智慧城市让生活更美好!

物联网安全|物联世界的“黑暗森林”

  “百舸争鸣,百花齐放”,是不是处在变革期不得而知,但技术的发展永远不会因为你想不想而停滞。此文章是今年安全周上做的演讲,由于时间较短没有完整表达,近几日忙里偷闲整理,望抛砖引玉,不成熟之处,还请海涵。

  比“万物互联”先到来的是“万物皆危”

  

 

  如果说大家都在担心“人工智能”所带来的危险是杞人忧天,那么密集的物联网漏洞和活生生的攻击事件已日渐白热化了。每一次的物联网攻击都是带着万级设备的沦陷,覆盖面之广、损害之深也是原来互联网攻击所无法企及的。

  最近由丹麦技术大学、厄勒布鲁大学、俄罗斯因诺波利斯大学等机构联合完成的研究“The Internet of Hackable Things”中,量化了物联网设备的风险:

  90%的设备与其他设备建立了非安全连接

  80%的设备,连同与之相关的云平台和移动组件,没有足够复杂的密码

  70%的设备,连同与之相关的云平台和移动组件,攻击者能够通过枚举法破解用户账户

  70%的设备使用未加密的网络服务

  互联网攻击一心“谋财”,物联网攻击直接“害命”

  

 

  物联网与互联网的本质区别在于,物联网是一个自我运转的生态系统,物联网中的“物物”更逼近生物属性。而创造物联网安全市场的“工匠”只有一个:人性的恶。虽然IDC、Gartner、麦肯锡、CB Insights等机构纷纷发布物联网安全市场规模的报告,但个人认为参考意义不大,因为人性中的恶已经超过了科学所能统计和预测的范畴。

  物联网安全和互联网安全绝非一个量级,完全没有可比性。“永恒之蓝”、Mirai、Hajime、BrickerBot、WannaCry、等病毒动不动就在几十分钟内攻克数以万计的设备,设备遭受攻击的风险越来越高,除了消费产品领域,医院、加油站、工厂、市政设施等联网设备,更是物联网安全的重灾区。从2010年开始至今,每一年都有类似的安全事件发生,致使物联网安全领域备受关注。

  行业变革促使标准规范尽快落地

  

 

  无疑,物联正在驱动新一轮的行业变革,但是再很多行业中,安全需求不同,各行业的安全方案既不全面也不成熟,在安全风险评估及应对方面并没有明确的思路,换言之,当下物联网应用公司的安全现状就是一盘散沙,孱弱地不堪一击。

  从当前标准和联盟组织的进度来看,物联网安全尚处于起步阶段,以指南和框架为主,能够用于指导产业落地的具体技术标准非常缺乏。整个产业急需标准和联盟组织加大相关安全标准的投入,以加快安全标准的输出,促使物联网安全产业发展。

  物联网世界的“黑森林”法则

  

 

  物联网中的“物物”更接近生物属性。充满生物的自然界相当残酷,充满了各种未知病毒和攻击,各种生物虽然一生经历坎坷,但是大多仍旧可以长期存活。免疫系统、自我治愈、个体排毒在这个过程中发挥了重要的左右,这套防御体系是经过多年的运行数据和经验积累进化得来。物联网的生态属性,也造就了物联网安全与互联网安全的本质不同。互联网安全的现有方法论,放到物联网世界里效果有限。

  物联网世界由于“物”的基数庞大,发展过程中天生的缺陷造成“漏洞”无处不在,伺机窥探并要利用“漏洞”的“威胁”是永恒存在,当我们无法做到完全“净化”的世界时,可以做的就是尽早发现攻击,先发制人。

  物联网安全需要“定制化”

  

 

  1.物联网系统的复杂性极高。

  一个典型的物联网系统结构包括边缘节点、网关和云端平台三部分,在边缘节点之间、边缘节点与网关之间、与云端之间,又是通过不同的无线或有线通讯协议互联的。理想的安全解决方案,应该是能够使实现“端到端”全面的安全防护。而现实的情况是,物联网系统通常是经由不同制造商和用户的软、硬件组成,并由不同人进行管理和维护,每个环节的安全策略不尽相同、未必兼容、不能构成完成闭环。

  2.物联网设备的成本敏感度高。

  以边缘节点而言,物联网中多数用户的终端设备都是结构简单、低功耗、低成本的,在设计规划时往往很少、甚至根本没有考虑安全预算。提升边缘节点的安全层次,最直接的方式就是投入额外的硬件,不论是采用具备安全性能的MCU,还是嵌入安全芯片。特别是对于增加几块钱的BOM成本就斤斤计较的消费型物联网产品来说,确实是件让人为难的事。

  3.整个物联网系统生命周期中,安全运营的管理难度大。

  保障安全需要人力投入对系统中的设备连接安全性的设置和管理,如授权、加密、审计等,这种对设备安全性的“个人化”管理也是一个可观的投入。不论是设备制造商还是用户、运营商,都需要人去承担管理角色。随着网络规模的逐年增长,这一类的运营和管理压力也将更为显著。此外,将不安全设备的废止或改造以提升物联网的安全性,还会为用户带来“沉没成本”,导致过往投资损失。

  物联网安全技术应用

  

 

  随着物联网各项新技术应用,安全技术也正在发生崭新的迭代,在符合物联网应用场景要求的基础上,如何将新型技术应用到对应的落地产品是一个逐步试错再修正的过程,无论看上去多么完美的安全技术,都不可能确保系统的万无一失,最终还是要依靠自身赋予自身物联网的安全感。

  给技术以安全,于是行业应用便具有了保障;

  给安全以应用,于是我们依靠安全拥抱未来;

上一篇:华为发布《物联网安全技术白皮书2018》

下一篇:物联网系统AWS FreeRTOS被曝出13个安全漏洞