談及物聯網(IoT)安全問題,近兩年媒體的關注點都是聯網汽車、可穿戴設備和智能家居等IoT設備遭受攻擊的具體事件。
這些固然放大了某些IoT設備的弱點,加強了人們對IoT安全的重視,但只見樹葉,不見森林。
IT安全部門應清楚,IoT在企業中的應用將集中在兩大戰略層面:聯網設備以及聯網業務流程。
全公司上下,不論是使用者,制造者,還是操作者對IoT的應用方式都各不相同;而這些利益攸關者中,處于同一條縱向業務線的人甚至需要IoT進一步個性化和定制化。
IoT設備可以升級企業的業務流程,但若操作者遍布全球,且使用的寬帶網絡質量參差不齊,那么安全人員須區分對待,而不是一刀切地認為他們跟享受優質網絡連接的本地員工沒什么不同。
不僅僅是設備,核心系統或應用也容易成為黑客的目標,因為后者是收集、規范化以及儲存海量IoT設備信息的重要載體。
盡管強有力的終端設備安全防范措施仍或不可缺,但應更多從黑客的角度思考問題:既然直接攻擊應用就能讓上百個車載娛樂系統染上僵尸病毒,那么攻擊一臺設備有什么意思?既然可以搗亂競爭對手供應鏈的物流數據而延遲交貨,干嘛在一輛貨車上費心思?
芯片組、形狀系數和電池壽命的改良和創新讓IoT設備甚至可以部署在惡劣或危險的環境下,讓數據組和IoT之前無法想象的實時遙感勘測成為現實。一位Cisco(思科)研究者稱:IoT大特點在于——用戶并沒有意識到他們的聯網洗衣機也是電腦,IoT是實體和數字的結合。舉個例子,通過可穿戴設備可以知道一位20多歲的用戶有著固定的慢跑路線,這對運動飲料的廣告商很有價值,但也可能被壞人利用策劃綁架。
IoT設備為吸引消費者,提升服務提供了新機遇,但對于制造、銷售或使用IoT設備的公司里的CISO(首席信息安全官)而言,也意味著緊迫的安全隱患,包括很容易被忽略的固件更新缺陷。安全主管人員必須清楚:IoT攻擊門檻并不高。很多安全專家以為IoT設備相比功能齊全的普通電腦數量那么少,就不會成為目標。這么想就錯了。
實際上,Riot OS和Windows 10 IoT core(微軟的物聯網核心系統)等Linux操作系統就跟開放給IoT架構的普通OS沒什么不同,這種情況下能攻擊筆記本電腦的黑客轉而攻擊IoT設備易如反掌。IoT安全公司Senrio透露說:“兩年前,我們公司兩個實習生做一個公共項目,短短一個月就遠程攻擊了一臺ATM、一個智能家居控制器、幾臺醫療設備、一臺路由器。” 由此可見,黑客故技重施,將攻擊電腦的那套法子拿來“綁架”IoT設備來賺錢也沒什么不可能。
IoT安全防線要是沒守住,影響的不但是設備本身,還有金錢損失。跟竊取信用卡和身份數據來偷錢的傳統網絡攻擊不同,某一類IoT設備牽扯到生命健康。2016年8月,網絡安全公司MedSec發現St Jude Medical公司生產的聯網起搏器有致命缺陷。后來Muddy Waters研究公司的一份報告向投資者嚴厲批評了這一失誤嚴重威脅了病人健康,潛在的產品召回和訴訟還有可能驚動監管部門。
消費者也很擔心。Forrester的科技消費調查就發現64%的被調查者擔心使用IoT設備會泄露身份信息。
受限物聯網設備出現問題尤其難以解決。很多IoT設備是沒有用戶界面/屏幕的,所以不會像電腦那樣推送更新及步驟。別奇怪,過不了幾年你的鄰居也許就會告訴你,他們買新的冰箱并不是要翻新廚房,而是因為冰箱的軟件有不可修復的安全漏洞。
“人們掏錢買的是IoT設備,沒人給開發團隊付錢,”Cisco一位研究者說:“IoT設備壽命很長,如果制造商僅保修一兩年,那么一兩年以后就只能靠你自己了。”
海量的IoT設備需要隱私保護。為了了解消費者的背景和行為,公司須收集和分享大量數據,這就意味著CISO們需要強有力的隱私控制,特別是靜態數據。消費者很難了解被收集了多少數據,其中又有多少給公司賺錢了。
安全主管人員需要向用戶解釋為什么要收集他們的信息,這些信息用來做什么,以及讓用戶自己來決定什么信息可以被收集、如何被使用、如何被分享。大概67%的安全主管人員擔心IoT隱私侵犯問題。對于CISO們而言,這既是挑戰,也是公司受益透明化,贏取用戶信任的絕佳機會。
本站文章版權歸原作者及原出處所有 。內容為作者個人觀點, 并不代表本站贊同其觀點和對其真實性負責,本站只提供參考并不構成任何投資及應用建議。本站是一個個人學習交流的平臺,網站上部分文章為轉載,并不用于任何商業目的,我們已經盡可能的對作者和來源進行了通告,但是能力有限或疏忽,造成漏登,請及時聯系我們,我們將根據著作權人的要求,立即更正或者刪除有關內容。本站擁有對此聲明的最終解釋權。
