汗!物联网安全的核心问题居然是没有……


 

  随着物联网技术的爆炸式发展,企业、供应商和消费者都必须面对的问题是,这个世界比以往任何时候都更加紧密地联系在一起,由此可能带来严重的后果。

  物联网安全的核心问题是没有核心问题——物联网是比传统的IT基础设施更复杂的堆栈,其组成更有可能是来自不同来源的硬件和软件。

  物联网安全主要涉及三个方面:设备、网络和后端。据Forrester首席分析师Merritt Maxim,所有这些都是潜在的攻击目标,都需要关注。目前,设备是最受关注的——有太多的各种制造商,其中有一些并没有努力工作保证他们的产品安全,这使得设备级物联网安全问题重重。

  Maxim说:“这并不像Wintel垄断桌面环境那样,那是一种更为同构的环境。一般而言,物联网设备运行嵌入式Linux或者其他各种不同的版本,这就造成了安全盲点,因为IT安全专业人士并不怎么使用这些操作系统。”

  据IDC物联网研究总监Stacy Crook,更重要的是,很多专注于安全的物联网人士都是在网络或者后端接触物联网,而不是在设备本身。

  她说:“这些人可以深入到设备中,但是他们必须弄清楚他们要在这方面做多少投资,因为有很多不同类型的设备和不同的架构。所以他们必须想好自己真正想花多少时间。”

  应对威胁

  安全专业公司正在尽最大努力跟上不断变化的物联网安全威胁。像Pwnie Express这样的公司,已经开始生产渗透测试设备,试着去适应新的威胁环境。

  Pwnie Express首席技术官Matt Williamson介绍说:“在早期,测试设备就像是假的墙插,他们尽力将其伪装好,因为不想让人看出来有渗透测试设备正在对环境进行测试。”

  

 

  而最新、最好的模块是位于客户数据中心的模块,监控Wi-Fi、蓝牙和很多其他类型无线网络的异常流量,因为网络最有可能成为恶意黑客的攻击目标。

  然而,Williamson认为,不同的客户担心网络的不同部分,因此,将安全工作集中起来可能会很困难。

  他说:“我们有相当多的物体,很难指出哪一个更重要。我们的一些客户更关心蓝牙,或者蓝牙电视,等等。其他人则更担心非法接入点。”

  这些问题并不是物联网所特有的,但它们仍然是相关的——以至于Pwnie把业务重点放在了物联网上,将其渗透测试专业知识应用于企业网络中越来越多的设备上。

  调查:物联网安全是个重大问题

  据最近的几项调查,IT业界至少已经意识到所面临的问题有多严重。Pwnie的《2017年度互联网恶意事件》报告调查了800名安全专家,发现84%的受访者指出,2016年的Mirai僵尸网络事件改变了他们对物联网安全威胁的看法,这一事件中,大量不安全的物联网设备,主要是数字摄像头,变成了强大的僵尸网络的一部分,被用于发起DDoS攻击。92%的受访者说这个问题一直是个大问题。

  问题的部分原因似乎是,解决问题的工作还处于起步阶段——只有23%的安全专业人士对公司的联网设备进行了监控,扫描这些设备是否有恶意代码,三分之二的受访者表示他们并不能确定他们的网络中连接了多少设备。

  

 

  《福布斯》对500名高管进行的调查显示,受访者将物联网列为最重要的新兴技术,甚至超过了机器人和人工智能。三分之一的受访者指出,安全是物联网面临的最严重的问题。

  根Maxim,部分原因是物联网黑客入侵的后果比传统计算机犯罪严重得多——2012年电视连续剧《Homeland》中就有这样的场景,片中一个人的心脏起搏器被黑客攻击而导致他死亡,这绝非耸人听闻。

  Maxim说:“这不是理论上的攻击,而是现实,这与传统的网络世界有不同的动机,在传统的网络世界中,盗窃身份或者支付信息不过是为了赚钱。而物联网黑客有可能会让人丧命。”

  公共平台将设备连接到后端

  据Crook的研究,将物联网设备连接到后端的传统方法是使用定制平台,但现在大部分(57%)物联网部署使用的平台都能够应用于大多数部署场景中。

  谷歌和微软的服务产品谷歌云和Azure IT便是这样的平台,在这方面提供了更多的选择。

  她说:“一个不错的想法是,利用公共平台在不同的应用情形中开发这些物联网应用程序,而不是为每一种不同的物联网应用情形建立定制的平台。”

  越来越多地使用这些平台也带来了安全后果,大部分是积极的——Crook最近的研究表明,57%的物联网部署使用了这类平台,其中大部分集中在边缘层,这是位于端点设备和数据中心之间堆栈的新的组成部分。一个例子是能够分析数据的集线器设备,对工厂车间中联网的设备进行底层管理。

  

 

  边缘计算是物联网的一个重要概念,因为很多应用程序,特别是那些对延时非常敏感的应用程序,不能等待数据从端点到数据中心再返回,然后再采取行动。因此,物联网集线器和其他设备将占用一些计算和管理开销,也会在实现安全功能的堆栈中占有一席之地。

  Crook说:“会在边缘收集更多的数据。例如,在工厂车间,有越来越多的边缘设备收集数据。”

  她补充说,从广义上讲,物联网平台是考虑到了安全性的架构,但安全不是其主要关注点。虽然有威胁检测功能,但它们通常作为附加服务出售,而不是平台的核心组件。

  Crook说:“物联网安全肯定将成为一种生态支持系统方法。平台提供商将与其他安全公司合作,提供完整的解决方案,但我认为该平台肯定会在安全方面起着关键作用。”

  建议的措施

  据Maxim,大多数物联网用户能够采取的措施有限,而设备级上最重要的步骤是:

  ● 切勿使用有默认密码的设备。

  ● 确保有办法来给所有设备打上补丁,某台无法远程打上补丁的设备一旦被攻破,就会成为“砖块互联网”的一部分。

  攻击会一直继续下去,给我们造成深远的影响。

  

 

  Maxim说:“我们已经开始看到医疗器械公司和一些其他公司因为侵犯隐私而遭受了罚款,所以这方面有一些监管热点。不幸的是,可能只有出现了一些更严重的泄露事件后,才会促使企业去合规,业界开始采取行动。”

  据区块链物联网安全初创公司Xage首席执行官Duncan Greatwood,未来我们可能会看到从根本上解决安全问题的系统,他认为,与上一代技术相比,这些技术会有很大的不同。

  他说:“人们会说‘安全是基础’,并希望得到积极的响应。这是与企业安全完全不同的情形。”

  作者 Jon Gold,资深作家,为《网络世界》撰写物联网和无线网络等领域的文章。

  编译 Charles

上一篇:物联网安全的最佳实践

下一篇:物联网安全系列之二:揭开物联网的“真面目”