如何保護(hù)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全
掃描二維碼
隨時(shí)隨地手機(jī)看文章
全球連網(wǎng)設(shè)備的數(shù)量正以驚人的速度增長。物聯(lián)網(wǎng)(IoT)設(shè)備目前的數(shù)量已經(jīng)超過了世界人口,Gartner預(yù)計(jì),今年晚些時(shí)候這一數(shù)字將達(dá)到142億。物聯(lián)網(wǎng)設(shè)備的爆發(fā)式增長將我們的物理世界與網(wǎng)絡(luò)世界連接起來,使得我們的物理環(huán)境可編程,并使我們的家庭、車輛和城市陷入嚴(yán)重的網(wǎng)絡(luò)安全威脅之中。
這個(gè)問題足夠大,以至于政府也必須采取行動(dòng)。為了保護(hù)聯(lián)邦政府免受物聯(lián)網(wǎng)安全漏洞的侵害,并提高私營部門對物聯(lián)網(wǎng)安全的認(rèn)識,美國國會推出了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》。該法案為政府購買的連網(wǎng)設(shè)備制定了最低安全標(biāo)準(zhǔn),并驗(yàn)證使用物聯(lián)網(wǎng)設(shè)備的所有組織普遍需要的安全措施。
對許多組織來說,最大的挑戰(zhàn)實(shí)際上并不是技術(shù),而是思維方式的轉(zhuǎn)變:人們傾向于認(rèn)為安全性在于隱藏系統(tǒng)的訪問點(diǎn)及其交換的數(shù)據(jù)。事實(shí)上,降低可見性是一個(gè)危險(xiǎn)的游戲,隱藏訪問點(diǎn)時(shí),通常不會向黑客隱藏它們。更有可能的是,你把它們隱藏起來,會讓那些試圖保護(hù)它們的人無法看到。
由于系統(tǒng)和它們交換的數(shù)據(jù)之間的連接缺乏內(nèi)部可見性和治理,一些公司正在玩俄羅斯輪盤賭。不是他們是否會受到攻擊,而是何時(shí)。
可編程世界中的安全性
我們生活在一個(gè)可編程的物理世界中:自動(dòng)駕駛汽車和機(jī)器人吸塵器處理感官信息以導(dǎo)航世界,而智能燈泡可以通過智能手機(jī)打開或關(guān)閉。但另一方面,同樣的自動(dòng)駕駛汽車的GPS系統(tǒng)可以被黑客遠(yuǎn)程控制,機(jī)器人吸塵器可以被用作監(jiān)控器,智能燈泡可以被用來泄露私人信息。隨著物理世界和數(shù)字世界通過物聯(lián)網(wǎng)設(shè)備交織在一起,物理安全和網(wǎng)絡(luò)安全將變得相互依賴。
保護(hù)物聯(lián)網(wǎng)安全的一個(gè)主要障礙是,人們普遍不了解如何保護(hù)一個(gè)既包含硬件又包含軟件的系統(tǒng)。大多數(shù)開發(fā)人員基本都接受過一些關(guān)于如何保護(hù)軟件系統(tǒng)的培訓(xùn),但物理領(lǐng)域帶來了新的挑戰(zhàn)。硬件制造商的軟件安全能力可能非常有限,或者他們可能已將安全外包給其他人。此外,物聯(lián)網(wǎng)設(shè)備運(yùn)行的操作系統(tǒng)通常都是非常規(guī)的,它們的通信方式、協(xié)議和網(wǎng)絡(luò)通常與軟件系統(tǒng)不同。
保護(hù)物聯(lián)網(wǎng)的另一個(gè)障礙是,這些設(shè)備繞過了“人類中間人”按下按鈕或發(fā)出命令的需要。人類采取手動(dòng)操作通常會知道其操作的潛在負(fù)面結(jié)果,但軟件卻缺乏這種細(xì)致入微的思維。如果沒有一個(gè)有意識的參與者來執(zhí)行健全性檢查,那么大量物聯(lián)網(wǎng)設(shè)備的大規(guī)模自動(dòng)化可能會產(chǎn)生災(zāi)難性后果。整個(gè)設(shè)備隊(duì)列最終可能會“無意識地”響應(yīng)一個(gè)事件,從而增加對物理世界的影響。
以智能電表為例,智能電表是一種物聯(lián)網(wǎng)設(shè)備,可以記錄電力消耗,并將信息傳送給電力公司,以進(jìn)行監(jiān)控和計(jì)費(fèi)。由于智能電表也可以調(diào)節(jié)耗電量,因此更新其軟件的錯(cuò)誤信號會導(dǎo)致數(shù)百萬個(gè)電表在相同的時(shí)間內(nèi)被重置。這一信號實(shí)際上可能導(dǎo)致大范圍的社區(qū)停電,嚴(yán)重?fù)p害經(jīng)濟(jì)并導(dǎo)致醫(yī)院需求激增。黑客可以利用這一漏洞,在更新中引入錯(cuò)誤,從而導(dǎo)致這種錯(cuò)誤信號并造成損害。
當(dāng)大量連網(wǎng)設(shè)備協(xié)同工作時(shí),其行動(dòng)的后果會被放大。而智能電表只是一個(gè)例子,黑客針對連接互聯(lián)網(wǎng)的交通信號燈發(fā)起攻擊,可以通過改變交通信號來使整個(gè)城市陷入癱瘓。安全攝像頭可能會感染惡意軟件,然后作為一個(gè)整體被控制,以對整個(gè)社區(qū)進(jìn)行監(jiān)控并分析,從而發(fā)現(xiàn)房屋何時(shí)無人或防范較弱。這些現(xiàn)象是大規(guī)模自動(dòng)化的結(jié)果,大規(guī)模自動(dòng)化只有在物理世界與軟件世界連接后才可能實(shí)現(xiàn)。
知道數(shù)據(jù)在哪里
為了有效保護(hù)物聯(lián)網(wǎng)設(shè)備,首先需要確保它們的安全性。這需要將安全性納入系統(tǒng)的設(shè)計(jì)中,而不是作為一個(gè)問題留待以后解決。
企業(yè)需要在每一層建立標(biāo)準(zhǔn)化且有據(jù)可查的接口,而不是試圖通過隱藏各種軟件的必要層和層下的功能來保護(hù)物聯(lián)網(wǎng),并希望沒有人會發(fā)現(xiàn)它們。許多人認(rèn)為安全性就是隱藏敏感數(shù)據(jù),但是當(dāng)每個(gè)系統(tǒng)的意圖都明確時(shí),安全性實(shí)際上是最有效的。每個(gè)接口都應(yīng)表明其公開的數(shù)據(jù)和功能,以便可以應(yīng)用適當(dāng)?shù)目丶?。這些接口中暴露的漏洞可以在任何時(shí)候得到解決,從而可以在黑客利用它們之前進(jìn)行快速修復(fù)。
當(dāng)將物聯(lián)網(wǎng)設(shè)備作為應(yīng)用程序網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行管理時(shí),安全最佳實(shí)踐可以系統(tǒng)地應(yīng)用于它們。例如,人們可以問:誰有權(quán)訪問物聯(lián)網(wǎng)設(shè)備提供的數(shù)據(jù)?在這些設(shè)備上應(yīng)制定什么樣的政策?必要時(shí)如何關(guān)掉它們?根據(jù)這些答案,可以采用不同的做法。既然你現(xiàn)在知道數(shù)據(jù)在哪里以及如何共享,您可以在必要時(shí)應(yīng)用進(jìn)一步的保護(hù)。
可見性也為復(fù)雜事件處理的未來鋪平了道路。例如,現(xiàn)在很容易為任何一種異常行為創(chuàng)建警報(bào),例如成千上萬的智能電表試圖在一分鐘內(nèi)重置。有了這樣的警報(bào),人類可以在認(rèn)為有必要時(shí)才進(jìn)行干預(yù)。(來源物聯(lián)之家)未來,機(jī)器學(xué)習(xí)系統(tǒng)將從人類對這些復(fù)雜事件的反應(yīng)中學(xué)習(xí),從而在不等待人類干預(yù)的情況下實(shí)現(xiàn)進(jìn)一步的自動(dòng)化和對安全問題的更快反應(yīng)。機(jī)器學(xué)習(xí)不僅可以識別異常,而且還可以重新連接周圍的應(yīng)用程序網(wǎng)絡(luò),以自動(dòng)緩解問題,例如通過以電網(wǎng)能夠處理的速度交錯(cuò)進(jìn)行智能電表更新。
實(shí)際上,在純軟件生態(tài)系統(tǒng)中,即使尚未廣泛實(shí)踐,也已經(jīng)理解了這類自動(dòng)化和響應(yīng)。在日益分散的世界里,可見性也是保護(hù)物聯(lián)網(wǎng)的關(guān)鍵,解決方案已經(jīng)觸手可及,現(xiàn)在是執(zhí)行的時(shí)候了!