1月(yuè)18日消息，據《連線》雜(zá)志報道，物(wù)聯網即将到來(lái)，但許多(duō)IT高(gāo)管都在擔心隐藏其中的(de)網絡安全問題。或者更準确地說，他(tā)們已經選擇聽(tīng)天由命。5月(yuè)份對(duì)553名IT決策者的(de)研究中，78%的(de)人(rén)表示，他(tā)們認爲自己所在公司很可(kě)能會遭受物(wù)聯網設備數據丢失或盜竊事故。約72%的(de)人(rén)表示，物(wù)聯網的(de)發展速度使其難以跟上不斷變化(huà)的(de)安全要求。
      這(zhè)種擔憂源于現實。去年10月(yuè)份，黑(hēi)客利用(yòng)物(wù)聯網設備的(de)大(dà)約10萬個(gè)“惡意端點”，攻擊了(le)控制大(dà)部分(fēn)互聯網域名系統基礎設施的(de)公司。最近，惡意軟件WannaCry攻擊使許多(duō)銀行的(de)ATM網絡癱瘓。對(duì)于物(wù)聯網反對(duì)者來(lái)說，這(zhè)些攻擊證實了(le)他(tā)們的(de)恐懼，即黑(hēi)客可(kě)以通(tōng)過劫持我們的(de)物(wù)聯網設備來(lái)制造混亂。
      與此同時(shí)，物(wù)聯網産業繼續穩步增長(cháng)。市場(chǎng)研究公司Gartner預測，到2020年，将有大(dà)約210億部物(wù)聯網設備存在，而2015年時(shí)僅爲50億部。其中大(dà)約80億部将是工業産品，而不是消費類設備。這(zhè)兩類設備都爲黑(hēi)客提供了(le)誘人(rén)的(de)攻擊目标。
      DXC的(de)首席技術官和(hé)網絡安全副總裁克裏斯・莫耶爾（Chris Moyer）說:“這(zhè)個(gè)行業沒有放棄物(wù)聯網的(de)原因是它的(de)價值非常高(gāo)，但其風險也(yě)同樣高(gāo)，這(zhè)就是平衡的(de)所在。”不管行業的(de)胃口如何，在行業解決安全問題之前，物(wù)聯網的(de)規模不大(dà)可(kě)能擴大(dà)。這(zhè)将需要供應商之間的(de)合作，政府的(de)幹預和(hé)标準化(huà)。在2017年，這(zhè)些事情似乎都沒有解決的(de)眉目。
      物(wù)聯網有什(shén)麽安全問題？
      現在的(de)共識是，物(wù)聯網仍未得(de)到充分(fēn)保護，并可(kě)能帶來(lái)災難性的(de)安全風險，因爲企業相信物(wù)聯網設備可(kě)用(yòng)于業務、運營和(hé)安全決策。現有的(de)标準并不到位，供應商始終在努力将恰當的(de)智能和(hé)管理(lǐ)水(shuǐ)平嵌入産品中。随著(zhe)攻擊者之間的(de)協作日益緊密，需要在多(duō)個(gè)維度上解決這(zhè)些挑戰。下(xià)面就是物(wù)聯網設備所需要面對(duì)的(de)安全挑戰：
      1）與個(gè)人(rén)電腦(nǎo)或智能手機不同，物(wù)聯網設備通(tōng)常缺乏處理(lǐ)能力和(hé)内存。這(zhè)意味著(zhe)，它們缺乏強有力的(de)安全解決方案和(hé)加密協議(yì)，而這(zhè)些往往可(kě)以保護它們免受攻擊威脅。
      2）因爲這(zhè)些設備連接到互聯網，它們每天都會遇到威脅。而物(wù)聯網設備的(de)搜索引擎也(yě)爲黑(hēi)客提供了(le)進入網絡攝像頭、路由器和(hé)安全系統的(de)機會。
      3）在許多(duō)聯網設備的(de)設計或開發階段，安全性從未被考慮過。
      4）不隻是物(wù)聯網設備本身缺乏安全能力，許多(duō)連接它們的(de)網絡和(hé)協議(yì)也(yě)沒有強大(dà)的(de)端到端加密機制。
      5）許多(duō)物(wù)聯網設備需要人(rén)工幹預才能升級，而其他(tā)設備根本無法升級。莫耶爾說:“這(zhè)些設備中有些是非常迅速地建立起來(lái)的(de)，它們的(de)設計思維還(hái)局限于首次叠代之中，而且有些甚至是不可(kě)升級的(de)。”
      6）物(wù)聯網設備是個(gè)“薄弱環節”，允許黑(hēi)客滲透到IT系統中。如果設備連接到整個(gè)網絡，這(zhè)一點尤其令人(rén)擔憂。
      7）許多(duō)物(wù)聯網設備都有默認密碼，黑(hēi)客可(kě)以在網上查到。鑒于這(zhè)個(gè)事實，Mirai分(fēn)布式拒絕服務攻擊是可(kě)能的(de)。
      8）這(zhè)些設備可(kě)能留有“後門”，同樣爲黑(hēi)客提供機會。
      9）物(wù)聯網設備的(de)安全成本可(kě)能會抵消其财務價值。物(wù)聯網安全專家博・伍茲(Beau Woods)表示:“當你有個(gè)2美(měi)分(fēn)的(de)組件，而你需要在它身上花費1美(měi)元維護安全時(shí)，你就破壞了(le)商業模式。”
      10）這(zhè)些設備也(yě)會産生大(dà)量的(de)數據。DXC的(de)技術項目主管基裏安・麥考利（Kieran McCorry）說:“你不僅僅需要應對(duì)210億部互聯網設備，還(hái)要應對(duì)由它們生成的(de)龐大(dà)數據。這(zhè)些數據幾乎是數量級的(de)，而且遠(yuǎn)遠(yuǎn)超過了(le)這(zhè)些設備所産生的(de)數量。這(zhè)是一個(gè)巨大(dà)的(de)數據處理(lǐ)問題。”
      考慮到這(zhè)些缺陷，企業可(kě)以通(tōng)過遵守物(wù)聯網安全最佳實踐，這(zhè)在某種程度上可(kě)以保護它們。但是，如果合規不是100%(這(zhè)是不可(kě)能的(de))，那麽就不可(kě)避免地會發生攻擊，導緻行業對(duì)物(wù)聯網失去信心。這(zhè)就是安全标準勢在必行的(de)原因。
      誰來(lái)制定安全标準？
      各種政府機構已經對(duì)許多(duō)物(wù)聯網設備進行了(le)監管。舉例來(lái)說，美(měi)國聯邦航空管理(lǐ)局(FAA)監管無人(rén)機，美(měi)國國家公路交通(tōng)安全管理(lǐ)局(NHTSA)監管無人(rén)駕駛車輛。美(měi)國國土安全部正積極參與基于物(wù)聯網的(de)智能城(chéng)市計劃，而FDA也(yě)在對(duì)物(wù)聯網醫療設備進行監督。
      但在目前，還(hái)沒有任何政府機構負責監管智能工廠或智能家居領域使用(yòng)的(de)物(wù)聯網設備。2015年，聯邦貿易委員(yuán)會（FTC）發布了(le)一份關于物(wù)聯網的(de)報告，其中包括關于最佳實踐的(de)建議(yì)。在2017年初，FTC還(hái)向公衆發布挑戰賽，即創建“修複物(wù)聯網設備中過時(shí)軟件引發的(de)安全漏洞的(de)工具”，并爲獲勝者提供2.5萬美(měi)元的(de)獎金。
      莫耶爾表示，雖然政府将對(duì)物(wù)聯網的(de)某些方面進行監管，但他(tā)認爲隻有行業才能創造出自己的(de)标準。他(tā)設想了(le)制定這(zhè)種标準的(de)兩種途徑：第一，買家推出标準，并拒絕購(gòu)買不支持這(zhè)個(gè)标準的(de)産品；第二，一兩個(gè)主要參與者利用(yòng)其市場(chǎng)主導地位設定一個(gè)事實上的(de)标準。莫耶爾說：“我不認爲後一種情況會發生，目前還(hái)沒有這(zhè)樣的(de)主導參與者存在。”
      這(zhè)個(gè)行業現在有好幾個(gè)标準，而不是一個(gè)或兩個(gè)标準，而且似乎沒有哪個(gè)标準正逐漸取得(de)主導地位。這(zhè)些标準包括基于供應商的(de)标準，以及物(wù)聯網安全基金會、IEEE、可(kě)Trusted Computing Group、物(wù)聯網世界聯盟以及工業互聯網協會安全工作組提出的(de)标準。所有這(zhè)些機構都在研究打造安全物(wù)聯網環境的(de)标準、協議(yì)和(hé)最佳實踐。
      莫耶爾說，最終改變市場(chǎng)的(de)将是買家，他(tā)們将開始要求标準。他(tā)解釋稱：“标準的(de)制定有很多(duō)原因，有些是監管所需，但很多(duō)是因爲買家認爲這(zhè)對(duì)他(tā)們很重要。”
      由于缺乏标準，伍茲看到了(le)幾條改善物(wù)聯網安全的(de)途徑：一個(gè)是商業模式的(de)透明(míng)度。伍茲說:“如果你購(gòu)買了(le)1000輛汽車，你就可(kě)以進行‘空中更新’，而其他(tā)汽車則需要手動更新，那可(kě)能需要7個(gè)月(yuè)的(de)時(shí)間。這(zhè)是不同的(de)風險計算(suàn)。”
      另一種解決方案是要求制造商爲他(tā)們的(de)設備承擔責任。伍茲表示，目前硬件設備的(de)情況是這(zhè)樣的(de)，但不清楚誰會爲軟件故障承擔責任。
      AI充當救星？
      在這(zhè)種情況下(xià)，一個(gè)未知因素是人(rén)工智能（AI）。支持者認爲，機器學習(xí)可(kě)以發現一般的(de)使用(yòng)模式，并在出現異常時(shí)提醒系統。例如，Bitdefender查看來(lái)自所有端點的(de)雲服務器數據，并使用(yòng)機器學習(xí)來(lái)識别異常或惡意行爲。就像信用(yòng)卡系統可(kě)能會将在國外炫耀1000美(měi)元的(de)行爲标注爲可(kě)疑那樣，機器學習(xí)系統可(kě)能會通(tōng)過傳感器或智能設備識别不同尋常的(de)行爲。由于物(wù)聯網設備在功能上是有限的(de)，所以發現這(zhè)些異常是相對(duì)容易的(de)。由于使用(yòng)機器學習(xí)的(de)安全性仍然是新的(de)，這(zhè)種方法的(de)擁護者提倡使用(yòng)包括人(rén)工幹預的(de)安全系統。
      真正的(de)解決辦法：把一切都結合起來(lái)
      雖然AI在保護物(wù)聯網安全方面的(de)作用(yòng)可(kě)能比最初設想的(de)要大(dà)，但綜合物(wù)聯網解決方案将包括所有這(zhè)些東西，如政府監管、标準和(hé)AI。雖然這(zhè)個(gè)行業有能力創造出這(zhè)樣的(de)解決方案，但問題是它需要以非常快(kuài)的(de)速度完成。目前，在物(wù)聯網安全與物(wù)聯網普及的(de)競争中，後者正在勝出。
      那麽，公司現在能做(zuò)些什(shén)麽呢(ne)？莫耶爾對(duì)此有些建議(yì)：
      1）采取集成的(de)方法。這(zhè)是個(gè)越多(duō)越好的(de)方案，莫耶爾表示，使用(yòng)物(wù)聯網的(de)公司應該集成管理(lǐ)解決方案，将物(wù)聯網平台引入到主要的(de)連接和(hé)數據移動中，并将這(zhè)些數據導入到更複雜(zá)的(de)分(fēn)析環境中，對(duì)它們進行自動化(huà)行爲分(fēn)析。他(tā)說:“通(tōng)過整合這(zhè)些組件，你可(kě)以更有信心地相信，在物(wù)聯網環境中所得(de)到的(de)信息在統計上是有效的(de)。”
      2）選擇正确的(de)物(wù)聯網設備。這(zhè)些設備擁有超強的(de)生态系統和(hé)一系列的(de)合作夥伴，它們公開分(fēn)享信息。
      3）使用(yòng)物(wù)聯網網關和(hé)邊緣設備。爲了(le)加強整體安全性，許多(duō)公司使用(yòng)物(wù)聯網網關和(hé)邊緣設備來(lái)隔離不安全設備和(hé)互聯網，并在它們之間提供保護層。
      4）參與制定标準。在宏觀層面上，你能做(zuò)的(de)最好事情就是确保長(cháng)期運行的(de)物(wù)聯網安全，這(zhè)涉及到在你的(de)特定行業和(hé)整個(gè)科技行業制定标準。