物聯網安全的移動目標

Jon Gold

隨著物聯網的爆炸式發展，企業、供應商和消費者都必須面對的問題是，這個世界比以往任何時候都更加緊密地聯系在一起，由此可能帶來嚴重的后果。

隨著物聯網技術的爆炸式發展，企業、供應商和消費者都必須面對的問題是，這個世界比以往任何時候都更加緊密地聯系在一起，由此可能帶來嚴重的后果。

物聯網安全的核心問題是沒有核心問題——物聯網是比傳統的IT基礎設施更復雜的堆棧，其組成更有可能是來自不同來源的硬件和軟件。

物聯網安全主要涉及三個方面：設備、網絡和后端。據Forrester首席分析師Merritt Maxim，所有這些都是潛在的攻擊目標，都需要關注。目前，設備是最受關注的——有太多的各種制造商，其中有一些并沒有努力工作保證他們的產品安全，這使得設備級物聯網安全問題重重。

Maxim說：“這并不像Wintel壟斷桌面環境那樣，那是一種更為同構的環境。一般而言，物聯網設備運行嵌入式Linux或者其他各種不同的版本，這就造成了安全盲點，因為IT安全專業人士并不怎么使用這些操作系統。”

據IDC物聯網研究總監Stacy Crook，更重要的是，很多專注于安全的物聯網人士都是在網絡或者后端接觸物聯網，而不是在設備本身。

她說：“這些人可以深入到設備中，但是他們必須弄清楚他們要在這方面做多少投資，因為有很多不同類型的設備和不同的架構。所以他們必須想好自己真正想花多少時間。”

應對威脅

安全專業公司正在盡最大努力跟上不斷變化的物聯網安全威脅。像Pwnie Express這樣的公司，已經開始生產滲透測試設備，試著去適應新的威脅環境。

Pwnie Express首席技術官Matt Williamson介紹說：“在早期，測試設備就像是假的墻插，他們盡力將其偽裝好，因為不想讓人看出來有滲透測試設備正在對環境進行測試。”

而最新、最好的模塊是位于客戶數據中心的模塊，監控Wi-Fi、藍牙和很多其他類型無線網絡的異常流量，因為網絡最有可能成為惡意黑客的攻擊目標。

然而，Williamson認為，不同的客戶擔心網絡的不同部分，因此，將安全工作集中起來可能會很困難。

他說：“我們有相當多的物體，很難指出哪一個更重要。我們的一些客戶更關心藍牙，或者藍牙電視，等等。其他人則更擔心非法接入點。”

這些問題并不是物聯網所特有的，但它們仍然是相關的——以至于Pwnie把業務重點放在了物聯網上，將其滲透測試專業知識應用于企業網絡中越來越多的設備上。

調查：物聯網安全是個重大問題

據最近的幾項調查，IT業界至少已經意識到所面臨的問題有多嚴重。Pwnie的《2017年度互聯網惡意事件》報告調查了800名安全專家，發現84%的受訪者指出，2016年的Mirai僵尸網絡事件改變了他們對物聯網安全威脅的看法，這一事件中，大量不安全的物聯網設備，主要是數字攝像頭，變成了強大的僵尸網絡的一部分，被用于發起DDoS攻擊。92%的受訪者說這個問題一直是個大問題。

問題的部分原因似乎是，解決問題的工作還處于起步階段——只有23%的安全專業人士對公司的聯網設備進行了監控，掃描這些設備是否有惡意代碼，三分之二的受訪者表示他們并不能確定他們的網絡中連接了多少設備。

《福布斯》對500名高管進行的調查顯示，受訪者將物聯網列為最重要的新興技術，甚至超過了機器人和人工智能。三分之一的受訪者指出，安全是物聯網面臨的最嚴重的問題。

根Maxim，部分原因是物聯網黑客入侵的后果比傳統計算機犯罪嚴重得多——2012年電視連續劇《Homeland》中就有這樣的場景，片中一個人的心臟起搏器被黑客攻擊而導致他死亡，這絕非聳人聽聞。

Maxim說：“這不是理論上的攻擊，而是現實，這與傳統的網絡世界有不同的動機，在傳統的網絡世界中，盜竊身份或者支付信息不過是為了賺錢。而物聯網黑客有可能會讓人喪命。”

公共平臺將設備連接到后端

據Crook的研究，將物聯網設備連接到后端的傳統方法是使用定制平臺，但現在大部分（57%）物聯網部署使用的平臺都能夠應用于大多數部署場景中。

谷歌和微軟的服務產品谷歌云和Azure IT便是這樣的平臺，在這方面提供了更多的選擇。

她說：“一個不錯的想法是，利用公共平臺在不同的應用情形中開發這些物聯網應用程序，而不是為每一種不同的物聯網應用情形建立定制的平臺。”

越來越多地使用這些平臺也帶來了安全后果，大部分是積極的——Crook最近的研究表明，57%的物聯網部署使用了這類平臺，其中大部分集中在邊緣層，這是位于端點設備和數據中心之間堆棧的新的組成部分。一個例子是能夠分析數據的集線器設備，對工廠車間中聯網的設備進行底層管理。

邊緣計算是物聯網的一個重要概念，因為很多應用程序，特別是那些對延時非常敏感的應用程序，不能等待數據從端點到數據中心再返回，然后再采取行動。因此，物聯網集線器和其他設備將占用一些計算和管理開銷，也會在實現安全功能的堆棧中占有一席之地。

Crook說：“會在邊緣收集更多的數據。例如，在工廠車間，有越來越多的邊緣設備收集數據。”

她補充說，從廣義上講，物聯網平臺是考慮到了安全性的架構，但安全不是其主要關注點。雖然有威脅檢測功能，但它們通常作為附加服務出售，而不是平臺的核心組件。

Crook說：“物聯網安全肯定將成為一種生態支持系統方法。平臺提供商將與其他安全公司合作，提供完整的解決方案，但我認為該平臺肯定會在安全方面起著關鍵作用。”

建議的措施

據Maxim，大多數物聯網用戶能夠采取的措施有限，而設備級上最重要的步驟是：

● 切勿使用有默認密碼的設備。

● 確保有辦法來給所有設備打上補丁，某臺無法遠程打上補丁的設備一旦被攻破，就會成為“磚塊互聯網”的一部分。

攻擊會一直繼續下去，給我們造成深遠的影響。

Maxim說：“我們已經開始看到醫療器械公司和一些其他公司因為侵犯隱私而遭受了罰款，所以這方面有一些監管熱點。不幸的是，可能只有出現了一些更嚴重的泄露事件后，才會促使企業去合規，業界開始采取行動。”

據區塊鏈物聯網安全初創公司Xage首席執行官Duncan Greatwood，未來我們可能會看到從根本上解決安全問題的系統，他認為，與上一代技術相比，這些技術會有很大的不同。

他說：“人們會說‘安全是基礎，并希望得到積極的響應。這是與企業安全完全不同的情形。”

Jon Gold——資深作家，為《網絡世界》撰寫物聯網和無線網絡等領域的文章。

原文網址：

http：//www.networkworld.com/article/3250624/internet-of-things/the-moving-target-of-iot-security.html