本月初,台积电遭遇前所未有的重创,“WannaCry”毒如其名,着实让人“想哭”。这个从去年就席卷全球的勒索病毒,曾有过威胁三十多万用户的“辉煌战绩”,造成的资金损失更是数以十亿计。
儿童玩具一面供人娱乐,一面还能充当不法者的“眼线”!一款旨在促进儿童与家长之间互动的语音玩具竟也有“天使”和“魔鬼”面,稍不留神,你的信息就可能泄露了。
抢劫犯不在现场也能劫获你的汽车!两名黑客通过虚拟劫车手段成功控制了一辆正奔驰在路上的吉普,他们通过控制车上的设备迅速“占有”了这辆车,在司机失去对车子的控制下完全将车停了下来。
这些案列仅是物联网安全事件中的冰山一角……
物联网产业近年来迎来爆炸式增长,然而安全现状却令人堪忧,变种新病毒层出不穷,可预见的解决方案却迟迟不见,事发之后再弥补成为物联网安全的常态。
百树迎春花枝笑,却忘了,春寒料峭
互联网、特别是移动互联网的连接数十分庞大,但相对于随之而生的物联网而言,其数量也不过是物联网连接数量的九牛一毛。据GSMA预测,到2020年,全球物联网连接数量预计将达251亿!中国移动最新发布的中期财务报告显示,中国移动在物联网业务方面的增长显着,仅上半年物联网智能连接数就达到3.84亿,增速为155%!
诚然,在基数方面,移动互联网连接数具有相当的优势,但其背后是连续几年5%以下的缓慢增速,而物联网产业则处于“萌芽期”,在几年的沉淀之后迎来了爆发式增长,中移动2018全年的物联网连接目标为1.2亿,但仅中期成绩就已经超额完成,增长率更是突破100%,紧接着,中移动也将全年目标上调至2.4亿。
不单是数量上的激增,物联网的覆盖领域也是前所未有的,其范围上至天空宇宙,下到深海五洋,大到工程制造,小到鸡毛蒜皮,都可见其影子。
物联网的应用场景五花八门,如智能家居、智慧交通、智慧物流、智慧医疗、智能制造、智慧建筑等等。物联网的应用前景也极具前瞻性、未来性。试想科幻大片里的场景出现在你的生活中,每天早上醒来,窗帘自动拉开或是落地窗颜色自动调节,朦胧中醒来,带着惺忪睡眼也可以适应清晨的光线,另外,它再问您一句“主人,早上想吃什么?”一切是不是很科幻、很有诱惑力?然而,换个情况再看,当你的窗帘被黑客或者病毒侵入了,你睡着美容的子午觉时,你的窗帘自己拉开了,还对你说“起来嗨呀!”这就不是美妙了,这是灾难,用一句很时髦的话形容就是“车祸现场”。大基数、多领域的物联网设备带来的安全问题也日益棘手。
细缝裂纹不足惧?残垣断壁是将来!
还记得去年登上科技全球十大突破性技术榜单的僵尸物联网吗?是否记得大半个美国的互联网被Mirai病毒支配的恐惧?这个号称“史上最严重DDoS攻击”的影响也远未结束……
为了方便理解,我们用通俗易懂的话来解释这三个“恶名昭着”的名词:
僵尸网络:顾名思义,僵尸是中国古代的一种虚构妖魔,看过林正英先生电影的人大都不会陌生。它或抓或挠或咬通过传染尸毒将人变成僵尸,成尸之后的人会失去自我控制,一些茅山术士就可以轻而易举的控制这群尸体。在此,你可以将自己的计算机和别人的计算机都看做一个单位或者一个个的“人”,而此时,其中一人的终端“不明冤死”或者你自己没有抵住诱惑,探寻“鬼屋”时被“咬伤”,这种形式可以是通过连接他人的“毒电脑”、“毒手机”、“毒移动硬盘”等,亦或是你被网络上的“美女图片”、“趣味小游戏”等吸引。不出意外,你会发现你的终端“魔怔”了!它不再“听话”,不再按部就班的等你操作,那么恭喜你,你的终端变“僵尸”了。而且它还可以像僵尸一样一传十,十传百,最终织成一张巨大的网络,这便是僵尸网络。不仅终端会任人摆布,严重的还可以丢失重要信息造成不可预计的损失。
DDoS攻击:学名为分布式拒绝服务攻击,在此我们称它为“捣蛋鬼军团”。这帮“家伙”可是串通一气的,它们总是让正常的服务没法展开。它们一旦进入一个终端,便会疯狂的禁止系统的备份和还原机制,删除一些文件并阻止其恢复,或者是写入一些无意义的数据。就像是商家卖东西碰上一群假意强买的主儿,他们人多势众赶也赶不走,产品介绍了半天,他们突然打断你说话,告诉你“我们是对面派来整你的”,最后还提供一些假信息,让你也没办法给其他人提供服务。
Mirai病毒:它主要是通过扫描网络摄像头和DVR录像机,然后操纵这些“肉鸡”来发起攻击。根据多家网络安全公司调查,近乎一半,甚至以上的物联网设备公司在实现联网后并没有修改设备的初始密码。这也为以互联网搜索物联网设备,并对使用默认密码或安全度弱的设备进行操控提供了便利。再说Mirai病毒,在此可认作“尸毒”,“肉鸡”是对被操控设备的行话表达,它包含几乎一切与智能相关的设备,如摄像头、智能路灯、智能汽车等。这些可能成为“肉鸡”的设备基数也在一定程度决定“尸毒”传播广度以及最终“僵尸物联网”的范围。
Mirai病毒一声雷,响声大但也去得快,但“恶贯满盈”的Mirai病毒只是众多病毒中的一例,其影响也远未结束。在其公布源代码之后,原本给物联网安全敲响的警钟却哑声了,其后出现了越来越多的变种病毒,其传播力和强度更甚。这些还没有完全暴露在阳光下的病毒就如一面墙上的裂缝,防患于未然,则安。放任滋生,则败。
现有情怀一片,只待众人来睬
在IBM发布的首份物联网研究报告——《设备民主:探索物联网的未来》中提到,物联网面临前所未有的五大方面挑战,安全问题赫然在列。物联网发展初期,市场快速增长,业务不断扩大的同时,安全问题也暴露出来。
而现实问题是,互联网发展至今,形成了众多深耕网络安全的公司,像国外的IBM、微软、亚马逊、思科、雷神,国内的安天、奇虎360、安恒信息等。但专注于物联网安全方面的公司并非遍地开花,也没有形成大规模的市场或是标准组织。
再者,物联网的安全防护在感知层、网络层和应用层的防护各具特点,从而也在无形中使物联网安全变得更为复杂。众多设备制造商采用的软、硬件标准具有差异化、多样化的特点,众企业也是各显神通,以己之长,固其根本。通讯协议层的安全防护同样不可忽视,互联网拥有一套基于IP的成熟的网络安全体系,TCP/IP、HTTP(物联网也会用到)、FTP、SMTP。基于低功耗、广覆盖、低成本、多连接的物联网,其传输数据多采用WI-FI、蓝牙、ZigBee、NB-IoT等,而使用大量非IP的通讯协议造成的困境也变成了横在物联网安全问题前的一座大山。另外各家企业的解决方案各有千秋,在多重因素影响下,即便在物联网应用的各环节都采取了安全策略,但因其各不相同、难以协调,其整体安全还是要受到“木桶效应”的影响,如何拔高短板也是各界值得深思的问题。
同时,物联网安全又不仅仅是一方面的责任,应该在应用层、供应层、技术开发层、管理层等各方面协同作战。
第一:在应用层方面,消费者应提高警惕,对于来路不明的连接、具有诱惑力的内容等要心怀戒备。同时,对于智能设备也绝不可掉以轻心,一不小心自己的秘密可能就被其窥探到了。
第二:供应层方面,从企业和产品的角度来讲,如何集合上下游物联网安全产品,打造产品安全链也是十分重要的一项课题。
第三:在技术开发层方面,需要大量的高端技术人才,结合民间力量打造一个从专业到民间的网络信息安全生态圈。
第四:管理层面,需要政府出台相关的政策法规,与物联网的安全机制相结合,把强制性带入到物联网安全领域,建立有效的管控体系。
不管哪个领域内,安全一直以来皆为重中之重的核心话题。如何打造一个成熟的物联网生态,亟待解决的必然是安全问题,当然安全问题是层出不穷,想要在这个问题上达到穷尽也许在理想状态下才可以,但预防问题出现却是可以实现的,亡羊补牢,丢一只补可以,丢两只补也可以,但科技问题是不可估量的,丢一只,其后果将不可想象!
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。