万物互联时代悄然来临,小至路由器、智能音箱、冰箱,大到汽车、工业设备,越来越多的物品都接入了互联网。然而,迅猛发展的物联网在给人们带来便利的同时,安全隐患也如影相随,成为物联网产业发展的一个痛点。
调研机构预计,未来79%的IoT流量将通过网关接入,50%的网络流量将来自物联网,而物联网将贡献超过500亿的连接。万物互联后,各种物联网设备连接到互联网,安全问题比互联网更严峻。
鉴于物联网设备在全球范围内大量普及,过去的三年里,世界各地有近20%的组织机构遭受过基于物联网的攻击流量,成为此类攻击的受害者。
2017年,美国经历了一次大规模断网事件,共有超过百万台物联网设备参与了此次DDoS攻击。据报道,黑客们使用了一种被称作物联网破坏者的Mirai病毒,当扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认密码进行登陆,一旦登陆成功,这台物联网设备就进入“肉鸡”名单,黑客操控此设备开始攻击其他网络设备,让美国人民经历噩梦般的大规模断网就是来自这个病毒。
同年,一家赌场酒店大堂鱼缸里的温度计被黑,攻击者以此渗透进赌场网络,将其“豪赌客”数据库传到了云端。
2018年,央视曝光大量家庭摄像头遭入侵,一旦被黑客操控,就有可能成为“肉鸡”用来攻击其他网络设备。
事实上,各国政府和企业都在努力确保这种新兴可连网设备的安全性,但是据Gartner预测2018年全球在物联网安全领域的支出仍将进一步增长,可达到15亿美元(94.8亿元人民币)。如果与去年相比,这一数字提升了28%,其中12亿美元(75.9亿元人民币)将直接用于保护物联网设备。
物联网设备面临多重安全挑战
目前,物联网仍未得到充分保护,随着攻击者之间的协作日益紧密,物联网设备所需要面对多种安全挑战:
与个人电脑或智能手机不同,物联网设备通常缺乏处理能力和内存。这意味着,它们缺乏强有力的安全解决方案和加密协议以保护它们免受攻击威胁。
这些设备连接到互联网,它们每天都会遇到威胁,基于云的操作使得边界安全不太有效。而物联网设备的搜索引擎也为黑客提供了进入网络摄像头、路由器和安全系统的机会。
目前物联网设备制造商没有强大的安全背景,也缺乏标准来说明一个产品是否是安全的,很多安全问题来自于不安全的设计。不只是物联网设备本身缺乏安全能力,许多连接它们的网络和协议也没有强大的端到端加密机制。
许多物联网设备都有默认密码,黑客可以在网上查到。这些设备可能留有“后门”,同样为黑客提供机会。
设备的数量巨大使得常规的更新和维护操作面临挑战,许多物联网设备需要人工干预才能升级,而其他设备根本无法升级。
物联网企业应主动提升安全能力
考虑到物联网设备的这些缺陷,各种政府机构已经对许多物联网设备进行了监管。举例来说,美国联邦航空管理局(FAA)监管无人机,美国国家公路交通安全管理局(NHTSA)监管无人驾驶车辆。美国国土安全部正积极参与基于物联网的智能城市计划,而FDA也在对物联网医疗设备进行监督。
但是,当前物联网应用还较新,政府机构的监管并不完善,在监管机构出台相关法律法规前,厂商缺少动力将安全置于整个产业链中,不少物联网设备生产厂商侧重追求新功能,对安全重视不足。
值得注意的是,物联网是一个有机互联的生态系统,要大规模部署物联网,就必须构建一个安全体系,更需要企业的主动参与,以下是给企业方的建议:
第一,不同的物联网参与方可根据自身特点,有针对性地部署防护措施。随着网络安全威胁的范围和内容不断扩大和演化,网络威胁的种类急速增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势,全方位的态势感知,实时监控网络运行状况成为趋势。
第二,物联网设备提供商要保障终端安全,引入安全开发流程提升终端安全性,并在产品上市前进行安全评估。开发嵌入式物联网设备时,工程师必须确保实现数据完整性、代码完整性、设备完整性。为了实现目标,安全专家经常提到嵌入式物联网安全性的六个原则,以加强对开发人员的支持:身份/身份验证、授权、审核、保密、完整性及可用性,而许多这些原则的核心是密码学。
第三,选择正确的物联网设备合作伙伴,确保平台安全和设备、移动端与自身的连接安全。第三方软件层出不穷,但往往未经受过充分检验,一些早期的物联网僵尸网络,就是利用了设备内部第三方芯片里的缺陷和特点。
第四,参与制定物联网安全行业标准,建立一致性的标准并将安全与隐私保护纳入产品开发生命周期中。跨产业厂商的合作是建立统一通讯协议、确保产品能共同无缝安全运作的关键。
显而易见的是,要想保护物联网设备并不是一项简单的小任务,只有企业不断在物联网安全层面上投入资金,才能有效摆脱变成攻击目标的现状。同时,随着面向物联网安全的相关法律法规的逐步完善,其必将促进整个产业对物联网安全需求的不断提升。
原文发布时间为:2018-07-27
本文作者:科技云报道
本文来自云栖社区合作伙伴“ 科技云报道”,了解相关信息可以关注“ 科技云报道”。
