隨著萬物互聯時代的到來,智慧物聯網在給人們生活、工作帶來便利的同時,也帶來了一些前所未有的安全風險。近年來頻頻出現的一些物聯網安全事件,已經給業界敲響了警鐘。專家認為,物聯網安全威脅正日益凸顯,給傳統網路安全防護帶來新的挑戰,需要採取更多應對措施,以防患于未然。
智慧設備將面臨三大威脅
智慧物聯網的快速發展全面激活了經濟增長,萬物互聯的今天,網路攻擊帶來的威脅也越來越大。根據CNVD統計,2016年全球IoT設備共出現1117個漏洞,涉及思科、華為、谷歌、西門子等企業,受攻擊設備類型包括網路攝像頭、路由器、手機、防火牆、網關設備等。諮詢公司Gartner預測,到2020年,針對企業的安全性攻擊中,25%以上將涉及物聯網。
物聯網安全威脅其實就在身邊。在近日于上海舉行的“2017年網路安全博覽會暨網路安全成就展”上,來自極棒實驗室(GeekPwn Lab)的安全專家現場展示了多個物聯網安全威脅案例。比如,智慧保險箱與手機APP綁定加密,利用協議漏洞就可以遠端獲取保險箱密碼的篡改權,重設任一密碼便可開啟保險箱,讓保險箱不再“保險”。
上海社會科學院網際網路研究中心與極棒實驗室近日聯合發佈的《智慧物聯網安全風險報告》顯示,智慧物聯網安全風險有其特殊性,這與智慧物聯網本身特點相關,例如,數量龐大的智慧終端碎片化嚴重,帶來了難於管理維護的弱點和風險處理困難;而涉及大量用戶隱私數據的特點使得風險造成經濟損失外又增加了社會影響,甚至是法律風險等。
極棒實驗室統計數據顯示,新型智慧安全威脅比重已從2014年的40%上升至如今的58%。而且,智慧設備的安全威脅正經歷四個轉變:攻擊對象向新型智慧設備擴展、攻擊主要集中在終端設備、攻擊手段日趨多樣化以及智慧設備從攻擊目標轉變為攻擊界面。
除了面臨的安全威脅在不斷轉變,智慧設備還將面臨新的三大威脅:數據洩露、大數據終端污染和人工智慧時代的安全威脅。智慧設備一般都具備資訊數據採集功能,通過終端設備,用戶資訊數據時刻暴露在物聯網中。如對終端設備的攻擊更進一步,有針對性地構造惡意數據,並將數據上傳至後臺雲端,就會造成終端數據污染,進而影響數據分析和決策判斷,造成更廣泛影響。
極棒創始人王琦表示,智慧物聯網所牽扯到的是生活中方方面面細節所搭建起的龐大而複雜的網路,其中面臨的問題就更為複雜。另外,人工智慧的發展帶來了好處,也帶來了威脅。不同於傳統IT的安全攻防技術,AI時代的安全對抗已經從單純的資訊技術比拼上升為人工智慧演算法的較量。
多方因素造就風險隱患
在專家看來,智慧物聯網安全風險,由多方面原因造成。一是産業發展階段和成本考慮。智慧物聯網發展至今,最近2、3年才真正進入高速發展階段,各種智慧物聯網設備層出不窮,設備廠商對産品安全考慮和投入不足。其中,智慧物聯網安全資源和關注度投入不足是導致各類安全事件頻發的最根本原因。
二是技術結構自身弱點。雖然現在出現了越來越多的針對智慧物聯網環境的專用晶片、組件、協議,但是仍存在大量聯網設備採用傳統IT架構作為技術框架,包括底層系統、傳輸鏈路、通訊協議等。這樣雖然能夠提高産品開發和上市速度,但同時也將産品推向了傳統IT的潛在攻擊者。
三是設備軟硬體更新滯後。由於智慧物聯網設備數量眾多、分佈廣泛,造成安全性措施的實施速度過慢,即使發現安全問題,在更新設備軟硬體過程中也會遇到各種障礙。例如,早期智慧網路攝像頭采用簡單的軟硬體結構設計,無法通過線上方式完成升級。雖然越來越多産品更加“智慧”,可以定期更新産品固件升級到最新版本,但對比成熟的傳統IT系統,更新的速度仍顯滯後,而由於安全問題所造成的損失卻是與時間密切相關。
值得關注的是,目前智慧設備廠商安全意識仍普遍不足。智慧硬體産品普遍功能相對簡單,一些生産商通常為降低成本、快速推出産品、搶佔市場,在産品設計和實現階段忽視了安全問題。有時為了滿足消費群體偏好,甚至為了形態美觀、輕便簡易而犧牲安全防護。
另一方面,用戶的安全意識、安全投入也有待提升。“國內企業對網路安全重視程度依然不夠,許多企業往往把安全投入當作成本來看待”。騰訊副總裁馬斌表示,隨著萬物互聯時代的到來,網路安全應該成為企業防護的第一要素。
多措並舉防範安全風險
加大智慧物聯網安全防護已刻不容緩,同時也需要多方協力。安全專家指出,首先是要增強産品設計、開發中的安全考慮。智慧物聯網設備之所以會出現各種安全漏洞為攻擊者所利用,大部分是在産品設計、開發過程中只關注所要實現的功能特性,而忽略其中的安全因素。根據傳統IT産品安全所經歷過程,如果智慧聯網産品廠商能夠將安全因素放在重要地位,投入必要資源,可以有效降低産品弱點,提升整體安全性。
其次,要建立健全智慧終端設備升級機制。目前,在許多智慧物聯網設備中,固件升級機制還沒有完全覆蓋,僅部分品類設備廠商實現了遠端自動更新,多數設備還需要手動下載固件版本後再更新至産品中,甚至有些産品完全不提供升級功能。對此,專家指出,發現漏洞或遭到攻擊時,及時發佈補丁、更新固件可以有效降低損害。
智慧物聯網設備廠商在産品設計時應充分考慮後續産品升級需求和機制,將升級模組植入産品中,實現快速安全補丁更新。
另外,業界要逐步統一規範和標準。當前我國智慧物聯網設備産業還基本處於一種自發狀態,部門之間、地區之間、行業之間分割情況較為普遍。國家行業主管部門已意識到標準化對智慧聯網産業的應用發展及安全的重要性,正在抓緊研究制定相關規範。
同時,用戶提升自身安全意識也是重要一環。在智慧安全問題上,很多問題可以通過加強用戶安全意識來避免。養成良好設備安全使用習慣可以在很大程度上增加實施攻擊難度,提高攻擊成本。
除此之外,馬斌認為,防護智慧物聯網安全風險,一要深耕資訊安全技術,二要加快網路安全人才培養,三要加大産業鏈之間開放合作。
未來,智慧物聯網安全有望催生龐大産業機會。據諮詢公司Markets and Markets預計,到2020 年,全球物聯網安全市場將從2015年的68.9億美元增長至289億美元,為傳統IT基礎設施廠商、網際網路安全公司以及專注于物聯網安全的新興創業公司提供新的發展機遇。
(責任編輯:張潔欣)