随着万物互联时代的到来,智能物联网在给人们生活、工作带来便利的同时,也带来了一些前所未有的安全风险。近年来频频出现的一些物联网安全事件,已经给业界敲响了警钟。专家认为,物联网安全威胁正日益凸显,给传统网络安全防护带来新的挑战,需要采取更多应对措施,以防患于未然。
智能设备将面临三大威胁
智能物联网的快速发展全面激活了经济增长,万物互联的今天,网络攻击带来的威胁也越来越大。根据CNVD统计,2016年全球IoT设备共出现1117个漏洞,涉及思科、华为、谷歌、西门子等企业,受攻击设备类型包括网络摄像头、路由器、手机、防火墙、网关设备等。咨询公司Gartner预测,到2020年,针对企业的安全性攻击中,25%以上将涉及物联网。
物联网安全威胁其实就在身边。在近日于上海举行的“2017年网络安全博览会暨网络安全成就展”上,来自极棒实验室(GeekPwn Lab)的安全专家现场展示了多个物联网安全威胁案例。比如,智能保险箱与手机APP绑定加密,利用协议漏洞就可以远程获取保险箱密码的篡改权,重设任一密码便可开启保险箱,让保险箱不再“保险”。
上海社会科学院互联网研究中心与极棒实验室近日联合发布的《智能物联网安全风险报告》显示,智能物联网安全风险有其特殊性,这与智能物联网本身特点相关,例如,数量庞大的智能终端碎片化严重,带来了难于管理维护的弱点和风险处理困难;而涉及大量用户隐私数据的特点使得风险造成经济损失外又增加了社会影响,甚至是法律风险等。
极棒实验室统计数据显示,新型智能安全威胁比重已从2014年的40%上升至如今的58%。而且,智能设备的安全威胁正经历四个转变:攻击对象向新型智能设备扩展、攻击主要集中在终端设备、攻击手段日趋多样化以及智能设备从攻击目标转变为攻击界面。
除了面临的安全威胁在不断转变,智能设备还将面临新的三大威胁:数据泄露、大数据终端污染和人工智能时代的安全威胁。智能设备一般都具备信息数据采集功能,通过终端设备,用户信息数据时刻暴露在物联网中。如对终端设备的攻击更进一步,有针对性地构造恶意数据,并将数据上传至后台云端,就会造成终端数据污染,进而影响数据分析和决策判断,造成更广泛影响。
极棒创始人王琦表示,智能物联网所牵扯到的是生活中方方面面细节所搭建起的庞大而复杂的网络,其中面临的问题就更为复杂。另外,人工智能的发展带来了好处,也带来了威胁。不同于传统IT的安全攻防技术,AI时代的安全对抗已经从单纯的信息技术比拼上升为人工智能算法的较量。
多方因素造就风险隐患
在专家看来,智能物联网安全风险,由多方面原因造成。一是产业发展阶段和成本考虑。智能物联网发展至今,最近2、3年才真正进入高速发展阶段,各种智能物联网设备层出不穷,设备厂商对产品安全考虑和投入不足。其中,智能物联网安全资源和关注度投入不足是导致各类安全事件频发的最根本原因。
二是技术结构自身弱点。虽然现在出现了越来越多的针对智能物联网环境的专用芯片、组件、协议,但是仍存在大量联网设备采用传统IT架构作为技术框架,包括底层系统、传输链路、通讯协议等。这样虽然能够提高产品开发和上市速度,但同时也将产品推向了传统IT的潜在攻击者。
三是设备软硬件更新滞后。由于智能物联网设备数量众多、分布广泛,造成安全性措施的实施速度过慢,即使发现安全问题,在更新设备软硬件过程中也会遇到各种障碍。例如,早期智能网络摄像头采用简单的软硬件结构设计,无法通过在线方式完成升级。虽然越来越多产品更加“智能”,可以定期更新产品固件升级到最新版本,但对比成熟的传统IT系统,更新的速度仍显滞后,而由于安全问题所造成的损失却是与时间密切相关。
值得关注的是,目前智能设备厂商安全意识仍普遍不足。智能硬件产品普遍功能相对简单,一些生产商通常为降低成本、快速推出产品、抢占市场,在产品设计和实现阶段忽视了安全问题。有时为了满足消费群体偏好,甚至为了形态美观、轻便简易而牺牲安全防护。
另一方面,用户的安全意识、安全投入也有待提升。“国内企业对网络安全重视程度依然不够,许多企业往往把安全投入当作成本来看待”。腾讯副总裁马斌表示,随着万物互联时代的到来,网络安全应该成为企业防护的第一要素。
多措并举防范安全风险
加大智能物联网安全防护已刻不容缓,同时也需要多方协力。安全专家指出,首先是要增强产品设计、开发中的安全考虑。智能物联网设备之所以会出现各种安全漏洞为攻击者所利用,大部分是在产品设计、开发过程中只关注所要实现的功能特性,而忽略其中的安全因素。根据传统IT产品安全所经历过程,如果智能联网产品厂商能够将安全因素放在重要地位,投入必要资源,可以有效降低产品弱点,提升整体安全性。
其次,要建立健全智能终端设备升级机制。目前,在许多智能物联网设备中,固件升级机制还没有完全覆盖,仅部分品类设备厂商实现了远程自动更新,多数设备还需要手动下载固件版本后再更新至产品中,甚至有些产品完全不提供升级功能。对此,专家指出,发现漏洞或遭到攻击时,及时发布补丁、更新固件可以有效降低损害。
智能物联网设备厂商在产品设计时应充分考虑后续产品升级需求和机制,将升级模块植入产品中,实现快速安全补丁更新。
另外,业界要逐步统一规范和标准。当前我国智能物联网设备产业还基本处于一种自发状态,部门之间、地区之间、行业之间分割情况较为普遍。国家行业主管部门已意识到标准化对智能联网产业的应用发展及安全的重要性,正在抓紧研究制定相关规范。
同时,用户提升自身安全意识也是重要一环。在智能安全问题上,很多问题可以通过加强用户安全意识来避免。养成良好设备安全使用习惯可以在很大程度上增加实施攻击难度,提高攻击成本。
除此之外,马斌认为,防护智能物联网安全风险,一要深耕信息安全技术,二要加快网络安全人才培养,三要加大产业链之间开放合作。
未来,智能物联网安全有望催生庞大产业机会。据咨询公司Markets and Markets预计,到2020 年,全球物联网安全市场将从2015年的68.9亿美元增长至289亿美元,为传统IT基础设施厂商、互联网安全公司以及专注于物联网安全的新兴创业公司提供新的发展机遇。
