隨著萬物互聯(lián)時代的到來,智能物聯(lián)網(wǎng)在給人們生活、工作帶來便利的同時,也帶來了一些前所未有的安全風險。近年來頻頻出現(xiàn)的一些物聯(lián)網(wǎng)安全事件,已經(jīng)給業(yè)界敲響了警鐘。專家認為,物聯(lián)網(wǎng)安全威脅正日益凸顯,給傳統(tǒng)網(wǎng)絡安全防護帶來新的挑戰(zhàn),需要采取更多應對措施,以防患于未然。
智能設備將面臨三大威脅
智能物聯(lián)網(wǎng)的快速發(fā)展全面激活了經(jīng)濟增長智能物聯(lián)網(wǎng) 萬物互聯(lián)的今天智能物聯(lián)網(wǎng) 網(wǎng)絡攻擊帶來的威脅也越來越大。根據(jù)CNVD統(tǒng)計,2016年全球IoT設備共出現(xiàn)1117個漏洞,涉及思科、華為、谷歌、西門子等企業(yè),受攻擊設備類型包括網(wǎng)絡攝像頭、路由器、手機、防火墻、網(wǎng)關設備等。咨詢公司Gartner預測網(wǎng)絡安全,到2020年網(wǎng)絡安全,針對企業(yè)的安全性攻擊中網(wǎng)絡安全,25%以上將涉及物聯(lián)網(wǎng)。
物聯(lián)網(wǎng)安全威脅其實就在身邊。在近日于上海舉行的“2017年網(wǎng)絡安全博覽會暨網(wǎng)絡安全成就展”上,來自極棒實驗室(GeekPwn Lab)的安全專家現(xiàn)場展示了多個物聯(lián)網(wǎng)安全威脅案例。比如,智能保險箱與手機APP綁定加密,利用協(xié)議漏洞就可以遠程獲取保險箱密碼的篡改權,重設任一密碼便可開啟保險箱,讓保險箱不再“保險”。
上海社會科學院互聯(lián)網(wǎng)研究中心與極棒實驗室近日聯(lián)合發(fā)布的《智能物聯(lián)網(wǎng)安全風險報告》顯示,智能物聯(lián)網(wǎng)安全風險有其特殊性,這與智能物聯(lián)網(wǎng)本身特點相關,例如,數(shù)量龐大的智能終端碎片化嚴重,帶來了難于管理維護的弱點和風險處理困難;而涉及大量用戶隱私數(shù)據(jù)的特點使得風險造成經(jīng)濟損失外又增加了社會影響,甚至是法律風險等。
極棒實驗室統(tǒng)計數(shù)據(jù)顯示,新型智能安全威脅比重已從2014年的40%上升至如今的58%。而且,智能設備的安全威脅正經(jīng)歷四個轉(zhuǎn)變:攻擊對象向新型智能設備擴展、攻擊主要集中在終端設備、攻擊手段日趨多樣化以及智能設備從攻擊目標轉(zhuǎn)變?yōu)楣艚缑妗?/p>
除了面臨的安全威脅在不斷轉(zhuǎn)變,智能設備還將面臨新的三大威脅:數(shù)據(jù)泄露、大數(shù)據(jù)終端污染和人工智能時代的安全威脅。智能設備一般都具備信息數(shù)據(jù)采集功能,通過終端設備,用戶信息數(shù)據(jù)時刻暴露在物聯(lián)網(wǎng)中。如對終端設備的攻擊更進一步,有針對性地構(gòu)造惡意數(shù)據(jù),并將數(shù)據(jù)上傳至后臺云端,就會造成終端數(shù)據(jù)污染,進而影響數(shù)據(jù)分析和決策判斷,造成更廣泛影響。
極棒創(chuàng)始人王琦表示,智能物聯(lián)網(wǎng)所牽扯到的是生活中方方面面細節(jié)所搭建起的龐大而復雜的網(wǎng)絡,其中面臨的問題就更為復雜。另外,人工智能的發(fā)展帶來了好處,也帶來了威脅。不同于傳統(tǒng)IT的安全攻防技術,AI時代的安全對抗已經(jīng)從單純的信息技術比拼上升為人工智能算法的較量。
多方因素造就風險隱患
在專家看來,智能物聯(lián)網(wǎng)安全風險,由多方面原因造成。一是產(chǎn)業(yè)發(fā)展階段和成本考慮。智能物聯(lián)網(wǎng)發(fā)展至今,最近2、3年才真正進入高速發(fā)展階段,各種智能物聯(lián)網(wǎng)設備層出不窮,設備廠商對產(chǎn)品安全考慮和投入不足。其中,智能物聯(lián)網(wǎng)安全資源和關注度投入不足是導致各類安全事件頻發(fā)的最根本原因。
二是技術結(jié)構(gòu)自身弱點。雖然現(xiàn)在出現(xiàn)了越來越多的針對智能物聯(lián)網(wǎng)環(huán)境的專用芯片、組件、協(xié)議,但是仍存在大量聯(lián)網(wǎng)設備采用傳統(tǒng)IT架構(gòu)作為技術框架,包括底層系統(tǒng)、傳輸鏈路、通訊協(xié)議等。這樣雖然能夠提高產(chǎn)品開發(fā)和上市速度,但同時也將產(chǎn)品推向了傳統(tǒng)IT的潛在攻擊者。
三是設備軟硬件更新滯后。由于智能物聯(lián)網(wǎng)設備數(shù)量眾多、分布廣泛,造成安全性措施的實施速度過慢,即使發(fā)現(xiàn)安全問題,在更新設備軟硬件過程中也會遇到各種障礙。例如,早期智能網(wǎng)絡攝像頭采用簡單的軟硬件結(jié)構(gòu)設計,無法通過在線方式完成升級。雖然越來越多產(chǎn)品更加“智能”,可以定期更新產(chǎn)品固件升級到最新版本,但對比成熟的傳統(tǒng)IT系統(tǒng),更新的速度仍顯滯后,而由于安全問題所造成的損失卻是與時間密切相關。
值得關注的是,目前智能設備廠商安全意識仍普遍不足。智能硬件產(chǎn)品普遍功能相對簡單,一些生產(chǎn)商通常為降低成本、快速推出產(chǎn)品、搶占市場,在產(chǎn)品設計和實現(xiàn)階段忽視了安全問題。有時為了滿足消費群體偏好,甚至為了形態(tài)美觀、輕便簡易而犧牲安全防護。
另一方面,用戶的安全意識、安全投入也有待提升。“國內(nèi)企業(yè)對網(wǎng)絡安全重視程度依然不夠,許多企業(yè)往往把安全投入當作成本來看待”。騰訊副總裁馬斌表示,隨著萬物互聯(lián)時代的到來,網(wǎng)絡安全應該成為企業(yè)防護的第一要素。
多措并舉防范安全風險
加大智能物聯(lián)網(wǎng)安全防護已刻不容緩,同時也需要多方協(xié)力。安全專家指出,首先是要增強產(chǎn)品設計、開發(fā)中的安全考慮。智能物聯(lián)網(wǎng)設備之所以會出現(xiàn)各種安全漏洞為攻擊者所利用,大部分是在產(chǎn)品設計、開發(fā)過程中只關注所要實現(xiàn)的功能特性,而忽略其中的安全因素。根據(jù)傳統(tǒng)IT產(chǎn)品安全所經(jīng)歷過程,如果智能聯(lián)網(wǎng)產(chǎn)品廠商能夠?qū)踩蛩胤旁谥匾匚?,投入必要資源,可以有效降低產(chǎn)品弱點,提升整體安全性。
其次,要建立健全智能終端設備升級機制。目前,在許多智能物聯(lián)網(wǎng)設備中,固件升級機制還沒有完全覆蓋,僅部分品類設備廠商實現(xiàn)了遠程自動更新,多數(shù)設備還需要手動下載固件版本后再更新至產(chǎn)品中,甚至有些產(chǎn)品完全不提供升級功能。對此,專家指出,發(fā)現(xiàn)漏洞或遭到攻擊時,及時發(fā)布補丁、更新固件可以有效降低損害。
智能物聯(lián)網(wǎng)設備廠商在產(chǎn)品設計時應充分考慮后續(xù)產(chǎn)品升級需求和機制,將升級模塊植入產(chǎn)品中,實現(xiàn)快速安全補丁更新。
另外,業(yè)界要逐步統(tǒng)一規(guī)范和標準。當前我國智能物聯(lián)網(wǎng)設備產(chǎn)業(yè)還基本處于一種自發(fā)狀態(tài),部門之間、地區(qū)之間、行業(yè)之間分割情況較為普遍。國家行業(yè)主管部門已意識到標準化對智能聯(lián)網(wǎng)產(chǎn)業(yè)的應用發(fā)展及安全的重要性,正在抓緊研究制定相關規(guī)范。
同時,用戶提升自身安全意識也是重要一環(huán)。在智能安全問題上,很多問題可以通過加強用戶安全意識來避免。養(yǎng)成良好設備安全使用習慣可以在很大程度上增加實施攻擊難度,提高攻擊成本。
除此之外,馬斌認為,防護智能物聯(lián)網(wǎng)安全風險,一要深耕信息安全技術,二要加快網(wǎng)絡安全人才培養(yǎng),三要加大產(chǎn)業(yè)鏈之間開放合作。
未來,智能物聯(lián)網(wǎng)安全有望催生龐大產(chǎn)業(yè)機會。據(jù)咨詢公司Markets and Markets預計,到2020 年,全球物聯(lián)網(wǎng)安全市場將從2015年的68.9億美元增長至289億美元,為傳統(tǒng)IT基礎設施廠商、互聯(lián)網(wǎng)安全公司以及專注于物聯(lián)網(wǎng)安全的新興創(chuàng)業(yè)公司提供新的發(fā)展機遇。