物联网安全是意识问题不是技术问题

访客:275909  发表于:2018-03-30 10:42:52

物联网(IoT)这个词既宽泛又模糊,有一种说法是,它包含了任一一种能作为网络一部分的“事物”。这个定义显然不够精准,事实上,没哪种定义让人满意的。

细细琢磨,IoT似乎更多地是个心理范畴的概念,而非技术领域的概念。

对“什么是物联网?”这个问题的回答,人们常常会以举例子的方式,给出一长串实例。例子列表里可能包括:

·智能家居

·SCADA/ICS

·工厂自动化装配机器人

·自动驾驶汽车或联网汽车

·无线健身设备和其他可穿戴设备

·联网医疗机械

·智能手机

·家庭娱乐系统

·计算机

这张列表对理解物联网安全问题有什么帮助吗?列表包含了那么多种事物和用例,以致很难看出期间有什么共性。其中一些东西在设计时就融合了安全思维,而其他的则完全无视了安全问题。有些是由用户或管理员主动管理和维护的,其他则是一旦安装上就抛之脑后再也不管了的。

想要围绕物联网问题展开有效讨论,就得先对“物联网”的定义达成共识。更具体来讲,要讨论物联网安全,我们得定义和确认“有问题的物联网(PIoT)”这个概念。上面那张列表里列出的东西里,或许有那么几样是可以不包含进来的。

这些设备的创造者和使用者的心理才是我们应该关注的,倒是它们工作的技术细节或者它们的设计目的反而没那么重要。

桌面计算机位于物联网设备列表的一端。计算机的创造者和用户都默认这些机器应该定期更新,不时用杀毒软件和其他安全工具查一查,理应好好维护机器的环境。计算机就是要有主动的管理才行。计算机安全,虽然远未解决,却一直是各方考虑的重点。每个人都清楚,他们重要的数据和资源处于风险之中,对计算机的攻击行为一直都有。

相对比智能烤面包机(一个现实世界中或许尚未真实存在的典型例子),很有可能无论是烤面包机的创造者还是用户,都没对烤面包机被黑的影响加以太多考虑。他们可能没意识到烤糊了或者没烤熟的面包也是会产生影响的。当然,安全专家们会将它们视作家庭网络边界中的脆弱设备。

安全专家知道,这些设备可被用于收集信息,捕获网络凭证,发起后续攻击等等。确实,它们没有用于管理和查看安全状态的用户界面。无论创造者还是用户都没期待一个烤面包机还要定期打补丁和更新。对大多数人而言,这种想法简直太奇怪了。

一个相关的想法是:安全可不是设备可感知价值的一部分。用户对他们的灯泡没有安全需求,于是,他们不会为灯泡的安全支付额外的费用,创造者们(尤其是初创公司)也就不会在原始设计和架构中引入安全了。

而物联网的麻烦(PIoT)直接诞生于创造者和用户的思维。他们所做的第一个假设,就是设备不会被攻击。他们可能会觉得,“不就一个智能灯泡吗,根本没有黑的价值啊”。或者,他们会认为,自己的技术都没接入公共互联网(比如SCADA设备),没有理由会被黑。

创造者和用户经常默认这些设备不会、不能也不必要被好好维护。他们对用户不可见,也不提供接口或界面来进行管理。

联网汽车是个有趣的例子,完美阐述了某个单一的东西是怎么成为物联网安全问题的。大多数现代汽车都会有很多不同的网络,包括一个控制器局域网(CAN)总线、手机匹配蓝牙和无线轮胎压力传感器。有些汽车甚至还有像安吉星 (OnStar)这样的蜂窝连接。但是连入这些网络的操作系统,直到最近才具备了自动更新的能力。之前,想要对受影响的车辆进行软件升级和打补丁,都必须将车辆召回才行。用户没有为车辆网络和计算机的安全买单义务。

不过,最近有些厂家已经能够进行车辆软件的自动升级了。比如说,特斯拉。这家电动车领军企业,从一开始就将网络安全放在了首位。除了在设计阶段考虑安全,还提供经常性的无线补丁和更新。一辆特斯拉汽车,就是一台主动管理和维护的设备。从心理视角,没人会认为自家车库里的特斯拉会是个PIoT设备。

但另一方面,其他车辆,那些从未托管,从未维护,从未打补丁的汽车,则落入了PIoT的范畴。有趣的是,随着近年来对汽车黑客活动的关注,董事会层面上车辆网络安全的价值倒是越来越被认可,只是要让用户转化到新的车辆安全设计上可能要花去不短的时间。

为分析设备是否归属PIoTa范畴,我们可以将它们放到以设备创造者安全意识和终端用户感知安全价值为坐标轴的二维空间里。

当创造者和用户理解安全的重要性,IoT问题就会变少。这些设备会被谨慎设计,方便管理,通常也不会成为PIoT的一部分。至于其他3个象限,遭遇问题简直是必须的。

如果用户不渴求安全,设备中就很有可能摘除安全性——即使创造者知道安全的重要性。如果用户需求安全,而创造者没理会这一需求,那么安全将会跟个创可贴似的直到成品的最后一刻才松松垮垮地贴到产品上,不过是给用户造成一种受到保护的假象而已,能卖出去就好。

而当用户和创造者都不关心安全,那就真是绝望了。创造者对安全会连个眼神都欠奉。我们在智能灯泡之类的物联网设备中所看到的就是这种景象,而这些被忽视的小设备往往会带来新的漏洞。

想改善现状,有几条建议可用。激励措施(或惩罚措施)能鼓励创造者在设计产品时更严肃认真地考虑安全问题。没有安全经验的程序员可以利用广为使用的工具来创建更安全的产品。这样能更容易地做正确的事。

我们还可以培养用户的自我保护意识,教会他们该看哪些点来评估产品安全特性。虽然用户常能体会到对隐私和安全的需要,其实没几个用户能看出强安全性和骗人的万灵油之间的差别。

美国保险商实验室刚刚放出了一份物联网设备认证,不过,至少目前,还不能在哪款产品上看到这一认证。这枚显眼的小戳将让用户在做购买决策时将安全纳入考虑范围。

通过考虑物联网设备用户和创造者的心理,我们可以拿出更好的方法,看出这些设备中哪些是PIoT的一部分,帮助改善IT生态系统的整体安全。

这些建议中没有哪一条是万灵药,但基于思维方式的方法可以产生根本性的改善,不仅仅是对设备自身的安全性而言,也是对接入我们网络的每样东西的安全性而言。而随着我们踏入未来,物联网将很快成为生活中必不可少的一部分。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

--> --> -->
<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");