我們有沒有想過,當我們享受著物聯網給生活帶來的便利時,看不見的安全威脅可能已經發生。
近年來,物聯網技術不斷發展與創新,深刻改變著傳統産業形態和人們生活方式,隨著數以億計的設備接入物聯網提供創新、互聯的新服務,整個生態系統中的詐騙和攻擊行為隨之增加,對用戶隱私、基礎網路環境的安全衝擊尤為突出。
就在物聯網已經逐步成為網路安全“重災區”的背後,是物聯網硬體設備廠商安全意識淡薄,安全投入不足的現狀。在日前召開的“2018 isc網際網路安全大會”上,不少專家認為,物聯網設備基數龐大,加上安全防護脆弱,可以預見的是,物聯網威脅將逐漸成為網際網路的常態。
消費物聯網隱私洩露頻發
消費物聯網是以消費為主線,利用物聯網智慧設備極大改善或影響人們的消費習慣為目的生産打造的智慧設備網路。智慧家居(包括智慧家庭、家電等)是消費物聯網最主要的消費級産品。同時,智慧穿戴設備如手環、眼鏡、便攜醫療設備也是消費物聯網的主要應用。
《經濟參考報》記者了解到,消費物聯網場景最貼近數量眾多的終端銷售者,因此也得到黑色産業鏈更多的關注。最近針對消費物聯網的安全威脅事件日益增多,如英國某醫療公司推出的攜帶型胰島素泵就被駭客遠端控制,駭客完全可以控制注射計量,而這直接影響使用者的生命安全。2017年,日本國內出現多起針對智慧電視的勒索病毒事件。我國國內也出現了多起家用攝像頭被駭客控制利用非法獲取敏感視頻對用戶進行敲詐的情況。2017年8月,浙江某地警方破獲一個犯罪團夥,在網上製作和傳播家庭攝像頭破解入侵軟體。查獲被破解入侵家庭攝像頭IP近萬個,涉及浙江、雲南、江西等多個省份。
對很多老百姓而言,安全威脅可能就潛伏在身邊。一旦攻擊者獲得遠端控制許可權,即便是小小的攝像頭也能夠成為洩露用戶隱私的元兇。最新的Gartner調查數據發現,近20%的組織在過去三年內遭受到至少一次基於物聯網的攻擊。為了防範這些威脅,Gartner預測全球物聯網安全支出將在2018年達到15億美元,比2017年的12億美元增長28%,預計2021年物聯網安全支出將達到31億美元 。
“作為一種新技術,物聯網的行業標準以及相關管理剛剛起步,但物聯網基數大、擴散快、技術門檻低,已經成為網際網路上不得不重視的安全問題。”360企業安全集團總裁吳雲坤在接受《經濟參考報》記者採訪時説。他表示,目前針對消費物聯網的主要威脅有如下幾點。第一,利用漏洞或者自動安裝軟體等隱秘行為竊取用戶文件、視頻等隱私;第二,傳播僵屍程式把智慧設備變成被劫持利用的工具;第三,駭客可以通過控制設備,反向攻擊企業內部或其運作的雲平臺,進行數據竊取或破壞。
設備廠商安全意識淡薄
據GSMA公佈的數據,預測在2025年全球物聯網設備(包括蜂窩及非蜂窩)聯網數量將達到252億,遠高於2017年的63億。在預測期內,市場規模將幾乎是原來的四倍。工業物聯網設備聯網數量將在2023年超過消費物聯網設備聯網數量,在2016年至2025年之間工業物聯網連接量將從24億增加到138億。
就在物聯網加速融入人們的生産生活同時,當前不少物聯網設備生産廠商側重追求新功能,對安全重視嚴重不足。吳雲坤指出,一方面,很多設備和硬體製造商缺乏安全意識和人才。另一方面,物聯網設備數量非常龐大,價格低廉是一大特點,很多廠商需要拼命壓縮成本,安全方面的投入自然會嚴重不足,無論是升級、配置還是補丁維護等,物聯網行業都非常薄弱。
一位業內人士表示,面對層出不窮的網路攻擊,對設備廠商提出了新的要求,不僅僅需要保證製造的冰箱、攝像頭、路由器這些産品的使用性,同時還必須要保證安全性。值得注意的是,物聯網應用還較新,在監管機構出臺相關法律法規前,廠商缺少動力將安全置於整個産業鏈中。
“從當下的市場環境看,廠商強調智慧化的功能設計,求新求快是物聯網行業中的主流,安全反倒是可有可無的選項,這讓物聯網環境更加具有脆弱性。”吳雲坤説。
物聯網安全標準亟待設立
在日前召開的“2018 isc網際網路安全大會”上,不少專家認為,物聯網設備基數龐大,加上安全防護脆弱,可以預見的是,物聯網威脅將逐漸成為網際網路的常態。
360企業安全集團董事長齊向東在接受《經濟參考報》記者採訪時表示,在目前網際網路高速發展的時期,任何一點安全風險都可能被放大,造成個人資訊洩露、財産損失甚至人身安全等問題,給人們生活和社會運作帶來影響,而物聯網的安全威脅遠未見頂,隨著物聯網在社會生活中的普及,應用場景不斷豐富,安全風險也將隨之增加。
“關口前移是非常重要的,如果僅僅等到資訊洩露後再補救,物聯網面臨的網路威脅問題將無法真正解決。”吳雲坤説。他表示,首先物聯網設備提供商要保障終端安全,引入安全開發流程提升終端安全性,並在産品上市前進行安全評估,其次物聯網平臺提供商應重點關注平臺安全和設備、移動端與自身的連接是否安全,要從各個維度和環節進行把控,保障數據存儲的安全性。
業內專家建議,首先,應加強安全技術標準建設及合規性檢測,對因為設備自身漏洞引起的重大洩露事件,要對涉事企業進行鉅額罰款等。其次,構建物聯網全生命週期立體防禦體系。再次,要推進攻防結合促進物聯網安全技術發展,團結行業力量打造物聯網安全生態。