首页 > 信息安全 > 正文

3个层次8个技术回击安全威胁 爆红物联网烧热安全需求

2018-09-17 14:11:24  来源:51CTO

摘要:2018年全球物联网支出金额预估至7,725亿美元,至2020年物联网支出金额将突破1兆美元,届时物联网发展将更成熟,而物联网安全问题也将更上层楼,预计未来的网络战争将成为“分析自动化”的攻防战场。
关键词: 物联网 信息安全
  2018年全球物联网支出金额预估至7,725亿美元,至2020年物联网支出金额将突破1兆美元,届时物联网发展将更成熟,而物联网安全问题也将更上层楼,预计未来的网络战争将成为“分析自动化”的攻防战场。

\
  物联网概念的起源,最早由比尔盖兹在1995年《未来之路》书中提到对于未来智能家居的愿景,描述家电透过网络链接,提供既人性又智能的服务。1998年,美国麻省理工学院提出物联网(Internet of Things, IoT),物联网一词开始广为人知。

  过去无线网络未普及而且硬件与感测技术昂贵,所以物联网的发展受到限制,近年来随着移动网络的成熟与智能联网装置的普及,促使物联网应用发展快速,为提供更美好的生活、便捷的环境,无论是日常物品或工作环境中的装置、设备都将走向数字化及联网化,进而可以产生更好的使用体验或效率。

  不仅个别的物品或装置本身,透过平台让这些物品或装置知晓彼此存在,并且相互沟通,应用的范围从手表、电视、冰箱、汽车,到整个工厂的作业设备、甚至是整个国家建设,点燃了万物联网的新时代。

  根据IDC最新的全球物联网地区调查,2018年全球物联网支出金额预估至7,725亿美元,逼近8,000亿美元,年增14.6%。预期2020年将突破1兆美元,2017~2021年年复合成长率(CAGR)为14.4%。从地区分析,亚太地区年复合成长率最高,达42.5%,预计2018年亚太地区(APeJ)物联网支出将达到2,917亿美元,相较于2017年的2,601亿美元,年成长率达12.1%。亚太地区的物联网需求远高于其他地区,主要原因在于日本、韩国、新加坡与中国等亚太国家将物联网视作国家级基础建设,积极投入庞大资金与资源实践智慧城市有关(图1)。

\
图1 亚洲地区物联网市场呈现蓬勃发展数据源:IDC(2018)

  制造业/运输业出击  2018年亚太区数字化转型

  IDC最新的全球物联网应用调查,最大的IoT应用都是制造业与运输业,所获的投资分别为1,830亿和850亿美元。基于亚太地区制造业者看好物联网所创造参数优化、在线实时检测与产能仿真等附加价值,积极朝工业4.0迈进,因而制造业为2018年物联网支出最高之产业,占总体支出17.7%,货运监控占总体支出8.0%,制造业与货运监控为2018年物联网支出最高的两大产业。

\
图2 消费品、建筑和医疗保健产业为下一阶段物联网发展产业数据源:IDC(2018)

  全球物联网应用为公用事业,预计获得的投资为660亿美元。消费者物联网支出金额将达620亿美元,位居第四大产业类别,主要应用包括智能家居、智能安防以及智能家电。

  预估到2022年,推动物联网支出的前五大产业将是消费、离散制造、流程制造、运输和公用事业,占亚太地区总支出的60%,上述五个产业之所以愿意投资资金与资源在巨量数据分析与商业分析,主要是认知到数据力等于竞争力。消费产业唯有掌握搜集、分析、萃取庞杂数据数据的能力,方能在对的时间点、在对的通路推播对的产品服务给对的顾客。

  而随着边缘计算和人工智能技术日趋成熟,IDC预估消费品、建筑和医疗保健将为下一阶段物联网快速发展之三大产业,未来5年可望成为物联网支出金额年成长最高的产业。随着数据的增加以及物联网设备的普及,物联网中最关键技术之一的认知系统(Cognitive Systems)将帮助企业对数据进行进一步的译码解读,并从数据中获取更多的价值。

  由于消费品、建筑和医疗保健产业是推动下一阶段物联网快速发展因素,对于个人资料的保护需求将更显重要,物联网所涵盖的科技就包含网络、应用程序、移动化、云端、大数据及人工智能(AI),而威胁与黑客攻击事件不再是偶发,已为日常共存的危机,所以物联网安全需求性也因此大增。

  物联网安全层次化管理

  物联网层次结构分明,因此物联网安全也要层次化的管理。所有的安全操作根据功能分层,分为安全环境、安全连接和安全应用。物联网安全的层次模型是建立在物联网层次模型的基础上。物联网分为感知层、网络层和应用层。物联网的安全问题对应其应用层的系统安全与讯息安全问题、网络层的数据传输加密问题、终端感知本身的安全及终端应用层的安全问题(图3)。

\
图3 物联网安全层次简化模型

  数据源:IDC(2018) 感知层是由端点设备所组成,也因此其安全在于讯息的收集安全与端点的安全。感知层对安全的需求是终端本身的安全标准,从芯片设计、电路设计等硬件到系统及软件都符合安全规范。网络层即连接感知层和应用层的网络,在物联网中,代表终端与应用层之间讯息(数据)传送,也因此网络层的安全需求相当重要。应用层是具体的应用,安全包含用户认证、数据储存安全及权限管理等。

  八大物联网安全关键技术

  由于物联网安全的挑战不断加大,下面列举了八项提升物联网安全性的关键技术。

  1. 网络安全

  包括无线网络与有线网络。然而新无线通信技术如射频(RF)和无线通信协议和标准的出现,使得物联网设备面临比传统有线网络更具挑战性的安全问题。

  2. 身份授权

  物联网设备必须由合法用户进行身份验证。认证的方式包含双因子认证、生物辨识等。设备需要验证其他的设备,加深安全的防护工作。

  3. 加密

  加密主要用于防止对数据和设备的未经授权访问。由于设备的样式无法统一,也因此加密的安全管理也困难。

  4. SCA(Side Channel Attack)

  即使有足够的加密和认证,物联网设备也还可能面临SCA。这种攻击的重点不在于讯息的传输,而在于讯息的呈现方式。

  5. 安全分析和威胁预测

  除了监控与安全有关的数据,还必须预测未来的威胁。

  6. API保护

  大多数硬件和软件透过API访问设备,这些API须有对设备进行验证和授权的能力。

  7. 交付机制

  需要对设备持续更新,以面对不断变化的网络攻击。

  8. 系统开发

  物联网安全需要在网络设计中采用端点到端点的方式。

  2016年Mirai殭尸病毒是利用物联网这项科技存在的漏洞威胁因应运而生,主要的攻击流量来自闭路电视(CCTV)、数字影像监控系统(DVR)等监视器,该攻击来自于全球的9,793个IP地址,主要集中在10个国家,其中有18.4%位于美国,11.3%位于以色列,并有10.8%来自台湾地区。值得注意的是,此次事件显示针对应用层的DDoS攻击已渐成风潮,以往锁定应用层的攻击有9成以上不会超过6小时,而这次的攻击移动却持续了54小时,攻击的变化防不胜防。

  企业对于IT系统依赖日深,包含企业透过网络提供24小时不间断的服务、逐渐将工作负载移到云端、周遭的环境有更多的病毒穿透、企业内部对于安全意识不清以及本身安全人力不足等问题,所面临的安全风险也日趋复杂。

  IT系统依赖日深 企业须重视安全风险

  企业应因应安全事件提高处理的速度,透过打造有能力在第一线即刻处理因应安全事件的安全团队,解决安全问题,降低安全事件对于企业所带来的风险(图4)。

\
图4 当前安全问题数据源:IDC(2018)

  所以企业端的安全防御,必须有阶段性分法,从前端就必须使用Security Gateway防火墙或是Endpoint防护,但若攻击者以特征码侦测而进阶得攻击,就必须使用下阶段UBA(User Behavior Analytics)或是SIEM做防御,另外对于用户与实体(Entity)设备之间行为分析,就必须再进阶以机械学习(Machine Learning)做防御动作(图5)。

\
图5 安全问题朝向次时代解决方案数据源:IDC(2018)

  另外,一个物联网安全陷入重大危机的因素,则是近几年来的安全攻击。近期已经从一开始好奇心的测试攻击转变成为破坏式的攻击,Malware as a Service攻击手段都是破坏为出发点,并且越来越具有针对性。2017年我们市场面对层出不穷且针对性的网络攻击事件,可预见未来几年的网络战争更为复杂,且自动化的攻击模式使得企业徒增更多成本。

  安全问题朝向次时代解决方案

  IDC预测2018年网络威胁将进入“自动化攻击(Fool Automated Attacks)”,许多主动且自动化的攻击将不断发生;预计未来的网络战争将成为“分析自动化”的攻防战场。未来安全产品方面将更积极整合大数据分析(Analytic)、用户行为分析(User Behavior Analysis)、欺瞒技术(Deception)和隔离方法(Isolation)于内提高防御阵线;企业安全采购方面,也会与以往单一产品的购买行为有所不同,思维模式会朝向整合度高且具有机械学习和认知(Cognitive)技术的安全平台,以期协助企业降低复杂性和成本;借助可视化报表提高对企业网络的监控与管理,并且将平台上的威胁数据筛滤增加其”质”量。

  IDC预测我们的大型企业包含银行业、电信业、寿险业及高科技业对具有机械学习/认知技术的安全产品将具高度兴趣,预计2018年43%的大型企业将率先采用以学习与预测为核心的安全服务与产品。

  回顾我们在物联网的硬件具有优势,但在软件的整合服务上则明显不足,随着物联网设备大量应用,新的威胁将使安全成为物联网发展的重要关键,科技的安全问题存在于计算机互联网,同样也存在于物联网,从国家政府到民间企业与个人,都应该具备安全意识。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhangxuefeng

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。