物联网——将IT安全推向边缘

访客:202087  发表于:2018-03-30 10:45:06

Gartner的研究主任Ruggero Contu说:“毫无疑问,风险势必会随着部署的物联网设备不断增加而加大。”,由于增加了联网节点的数量,物联网会带来成千上万条新的威胁途径。


Strategy Analytics公司系统研究和咨询部门的企业研究主任Laura DiDio说,虽然物联网带来了大好机遇,但是在互联环境下,“安全风险成倍增加;从理论上来说,攻击途径或攻击面可能是无限的。”

DiDio说:“此外,IT部门肩负的担子要重得多。它们要跟踪的对象数量多得多。”,DiDio表示,端点安全或周边安全是许多人关注的焦点,这有其充分理由,因为端点安全或周边安全是第一道防线,承受正面攻击的冲击。

DiDio说:“话虽如此,它并不是物联网基础设施中唯一的薄弱点。”,据Strategy Analytics的2016年调查数据显示,实际上,在每个物件、乃至每个人都高度互联的物联网环境中,粗心大意的最终用户对所在企业的物联网网络构成了最大的安全威胁。

物联网安全方面的支出一路上升,这不足为奇。Gartner公司在2016年4月份的一份报告中表示,2016年,全球物联网安全方面的支出将达到3.48亿美元,比2015年的支出:2.815亿美元增长24%。而到2018年,物联网安全支出预计会达到5.47亿美元。

物联网将IT安全推向边缘

Gartner预测,2020年以后,由于加强的技能、组织变化和更多可扩展的服务选项改进执行力,物联网安全市场支出会以更快的速度增长。

该公司表示,由于消费者和企业都开始使用数量越来越多的互联设备,市场在发展壮大。Gartner公司预测,今年全球使用的联网物件会多达64亿个,比2015年增加30%,到2018年会达到114亿个。

该公司预测,到2020年,企业受到的已识别攻击中25%以上会与物联网有关,不过物联网这块在整个IT安全预算中所占的比重不到10%。

Gartner表示,由于分配給物联网的预算有限,加上采用一种分散的方法在企业组织早期实施物联网,安全厂商很难提供实用的物联网安全功能。预计,确保物联网安全方面的工作将更多地侧重于设备及其数据的管理、分析和配置上。Gartner预测,到2020年,实施的所有物联网中一半以上将使用某种基于云的安全服务。

在未来几年,物联网很可能是许多企业组织高度关注的网络安全优先事项之一。2016年5月,卡耐基·梅隆大学软件工程研究所计算机紧急响应小组(CERT)部门发布了一份报告,报告列出了十大高危新兴技术,一些技术与物联网有关。

在《2016年新兴技术领域风险调查》这份研究报告中,CERT分析了联网家庭等方面的安全,联网家庭涉及家庭设备、家电和计算机的自动化。另一个方面是智能传感器,这是物联网的支撑技术之一。

CERT部门的安全漏洞分析师Christopher King在一篇博文中表示,在如今日益高度互联的世界,信息安全界要做好准备,消除新技术可能带来的安全漏洞。他说:“了解新兴技术方面的发展趋势,可以帮助信息安全专业人员、企业领导人以及对信息安全感兴趣的其他人识别哪些方面面临安全风险,以便进一步研究。”

卡内基·梅隆大学是物联网的早期开发者,它将安全列为一个优先事项。

这家大学正在研发一种名为Giotto的物联网平台,这以文艺复兴时期追求创新的画家Giotto di Bondone命名。Jason Hong是卡内基·梅隆大学计算机科学学院人机交互:移动隐私安全实验室的研究小组负责人,他说:“我们正在开发一套全面架构,包括硬件、中间件和应用层,自始至终整合机器学习、隐私和安全,而且还注重用户体验。”

Hong说:“我们的目的是,让人们拥有一体化物联网(IoT-in-a-box),那样他们能迅速使用我们的一些传感器平台,演示物件具有感知功能(比如开窗或有人敲门),并创建由感知的那些动作触发的应用程序。”

Hong表示,物联网有望大大改善日常生活,“但同时也为安全带来了诸多新的风险。物联网好比是个金字。最上面你有几个设备会频繁使用,而且拥有大量的计算能力”,比如笔记本电脑、智能手机、手表和游戏机。

中间是几十个偶尔使用的设备,它们的计算能力一般。这一层包括恒温器、电视机和箱等。最下面是人们很少意识到的数百个设备,比如暖通空调、徽章、植入体内的医疗设备、数码相框和电子锁等。

Hong表示,最上面一层会得到充分保护,因为生产这些产品的公司拥有丰富的专长和经验,这些设备还可以运行许多安全软件。他说:“然而,中间这层和最下面这层却会出现许多问题。许多厂商在软件方面基本上没什么经验可言,这些设备也基本上无法保护好自己。”

Hong表示,物联网的最大威胁将是勒索软件。“如今的勒索软件攻击涉及加密受害者的数据,将数据扣为人质,直到受害者乖乖交钱。将来,物联网会带来一系列新的勒索软件攻击。脚本小子可能会将人们锁在房子或汽车外面,因而令人烦不胜烦。”他表示,黑客组织Anonymous可能会对公司的暖通空调或照明系统做手脚,增加电费或者惹毛住户;攻击者可能企图闯入多辆自动驾驶汽车或多个自主医疗设备,实际上将受害者扣为人质。

卡内基·梅隆大学的实验室正在研究几个想法,确保Giotto里面的安全性。Hong表示,其中之一是,如何利用邻近位置作为获得访问权的一种方式。比如说,如果你在一个房间,你也许能够访问这个房间里面的一些传感器和服务,比如温度。如果你走到房间外面,你能获得的信息就会减少或干脆没有。

Hong说:“我们还在考虑如何区别公共数据和私有数据。比如说,在我们大学,我们可能将走廊传感器指定为公共数据,这所大学里的任何人都可以查看和使用该数据。但是与私人办公室有关的数据和服务只能由该办公室的主人和大楼管理员访问。”

另外,实验室还在考虑Giotto的不同层次如何支持安全的不同部分。Hong表示,比如说,物理层需要让人们容易了解传感器在那里,核实传感器在收集什么数据,查看这些数据在如何使用,以及了解谁可以查看该数据。

Hong说:“逻辑层和中间件层需要提供访问控制,作为实用的默认机制,明确人们可以访问哪些数据和服务,要提供很简单的控制机制,不需要博士生才能了解。应用层需要让普通开发人员很容易充分利用数据,同时注重用户的隐私。”

Hong表示,在企业IT环境下,大家常常很重视端点安全,或者将安全软件安装在笔记本电脑、台式机和智能手机上。他说:“这只适用于最上面一层设备,但并不适合构成中间层和最下面一层的数十亿个设备。网络安全方面要有重大的进展,才能保护这些种类的设备。”

Hong补充道,企业组织还需要人工智能和大数据技术方面有重大创新,才能检测异常行为。“如今我们只能说勉强可以管理台式机、笔记本电脑和云服务器的安全;家庭网络或企业网络添加成千上万个设备将意味着,我们需要新的、自动化的方法,以便迅速检测和应对攻击。”

Contu表示,总的来说,没有哪一种安全技术能够保护所有IT资产,包括物联网边缘处理、物联网平台中间件、后端系统和数据。“需要一种多管齐下的安全方法,应对更大的数字风险和物理风险。”

Contu表示,端点层面可以使用不同的方法,从安全功能嵌入到芯片架构里面,到部署软件代理以执行不同的安全控制机制,不一而足。在物联网生态系统之类的复杂架构中,网关将会大有帮助;由于各种各样的设备和身份,很难为这类架构确保安全。

Contu说:“网关将得到部署,以处理物联网的特定领域,管理一组信任需求相似的特定设备,因而可以使用通用信任模型的原则来确定领域。联合信任模型让使用不同信任模型的不同领域和设备之间实现互操作性。”

金融服务公司GE Capital Americas的首席信息安全官(CISO)兼IT风险负责人James Beeson表示,物联网安全方面的关键技术可能会是机器学习和人工智能。

Beeson说:“由于数十亿其他设备连接到互联网,人工处理那么多的警报及/或未知的资产和事件会变得不可能。技术需要能够处理海量数据,并且迅速做出决定。”

DiDio表示,即使在考虑技术之前,企业也要实施强有力的安全策略和程序。她说:“如果你没有落实安全策略或方案,就会有大问题。”

之后,企业应购买并安装适合本企业的相应的安全工具和软件包。

DiDio说:“企业还要确保补丁和修正版是最新版本。许多公司之所以碰到问题,是由于它们没有升级、打上补丁,结果发现设备和应用程序门户大开、易受攻击。”

物联网环境下的安全不是一成不变,而是个活动目标。DiDio说:“你得不断重新评估和监控你的安全状况、安全策略和程序,并执行策略和程序,以便随时了解黑客构成的外部威胁以及自己员工(故意或不小心)构成的内部威胁。企业永远无法宣告胜利。自满是你最大的敌人。”

评论(0)

您可以在评论框内@您的好友一起参与讨论!

--> --> -->
<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");