在日前举办的CeBIT2017(汉诺威消费电子、信息及通信博览会)上,从智能家居到智能城市、从互联汽车到互联电表……丰富多彩、充满魅力的物联网(IoT)应用,向人们充分展现出了一个美好的万物互联的世界。但是,不管你有没有意识到,广阔的应用前景和美好的互联世界,都离不开安全这一块最重要的“基石”。没有安全保障的物联网,不仅是空中楼阁,甚至会给人们的生产生活带来致命性的打击。
当前,伴随着物联网应用在各行各业的渗透,伴随着移动互联网业务的蓬勃发展,物联网的市场空间正处于快速扩大之中。据Gartner 预测,到2020 年全球IoT 设备数量将增至208 亿台,复合增速高达34%。IoT将渗透进人们生活的方方面面,广泛进入各行各业,衍生出诸如智慧家庭、智慧教育、智慧医疗、可穿戴设备、车联网等多种场景……
然而,不可否认的是,联网的设备越多,安全事件的影响力就越大。2016年10月,黑客们通过使用一种被称为“物联网破坏者”的Mirai病毒造成了近半个美国的网络瘫痪,攻击流量超过了1Tbps,一共有超过100万台的物联网设备(主要是用于监控、用户可联网查看视频的DVR数字录像机)参与了此次DDoS攻击。Mirai病毒可通过互联网搜索物联网设备,当它扫描到一个物联网设备,例如网络摄像头、智能开关等,就尝试使用默认密码进行登录,一旦登录成功,这台物联网设备就进入“肉鸡”名单,就可以被黑客用来攻击其他网络设备。
此次大规模的攻击事件,暴露出物联网设备存在着重大安全隐患,也暴露出业界对于物联网安全缺乏必要的重视,可谓大声敲响了“警钟”。在这次事件中,物联网设备厂商对于安全的轻视可谓到了“令人发指”的地步:许多公司开发数字录像机产品时,一般会采用通用的账户名和密码,并且会将模组中的密码写入到固件中,并且用户也没有途径更改密码,这样一来黑客只用简单尝试通用的账户名和密码(Mirai病毒自带60个通用密码),就有可能控制一台数字录像机,而这正是短时间内超过100万台物联网设备被控制的根源所在。
物联网的安全威胁将长期存在,这是ICT产业必须面对的现实。客观来看,传统通信网络乃至计算机网络经过多年的发展,尽管已经拥有了丰富的安全手段,但依然存在着大量的安全问题。可想而知,联网种类更加丰富、应用场景更加复杂的物联网,其面临的安全形势是何等严峻了。事实上,Forrester 对全球组织的一项调查表明,47% 使用或计划使用物联网的商业组织,在行业应用过程中都曾经遇到过各种各样的安全问题,包括控制系统被攻破、联网设备采用简单密码、通信过程未加密……
物联网的安全威胁还将是多层面的,需要产业参与各方给予全方位的重视。其一,在物联网的感知层,数量众多、无所不在的传感器,是很容易被攻击的薄弱环节;其二,在物联网的传输层,伴随着IP化和融合化大潮,无线协议本身的缺陷、封闭的工业应用和协议无法被安全设备识别、通信过程不加密、IP体系自身安全问题等导致安全威胁的大门大开;其三,在物联网的平台和应用层,伴随着开放化趋势,产生了新的安全风险,例如新平台的自身漏洞、新的通信协议可能带来的安全问题等。
在万物互联的时代,由于联网的设备数量更多、数据量更大,安全挑战必然会更大。确保物联网的安全,对于任何一家试图进入该领域的企业而言,都不是可选项,而是必选项,从产品出厂时就应被打上“安全”的烙印。
本文转自d1net(转载)
