物聯網“上路”提速 應系好“安全帶”
來源:物聯網空間站 更新時間:2018-12-21

 

物聯網在安全性方面進展緩慢,使得用戶隱私和人身安全一直受到威脅。在過去的幾年裡,物聯網的安全問題獲得了較大的關注,但大多數都是討論消費者應該如何做來保障安全。問題是,企業是可以比消費者做的更多來提高安全性的。此外,消費者似乎對如何保護自己並不那麼感興趣。

物聯網提供商應汲取歷史經驗

20世紀30年代,隨著汽車的普及,醫生經常性的接觸到與車禍相關的傷亡,使得美國醫生開始在自己的汽車上安裝臨時安全帶。在隨後的幾十年裡,科技人員在汽車安全方面進行了大量的研究。直到1968年,第一部聯邦汽車安全法才生效。它要求所有機動車輛(公共汽車除外)都必須配備安全帶。

對許多人來說,安全帶確實可以挽救他們的生命,但仍然有不少人在沒有系安全帶的情況下乘坐汽車。這一項簡單的措施被很多乘客忽視,美國各州花了幾年時間才通過了一些法律,這些法律要求乘客系安全帶否則承擔罰款。那為什麼業界和消費者都花了這麼長時間來促使大眾采用這種簡單的安全機制?如今,這個問題會不會印證在物聯網的安全狀況上?

就像上世紀30年代的醫生一樣,我們意識到了這個問題。

早在2014年,Target公司就處理過遠程訪問其網絡(通過HVAC系統連接設備)的黑客所帶來的創傷。單是這一次攻擊就使得數以萬計的持卡人記錄被泄露。在2016年底,物聯網設備的安全性引起了更多的關注。Mirai 僵屍網絡感染了數以十萬計的連接設備。惡意代碼被用來對各種目標發起分布式拒絕服務(DDoS)攻擊,造成了大規模的破壞。賽門鐵克公司在2017年互聯網安全威脅報告中闡述的另一個驚人的事實是,入侵一台連接設備的平均時間僅為兩分鐘 。關注設備安全性的不僅僅是受感染的用戶/設備,還包括這些設備所鏈接網絡的一部分資產。所以,IT安全專家和專業人士十分關注連接設備的安全性。

根據Gartner 的數據,2017年連接設備的數量達到了約84億台。他們預測2020年市場將增長近三倍,達到204億美元。也許,比連接設備數量更令人震驚的是接入網絡的沒有安全保障的設備數量。

市場需求推動了增強功能和用戶體驗的需求。為了滿足當今市場的需求,制造只用於功能目的的電器或產品的時代已經一去不復返了。因此,在企業高管們推動業務變革和創新來提供這些產品的同時,IT專業人員和安全專家也面臨著同樣令人擔憂的問題:公司如何才能在保正智能設備需求的同時兼顧其安全問題?

為了回答這個問題,小編概括了一些可能造成IoT安全性危機的因素:

1、非技術公司被迫在技術領域競爭

2、信息技術和安全專業人才短缺

3、各種各樣的設備帶來的標准化挑戰

在感覺一台只烤面包的烤面包機有點過時的時代,似乎每一家公司都需要成為一家科技公司。

如果一家公司要在當今科技驅動的經濟中不落後,他們必須重新定位自己在聯網世界中的角色——即使他們是傳統的家電制造商而非技術公司。此外,似乎把“智能”引入傳統產品的壓力還不夠,科技公司也在尋找進入傳統產品市場的方法,這只會增加非技術公司在物聯網設備競賽中競爭的緊迫感。這意味著原設備制造商或非技術公司被賦予了一項艱巨的任務:那就是迅速地將創新引入市場,這不僅滿足了設備最初的預期用途,而且也滿足了用戶的需求。

搶奪市場

那麼,什麼是‘非技術’公司?非技術公司是指生產或制造傳統上不被認為是智能或連接產品/設備的公司(如.冰箱、暖氣系統、醫療設備、汽車等)。另外,科技公司是主要生產或開發技術的公司,比如谷歌、亞馬遜、微軟、IBM等。將連接組件添加到傳統的非科技設備中需要大量的專業知識來研究和開發。很多非技術公司正在尋找留在游戲中的方法,一種策略是與科技公司合並或收購,另一種是與科技公司進行合資合作。

非技術公司對科技公司的收購呈上升趨勢。根據彭博社的數據,“ 在 2007 年, 682 家 技術 公司被非技術公司收購, 655 家被科技公司收購。 ” 非科技公司占科技公司收購案的一半多。

通用汽車為了在無人駕駛汽車市場上與特斯拉競爭,采取了大膽的行動。他們收購了Strobe,這是一家位於加利福尼亞州的初創科技公司,專門從事無人駕駛技術的開發。

惠而浦就是采取OEM(定點生產,俗稱代工)合作的例子,該公司在2010年建立了一家合資企業,將家用電器連接到互聯網。他們通過與科技公司Prodea合作來建立家電與互聯網之間的連接。這一戰略舉措使消費者可通過智能手機遠程控制和監控他們的設備。

值得注意的是,上述每種策略均存在安全性方面的難題。收購技術公司,仍然有責任為物聯網安全開發提供適當的資金。 “Gartner預測,到2020年,企業遭受的攻擊中有超過25%將涉及物聯網,盡管物聯網只占IT安全預算的不到10%。 由於物聯網的預算有限以及物聯網的碎片化,安全供應商將很難提供可用的物聯網安全功能。

外包也不能免除非科技公司的責任。應制定嚴謹的計劃,以確定誰負責確保產品的安全設計和設備的後續支持。只要非技術公司將軟件開發項目外包給第三方,非技術公司就需要負責制定完善的安全和可持續發展計劃。從本質上講,這要求他們通過代理成為一家科技公司。

安全專業人員缺口大

市場對智能技術型人才的需求愈加迫切,但與此同時,身懷安全智能技術的技能人員卻日益短缺。正如思科的Sudashan Krishnamurthi所報告的那樣,“許多組織正致力於了解哪些技能是成功的物聯網項目所必需的”。此外,ISC 2 的分析人士認為,到2020年,安全專業人員將短缺150萬人。

這並不是說物聯網行業沒有為此做出努力。為了彌補缺乏合格專業人員的問題,主要的安全行業組織正在增加認證項目和培訓機會。例如,ISC 2創建了國際學術計劃,以支持高等教育機構開發安全課程,建立網絡安全與教育中心 。該中心設立了獎學金,以吸引人才投身網絡安全領域。此外,ISC 2 (與網絡安全有關的一個基金會)為強調了這一問題,提出了下列相關的建議:

1、為學生提供更多的實踐機會,為他們提供更多的入門課程.

2、將網絡安全和信息安全納入學術課程。

3、開拓新的人才來源,或充分挖掘仍未充分利用的現有人才(如社區大學生、婦女、回國服務人員及少數民族)

4、整合人才選拔流程,優化整體人才資源。

最大的風險是,這些產品被創造和進入市場的速度。如芝加哥論壇報 ,Haka產品的創始人Colm Lennon說:“在這個萬物互聯的物聯網空間中,所有的角色都必須緊密合作,如果公司想要以極快的速度進行創新,同時也要進行安全功能創新。這樣做是為了保護他們的客戶,保護自己,保護他們的合作伙伴。”隨著企業努力發展和變革,他們的戰略需要納入消費者保護,而不是單純的在市場競爭中處於優勝地位。

物聯網設備面臨的安全挑戰

物聯網系統中有各種各樣的設備和體系結構,這就帶來了各種各樣的安全挑戰。連接的設備執行各種功能,包括處理、存儲和傳輸數據;一些設備要執行三個功能,一些只執行一個。此外,物聯網設備有不同的形狀和大小。大多數設備都是小巧而離散的。

正如Nick Allot博士在2016年物聯網安全會議所指出的,處理數據受限的低功耗設備有著重大的安全挑戰,這些設備很難保證數據加密。設備小,處理能力自然受到限制。在設備功能、尺寸和安全性之間尋找一個平衡點是設備開發商和制造商面臨的主要障礙之一。

各種類型的安全體系都是可用的。然而, 根據發表在《沙特國王大學》雜志上的一項研究, 這些體系結構的核心問題是抽像層面上互聯的事物缺乏充分的互操作性。這導致了很多的問題, 如: 不智能、適應性較差、匿名性有限、系統行為不良、隱私和安全性降低。

應要求設計的安全性

不論非科技公司是如何將聯網設備集成到他們的產品中,有一件事是肯定的:安全必須首先被考慮。盡管各個行業的管理層都想出了如何將物聯網納入未來的業務計劃,但安全專業人士必須就安全標准達成共識。問題是,全球經濟仍繼續通過技術實現增長,而物聯網設備制造商卻沒有一套確保設備安全的監管標准。

物聯網行業可以著手很多事情來提高產品安全性。企業、政府都提出了SRO(成交率 優化)的最佳策略。谷歌、亞馬遜和微軟等雲供應商都稱擁有物聯網安全最佳解決方案,從加密,認證,及時修補和防止惡意活動角度出發,可保證基礎設施安全。一些雲供應商甚至從安全性的角度指導設備制造商。他們推廣的標准有:可修補的設備設計、加密的數據、沒有硬編碼的密碼、沒有已知的安全漏洞以及使用行業標准的互聯網協議。

同樣,一個非營利性組織物聯網安全基金會(IOTSF)被建立,該組織已發表了大量最佳實踐用戶指南,可供實施合規性框架的組織使用。馬薩諸塞州和加州參議員於2017年10月起草了一項法案,以確保物聯網設備滿足某些網絡安全要求,給滿足網絡安全的設備一個安全印章或標記。參議員Edward J. Markey說,預期的結果是“幫助消費者識別符合某些安全標准的產品”。這些印章或標記有助於提高消費者的安全意識,通過這種方式,經濟發展的同時可以更快地驅動受保護的設備的增長。

物聯網行業可以提高設備安全合規度

雲和物聯網網絡供應商可以聯合起來保護物聯網系統。例如,支付品牌Visa、MasterCard和美國運通通過創建支付卡行業數據安全標准 ,來減少信用卡詐騙。

雲和物聯網解決方案提供商,如谷歌、微軟和AT&T會通過執行安全標准來保護聯網設備嗎?有一天,這些供應商會要求設備制造商提供第三方審計安全聲明,這將是一件很有趣的事情。為此,第三方審計機構將越來越需要獨立審查安全盡職調查。

也許,目前業界可以采用的安全最佳實踐是更新連接設備使用的互聯網協議。正如Charles Sun所說,“當我們關閉IPv4時,我們將消除基於IPv4堆棧的全球網絡攻擊和安全威脅”。在保護數據方面,政府比消費者更具利害關系,因此,政府更加關注安全問題。我們不僅可以使用IPv6保護目前的設備,而且IPv6還可以擴展到未來出現的連接設備。美國食品和藥物管理局和美國國家標准技術研究所已經發布了行業和國際網絡安全標准化指南,而英國金融培訓集團正在積極尋求簡單易用的用戶友好型解決方案,以幫助消費者保護他們的智能家居設備。

如何保護物聯網設備

物聯網醫療設備的一些安全問題實際上並不是源於設備本身。根據物聯網網絡安全公司ZingBox的一項新研究,“最常見的物聯網醫療設備安全警報來自用戶實踐(比如使用醫療工作站上的嵌入式瀏覽器瀏覽網頁、進行在線聊天或下載內容),占所有安全警報的41%。”

消費者不能完全依靠設備制造商來保證產品安全,但是90% 的消費者對保護自己的設備缺乏信心。 然而,消費者確實可以做些事情來確保物聯網設備安全。回想一下,20世紀的汽車死亡危機,這個危機需要個人、工業、州和聯邦政黨被一個簡單的解決方案聯合起來:安全帶。物聯網設備連接到消費者的家庭網絡,通常消費者的智能手機或集線器保持對家庭網絡的直接控制。出於這個原因,消費者需要確保三個領域:智能手機、家庭網絡和連接設備的安全。

1、保護智能手機

使用強密碼並鎖定屏幕

盡可能使用多中要素進行身份驗證

安裝安全軟件

任何用於控制設備的應用程序都需要進行補丁更新。

2、重視家庭網絡安全性

在連接的設備上創建網絡,以便在線購物或銀行存儲

設置WiFi時使用加密協議

使用提供防火牆保護的路由器

使用強密碼並更改默認用戶名和密碼

更新,保證使用的軟件是最新版本

3、關注連接設備

了解設備的工作原理、功能以及它傳輸或存儲的數據。

確定設備是否需要連接到Internet

為每個設備設置強而獨特的密碼。

收到通知後注冊安裝更新

消費者應該了解了自己確實可以保護物聯網。 安全標准和協議正在慢慢融合在一起。 加速安全物聯網系統的做法可以像這樣簡單:

加強網絡安全教育,鼓勵年輕一代尋求與網絡安全/信息安全有關的職業;設置網絡安全/信息安全課程,即使是針對低年級學生;多宣傳提高消費者網絡安全意識

企業能做什麼:聘用安全專業人員、有的放矢地投資於網絡安全、使用受信任的第三方並建立透明的業務關系、做更多的網絡安全研究並加入IOTSF、支持政府法規

如果您碰巧在物聯網行業,期待您的企業可以做到上述幾點,以確保產品的安全性處於最前沿。如果您是消費者,是在使用物聯網,那對網絡和設備的安全性進行反復檢查確認是很有必要的!