《2016物联网安全白皮书》指出,物联网是互联网的延伸,因此物联网的安全也是互联网安全的延伸。物联网的安全既构建在互联网的安全上,也有因为其业务环境而具有自身的特点。总的来说,物联网安全和互联网安全的关系体现在:物联网安全不是全新的概念,物联网安全比互联网安全多了感知层,传统互联网的安全机制可以应用到物联网,但是物联网安全比互联网安全更复杂。
从互联网刚刚普及到现在,人们经历了一次又一次的安全冲击。从2000年的CIH病毒到2015年的熊猫烧香病毒,我们一直处于病毒大规模爆发时期,而现在加密威胁软件和破坏性攻击已经成为威胁主流。时至今日,有关机构发现平均每天有超过50万个新型威胁,在2016年勒索软件威胁增长幅度已经突破了752%,呈7.5倍的速度增长。
那么物联网安全到底来源于哪些方面的威胁呢?
第一是来自于漏洞,也就是说大量的物联网设备因为使用系统、应用有可能存在相关的漏洞,包括不安全的设计以及不安全的编码、第三方的插件漏洞等都有可能导致物联网设备被攻击、利用。
第二开放了不该开放的网络端口,因为任何物联网设备,它需要有网络连接,那么在网络连接过程当中,如果开启了不该有的网络接口或者端口,就有可能存在潜在的网络被攻击的风险。
第三是不易侦测的文件变化,包括禁止行为,也就是说物联网设备并不是一个封闭式的系统,它同样有可能遭受到病毒、恶意软件的攻击。
第四缺乏强有力的认证机制,因为所有的物联网设备未来都要接受统一管理,分层管理,如果没有一个强有力的认证,包括授权机制,那么这些物联网设备将会成为未来黑客利用到的僵尸网络。
第五不安全的网络协议,大量的网络协议,尤其是物联网时代遇到的网络协议,有可能会存在各式各样的漏洞,一旦黑客抓住了这些漏洞,将这些漏洞利用在非法行为上,极有可能带来灾难性的后果。
物联网威胁已经实实在在展现在人们的日常生活中。有关报道称,某著名酒店相关的智能门锁被控制;门禁被控制;包括医疗设备被控制、城市应急系统被控制、也包括对于国家基础设施都有可能产生相关的危害。以及最近流行的WCRY勒索病毒,都在证明一个事实,这些威胁已经不是人们想当然的威胁,而是已经发生并存在的。
现今的网络安全漏洞已让企业付出巨额成本并引发混乱,根据预测,未来的网络攻击不论在规模、损害或成本支出上均会剧增,直到预计在2018年前,约有三分之二的企业会遭遇物联网安全漏洞的问题。根据2016年IDC全球安全预测指出,去年全球企业因网络攻击平均支出成本约在400万美元到700万美元之间。2016年11月卡巴斯基实验室亦报导,该年度俄罗斯五家主要金融机构遭受之网络攻击(每秒高达66万次),在30个行政区域中,超过2万4,000个智能装置被劫持,黑客借助俄罗斯中央银行和商业银行系统窃取客户信用数据,盗取金额约当3,100万美元。
以深圳北航物联网研究院(www.buaaiot.org)多年来从事物联网项目咨询及技术研究的经验来看,鉴于物联网的复杂性,企业应整体评估以了解物联网整体应用风险,对网络安全性架构、智能装置本身安全性与应用界面等,多元进行详细分析并实施相关安全性控管措施,以降低辨识的风险。
