物聯(lián)網(wǎng)安全的移動目標(biāo)

Jon Gold

隨著物聯(lián)網(wǎng)的爆炸式發(fā)展，企業(yè)、供應(yīng)商和消費者都必須面對的問題是，這個世界比以往任何時候都更加緊密地聯(lián)系在一起，由此可能帶來嚴(yán)重的后果。

隨著物聯(lián)網(wǎng)技術(shù)的爆炸式發(fā)展，企業(yè)、供應(yīng)商和消費者都必須面對的問題是，這個世界比以往任何時候都更加緊密地聯(lián)系在一起，由此可能帶來嚴(yán)重的后果。

物聯(lián)網(wǎng)安全的核心問題是沒有核心問題——物聯(lián)網(wǎng)是比傳統(tǒng)的IT基礎(chǔ)設(shè)施更復(fù)雜的堆棧，其組成更有可能是來自不同來源的硬件和軟件。

物聯(lián)網(wǎng)安全主要涉及三個方面：設(shè)備、網(wǎng)絡(luò)和后端。據(jù)Forrester首席分析師Merritt Maxim，所有這些都是潛在的攻擊目標(biāo)，都需要關(guān)注。目前，設(shè)備是最受關(guān)注的——有太多的各種制造商，其中有一些并沒有努力工作保證他們的產(chǎn)品安全，這使得設(shè)備級物聯(lián)網(wǎng)安全問題重重。

Maxim說：“這并不像Wintel壟斷桌面環(huán)境那樣，那是一種更為同構(gòu)的環(huán)境。一般而言，物聯(lián)網(wǎng)設(shè)備運行嵌入式Linux或者其他各種不同的版本，這就造成了安全盲點，因為IT安全專業(yè)人士并不怎么使用這些操作系統(tǒng)。”

據(jù)IDC物聯(lián)網(wǎng)研究總監(jiān)Stacy Crook，更重要的是，很多專注于安全的物聯(lián)網(wǎng)人士都是在網(wǎng)絡(luò)或者后端接觸物聯(lián)網(wǎng)，而不是在設(shè)備本身。

她說：“這些人可以深入到設(shè)備中，但是他們必須弄清楚他們要在這方面做多少投資，因為有很多不同類型的設(shè)備和不同的架構(gòu)。所以他們必須想好自己真正想花多少時間?！?/p>

應(yīng)對威脅

安全專業(yè)公司正在盡最大努力跟上不斷變化的物聯(lián)網(wǎng)安全威脅。像Pwnie Express這樣的公司，已經(jīng)開始生產(chǎn)滲透測試設(shè)備，試著去適應(yīng)新的威脅環(huán)境。

Pwnie Express首席技術(shù)官Matt Williamson介紹說：“在早期，測試設(shè)備就像是假的墻插，他們盡力將其偽裝好，因為不想讓人看出來有滲透測試設(shè)備正在對環(huán)境進(jìn)行測試?！?/p>

而最新、最好的模塊是位于客戶數(shù)據(jù)中心的模塊，監(jiān)控Wi-Fi、藍(lán)牙和很多其他類型無線網(wǎng)絡(luò)的異常流量，因為網(wǎng)絡(luò)最有可能成為惡意黑客的攻擊目標(biāo)。

然而，Williamson認(rèn)為，不同的客戶擔(dān)心網(wǎng)絡(luò)的不同部分，因此，將安全工作集中起來可能會很困難。

他說：“我們有相當(dāng)多的物體，很難指出哪一個更重要。我們的一些客戶更關(guān)心藍(lán)牙，或者藍(lán)牙電視，等等。其他人則更擔(dān)心非法接入點?！?/p>

這些問題并不是物聯(lián)網(wǎng)所特有的，但它們?nèi)匀皇窍嚓P(guān)的——以至于Pwnie把業(yè)務(wù)重點放在了物聯(lián)網(wǎng)上，將其滲透測試專業(yè)知識應(yīng)用于企業(yè)網(wǎng)絡(luò)中越來越多的設(shè)備上。

調(diào)查：物聯(lián)網(wǎng)安全是個重大問題

據(jù)最近的幾項調(diào)查，IT業(yè)界至少已經(jīng)意識到所面臨的問題有多嚴(yán)重。Pwnie的《2017年度互聯(lián)網(wǎng)惡意事件》報告調(diào)查了800名安全專家，發(fā)現(xiàn)84%的受訪者指出，2016年的Mirai僵尸網(wǎng)絡(luò)事件改變了他們對物聯(lián)網(wǎng)安全威脅的看法，這一事件中，大量不安全的物聯(lián)網(wǎng)設(shè)備，主要是數(shù)字?jǐn)z像頭，變成了強(qiáng)大的僵尸網(wǎng)絡(luò)的一部分，被用于發(fā)起DDoS攻擊。92%的受訪者說這個問題一直是個大問題。

問題的部分原因似乎是，解決問題的工作還處于起步階段——只有23%的安全專業(yè)人士對公司的聯(lián)網(wǎng)設(shè)備進(jìn)行了監(jiān)控，掃描這些設(shè)備是否有惡意代碼，三分之二的受訪者表示他們并不能確定他們的網(wǎng)絡(luò)中連接了多少設(shè)備。

《福布斯》對500名高管進(jìn)行的調(diào)查顯示，受訪者將物聯(lián)網(wǎng)列為最重要的新興技術(shù)，甚至超過了機(jī)器人和人工智能。三分之一的受訪者指出，安全是物聯(lián)網(wǎng)面臨的最嚴(yán)重的問題。

根Maxim，部分原因是物聯(lián)網(wǎng)黑客入侵的后果比傳統(tǒng)計算機(jī)犯罪嚴(yán)重得多——2012年電視連續(xù)劇《Homeland》中就有這樣的場景，片中一個人的心臟起搏器被黑客攻擊而導(dǎo)致他死亡，這絕非聳人聽聞。

Maxim說：“這不是理論上的攻擊，而是現(xiàn)實，這與傳統(tǒng)的網(wǎng)絡(luò)世界有不同的動機(jī)，在傳統(tǒng)的網(wǎng)絡(luò)世界中，盜竊身份或者支付信息不過是為了賺錢。而物聯(lián)網(wǎng)黑客有可能會讓人喪命?！?/p>

公共平臺將設(shè)備連接到后端

據(jù)Crook的研究，將物聯(lián)網(wǎng)設(shè)備連接到后端的傳統(tǒng)方法是使用定制平臺，但現(xiàn)在大部分（57%）物聯(lián)網(wǎng)部署使用的平臺都能夠應(yīng)用于大多數(shù)部署場景中。

谷歌和微軟的服務(wù)產(chǎn)品谷歌云和Azure IT便是這樣的平臺，在這方面提供了更多的選擇。

她說：“一個不錯的想法是，利用公共平臺在不同的應(yīng)用情形中開發(fā)這些物聯(lián)網(wǎng)應(yīng)用程序，而不是為每一種不同的物聯(lián)網(wǎng)應(yīng)用情形建立定制的平臺。”

越來越多地使用這些平臺也帶來了安全后果，大部分是積極的——Crook最近的研究表明，57%的物聯(lián)網(wǎng)部署使用了這類平臺，其中大部分集中在邊緣層，這是位于端點設(shè)備和數(shù)據(jù)中心之間堆棧的新的組成部分。一個例子是能夠分析數(shù)據(jù)的集線器設(shè)備，對工廠車間中聯(lián)網(wǎng)的設(shè)備進(jìn)行底層管理。

邊緣計算是物聯(lián)網(wǎng)的一個重要概念，因為很多應(yīng)用程序，特別是那些對延時非常敏感的應(yīng)用程序，不能等待數(shù)據(jù)從端點到數(shù)據(jù)中心再返回，然后再采取行動。因此，物聯(lián)網(wǎng)集線器和其他設(shè)備將占用一些計算和管理開銷，也會在實現(xiàn)安全功能的堆棧中占有一席之地。

Crook說：“會在邊緣收集更多的數(shù)據(jù)。例如，在工廠車間，有越來越多的邊緣設(shè)備收集數(shù)據(jù)?！?/p>

她補(bǔ)充說，從廣義上講，物聯(lián)網(wǎng)平臺是考慮到了安全性的架構(gòu)，但安全不是其主要關(guān)注點。雖然有威脅檢測功能，但它們通常作為附加服務(wù)出售，而不是平臺的核心組件。

Crook說：“物聯(lián)網(wǎng)安全肯定將成為一種生態(tài)支持系統(tǒng)方法。平臺提供商將與其他安全公司合作，提供完整的解決方案，但我認(rèn)為該平臺肯定會在安全方面起著關(guān)鍵作用?！?/p>

建議的措施

據(jù)Maxim，大多數(shù)物聯(lián)網(wǎng)用戶能夠采取的措施有限，而設(shè)備級上最重要的步驟是：

● 切勿使用有默認(rèn)密碼的設(shè)備。

● 確保有辦法來給所有設(shè)備打上補(bǔ)丁，某臺無法遠(yuǎn)程打上補(bǔ)丁的設(shè)備一旦被攻破，就會成為“磚塊互聯(lián)網(wǎng)”的一部分。

攻擊會一直繼續(xù)下去，給我們造成深遠(yuǎn)的影響。

Maxim說：“我們已經(jīng)開始看到醫(yī)療器械公司和一些其他公司因為侵犯隱私而遭受了罰款，所以這方面有一些監(jiān)管熱點。不幸的是，可能只有出現(xiàn)了一些更嚴(yán)重的泄露事件后，才會促使企業(yè)去合規(guī)，業(yè)界開始采取行動。”

據(jù)區(qū)塊鏈物聯(lián)網(wǎng)安全初創(chuàng)公司Xage首席執(zhí)行官Duncan Greatwood，未來我們可能會看到從根本上解決安全問題的系統(tǒng)，他認(rèn)為，與上一代技術(shù)相比，這些技術(shù)會有很大的不同。

他說：“人們會說‘安全是基礎(chǔ)，并希望得到積極的響應(yīng)。這是與企業(yè)安全完全不同的情形。”

Jon Gold——資深作家，為《網(wǎng)絡(luò)世界》撰寫物聯(lián)網(wǎng)和無線網(wǎng)絡(luò)等領(lǐng)域的文章。

原文網(wǎng)址：

http：//www.networkworld.com/article/3250624/internet-of-things/the-moving-target-of-iot-security.html