几乎比产生这些数据的设备数量多得多。这是一个巨大的数据处理问题。”
考虑到这些缺点,企业可以通过遵循物联网安全的最佳实践在一定程度上保护自己。但是,如果合规不是100%(这不会),那么不可避免地会发生攻击,行业将失去对物联网的信心。这就是安全标准势在必行的原因。
谁来设定标准?
各种政府机构已经在管理一些物联网设备。 例如,美国联邦航空局管理无人驾驶飞机,美国国家高速公路交通安全管理局规定自动驾驶汽车。 国土安全部正在参与基于物联网的智慧城市计划。 FDA还监督物联网医疗设备。
目前,还没有任何政府机构负责监管用于智能工厂的智能设备或以消费者为中心的物联网设备。 2015年,联邦贸易委员会发布了关于物联网的报告,其中包括有关最佳实践的建议。 2017年初,FTC还向公众发布了一项“挑战”,以创建一个“解决由物联网设备中过时软件引起的安全漏洞的工具”,并为获胜者提供25,000美元的奖金。
莫耶尔表示,虽然政府将对物联网的某些方面进行管理,但他认为只有该行业才能制定标准。他设想通向这样一个标准的两条途径:买家会推一个,拒绝购买那些不支持标准或主导角色的产品,否则两个厂商将设定一个事实上的市场支配标准。 “我不认为这样会发生,”莫耶说,并指出没有这样的球员存在。
该行业现在有几个标准,而没有一个标准正在逐渐走向支配地位。其中包括基于供应商的标准以及IoT安全基金会,IEEE,可信计算组织,物联网世界联盟和工业互联网联盟安全工作组提出的标准。所有这些机构正在致力于安全物联网环境的标准,协议和最佳实践。
Moyer表示,最终会改变市场的是购买者,他们将开始苛求标准。 “标准有很多原因,”莫耶说。 “有些是监管,但很多是因为买家说这对我很重要。”
缺乏标准,伍兹认为改善物联网安全的几条途径。一个是商业模式的透明度。伍兹说:“如果你购买的是1000辆车,那么有人可能会做无线更新,而另一辆车则需要手动更换,这需要7个月的时间。” “这是一种不同的风险微积分。”
另一种解决方案是要求制造商承担设备责任。伍兹表示,目前硬件设备就是这种情况,但是谁承担软件故障的责任往往不清楚。
人工智能来救援?
这种情况下的通配符是人工智能。支持者认为,机器学习可以发现一般的使用模式,并在出现异常时提醒系统。比如,Bitdefender查看所有端点的云服务器数据,并使用机器学习识别异常或恶意行为。正如信用卡系统可能在外国标记1,000美元的挥霍可疑一样,ML系统可能会识别来自传感器或智能设备的异常行为。由于物联网设备功能有限,发现这种异常应该相对容易。
由于使用机器学习的安全性仍然是新的,所以这种方法的捍卫者主张使用包含人为干预的安全系统。
真正的解决方案:一切的组合
虽然人工智能在物联网安全方面可能比最初认为的更为重要,但全面的物联网解决方案将包括一切,包括政府法规,标准和人工智能。
该行业有能力创建这样的解决方案,但问题在于它需要在非常快速的时间表上完成。目前,在物联网安全和物联网采用之间的竞争中,后者正在赢得胜利。
那么,企业现在可以做什么来锁定物联网而不会降低安全性?莫耶有几点建议:
采取一种集成方法。这是一个更好的情况。 Moyer表示,使用物联网的公司应整合管理解决方案,并将IoT平台用于主要连接和数据移动,并将数据引入更复杂的分析环境,并让他们执行行为分析,这可以实现自动化。他说:“通过整合这些组件,您可以更加确信,从物联网环境中的馈送获得的数据在统计上是有效的。”
选择合适的物联网设备。这些设备具有超强的生态系统和一组正在开放共享信息的合作伙伴。
使用IoT网关和边缘设备。为了缓解整体安全问题,许多公司正在使用物联网网关和边缘设备进行隔离,并在不安全的设备和互联网之间提供保护层。
参与创建标准。在宏观层面上,为确保长期保持物联网安全性,您可以做的最好的事情是参与制定特定行业和整体技术的标准。
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20180303A0K7K800?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
