物联网可能面临灾难性安全风险

  中国知名网络安全专家,东方联盟创始人郭盛华在互联网安全峰会访谈时称:物联网即将到来,许多IT高管都很害怕。或者,也许更准确地说,他们已经辞职了。在553位IT决策者的3月份调查中,78%的受访者表示他们认为他们的企业至少有可能遭受数据丢失或IoT设备被黑客盗用。约72%的受访者表示物联网正在推进的速度使得难以跟上不断变化的安全需求,这种恐惧根植于现实。

物联网安全隐患
  去年10月,黑客利用来自物联网设备的大约100,000个“恶意终端”,将控制大部分互联网域名系统基础架构的公司取缔。最近,WannaCry勒索软件攻击使一些中国银行ATM网络和洗衣机网络陷入瘫痪。对于反对者来说,这些攻击证实了人们担心黑客可能通过征用我们的物联网设备来造成混乱。同时黑客教父郭盛华还表示,物联网的安全离不开黑客,因为不是所有黑客都是坏的,例如白帽黑客,他们可以测试物联网的漏洞和性能来判定它们能够承受入侵的强弱程度。

  与此同时,物联网行业继续稳步增长。Gartner预测,到2020年,物联网设备将达到210亿个,高于2017年的50亿个。这些设备中约有80亿是工业设备,而不是消费设备。两者都为黑客提供了一个多汁的目标。对于某些人来说,物联网似乎是一个实时播放的慢动作残骸。DXC首席技术官兼副总裁兼网络安全部门的克里斯莫耶尔表示:“业界尚未回避的原因是价值主张非常强大。“风险主张也非常强大,这就是平衡正在发生的地方。”无论业界的胃口如何,在行业解决其安全问题之前,IoT都不可能获得规模。这将需要供应商之间的合作,政府干预和标准化。在2017年,这些事情似乎都没有出现。

物联网安全有什么问题?
  一致认为物联网仍然处于不安全的状态,并且可能带来灾难性的安全风险,因为公司信任用于商业,运营和安全决策的物联网设备。现有的标准尚未到位,供应商一直在努力将适当的情报和管理水平嵌入到产品中。添加加强合作袭击者之间和它创建了一个需要解决跨一组这些挑战的尺寸。

考虑我们面临的物联网设备的安全问题;
  与个人电脑或智能手机不同,物联网设备的处理能力和内存通常较短。这意味着他们缺乏强大的安全解决方案和加密协议,可以保护他们免受威胁。由于这些设备连接到互联网,他们每天都会遇到威胁。而对于物联网设备的搜索引擎存在这一提议黑客得以进入网络摄像头,路由器和安全系统。许多这些连接互联网的设备在设计或开发阶段从未考虑过安全性。不仅缺乏安全能力的设备本身,许多连接它们的网络和协议都没有强大的端到端加密机制。许多物联网设备需要手动干预才能升级,而其他设备则根本无法升级。这些设备中的一些设备构建得非常迅速,超出迭代1的设计思路有限,而且它们不能更新。

  物联网设备是一个“薄弱环节”,可以让黑客渗透到IT系统。如果设备链接到整个网络,情况尤其如此。许多物联网设备具有黑客可以在线查看的默认密码。由于这个事实,Mirai分发拒绝服务攻击是可能的。这些设备可能有“后门”,为黑客提供入口。设备的安全成本可能会否定其财务价值。物联网安全专家曾表示:“当你拥有2美分的组件时,当你将一美元的安全性放在首位时,你刚刚打破了商业模式。这些设备也会产生大量的数据。DXC技术项目总监也表示:“这不仅仅是你需要使用的210亿个设备。“这是从210亿个设备产生的所有数据。有大量的数据几乎比产生这些数据的设备数量多得多。这是一个巨大的数据处理问题。“
  考虑到这些缺点,企业可以通过遵循物联网安全的最佳实践在一定程度上保护自己。但是,如果合规不是100%(这不会),那么不可避免地会发生攻击,行业将失去对物联网的信心。这就是为什么安全标准是必不可少的。

谁来设定标准?
  各种政府机构已经在管理一些物联网设备。例如,美国联邦航空局管理无人驾驶飞机,美国国家高速公路交通安全管理局规定自动驾驶汽车。国土安全部正在参与基于物联网的智慧城市计划。FDA还监督物联网医疗设备。

  目前,还没有任何政府机构负责监管用于智能工厂的智能工厂或以消费者为中心的物联网设备。2016年,联邦贸易委员会发布了关于物联网的报告,其中包括有关最佳实践的建议。2017年初,FTC还向公众发布了一项“ 挑战”,以创建一个“解决由物联网设备中过时软件引起的安全漏洞的工具”,并为获胜者提供25,000美元的奖金。

  虽然政府将对物联网的某些方面进行管理,但他认为只有该行业才能制定标准。他设想通向这样一个标准的两条途径:买家会推一个,拒绝购买那些不支持标准或主导角色的产品,否则两个厂商就会在市场支配地位上设定一个事实标准。该行业目前有几个标准,而没有一个标准正在逐渐走向支配地位。其中包括基于供应商的标准以及IoT安全基金会,IEEE,可信计算组织,物联网世界联盟和工业互联网联盟安全工作组提出的标准。所有这些机构正在致力于安全物联网环境的标准,协议和最佳实践。另一种解决方案是要求制造商承担设备责任。目前硬件设备就是这种情况,但是谁承担软件故障责任往往不清楚。

AI来救援?
  这种情况下的通配符是人工智能。支持者认为,机器学习可以发现一般的使用模式,并在出现异常时提醒系统。比如,杀毒软件公司可以查看所有端点的云服务器数据,并使用机器学习识别异常或恶意行为。谷歌ML系统可能会识别来自传感器或智能设备的异常行为。由于物联网设备功能有限,发现这种异常应该相对容易。由于使用机器学习的安全性仍然是新的,所以这种方法的捍卫者主张使用包含人为干预的安全系统。

真正的解决方案:一切的组合
  虽然人工智能在物联网安全方面可能比最初认为的更为重要,但全面的物联网解决方案将包括一切,包括政府法规,标准和人工智能。该行业有能力创建这样的解决方案,但问题在于它需要在非常快速的时间表上完成。目前,在物联网安全和物联网采用之间的竞争中,后者正在赢得胜利。那么,企业现在可以做什么来锁定物联网而不会降低安全性?

针对物联网安全,中国黑客教父郭盛华有几点建议:
  采取一种集成方法,这是一个更好的情况;使用物联网的公司应整合管理解决方案,并将IoT平台用于主要连接和数据移动,并将数据引入更复杂的分析环境,并让他们执行行为分析,这可以实现自动化。他说:“通过整合这些组件,您可以更加确信,从物联网环境中的馈送获得的数据在统计上是有效的。”选择合适的物联网设备。这些设备具有超强的生态系统和一组正在开放共享信息的合作伙伴。使用IoT网关和边缘设备。为了缓解整体安全问题,许多公司正在使用物联网网关和边缘设备进行隔离,并在不安全的设备和互联网之间提供保护层。参与创建标准。在宏观层面上,为确保长期保持物联网安全性,您可以做的最好的事情就是参与制定特定行业和整体技术的标准。

posted @ 2018-04-02 15:33  黑客爱好者  阅读(215)  评论(0编辑  收藏  举报