物聯網產業近年來迎來爆炸式增長,然而安全現狀卻令人堪憂,變種新病毒層出不窮,可預見的解決方案卻遲遲不見,事發之後再彌補成為物聯網安全的常態。
本月初,臺積電遭遇前所未有的重創,“WannaCry”毒如其名,著實讓人“想哭”。這個從去年就席捲全球的勒索病毒,曾有過威脅三十多萬用戶的“輝煌戰績”,造成的資金損失更是數以十億計。
兒童玩具一面供人娛樂,一面還能充當不法者的“眼線”!一款旨在促進兒童與家長之間互動的語音玩具竟也有“天使”和“魔鬼”面,稍不留神,你的信息就可能洩露了。
搶劫犯不在現場也能劫獲你的汽車!兩名黑客通過虛擬劫車手段成功控制了一輛正奔馳在路上的吉普,他們通過控制車上的設備迅速“佔有”了這輛車,在司機失去對車子的控制下完全將車停了下來。
這些案列僅是物聯網安全事件中的冰山一角……
物聯網產業近年來迎來爆炸式增長,然而安全現狀卻令人堪憂,變種新病毒層出不窮,可預見的解決方案卻遲遲不見,事發之後再彌補成為物聯網安全的常態。
百樹迎春花枝笑,卻忘了,春寒料峭
互聯網、特別是移動互聯網的連接數十分龐大,但相對於隨之而生的物聯網而言,其數量也不過是物聯網連接數量的九牛一毛。據GSMA預測,到2020年,全球物聯網連接數量預計將達251億!中國移動最新發布的中期財務報告顯示,中國移動在物聯網業務方面的增長顯著,僅上半年物聯網智能連接數就達到3.84億,增速為155%!
誠然,在基數方面,移動互聯網連接數具有相當的優勢,但其背後是連續幾年5%以下的緩慢增速,而物聯網產業則處於“萌芽期”,在幾年的沉澱之後迎來了爆發式增長,中移動2018全年的物聯網連接目標為1.2億,但僅中期成績就已經超額完成,增長率更是突破100%,緊接著,中移動也將全年目標上調至2.4億。
不單是數量上的激增,物聯網的覆蓋領域也是前所未有的,其範圍上至天空宇宙,下到深海五洋,大到工程製造,小到雞毛蒜皮,都可見其影子。
物聯網的應用場景五花八門,如智能家居、智慧交通、智慧物流、智慧醫療、智能製造、智慧建築等等。物聯網的應用前景也極具前瞻性、未來性。試想科幻大片裡的場景出現在你的生活中,每天早上醒來,窗簾自動拉開或是落地窗顏色自動調節,朦朧中醒來,帶著惺忪睡眼也可以適應清晨的光線,另外,它再問您一句“主人,早上想吃什麼?”一切是不是很科幻、很有誘惑力?然而,換個情況再看,當你的窗簾被黑客或者病毒侵入了,你睡著美容的子午覺時,你的窗簾自己拉開了,還對你說“起來嗨呀!”這就不是美妙了,這是災難,用一句很時髦的話形容就是“車禍現場”。大基數、多領域的物聯網設備帶來的安全問題也日益棘手。
細縫裂紋不足懼?殘垣斷壁是將來!
還記得去年登上科技全球十大突破性技術榜單的殭屍物聯網嗎?是否記得大半個美國的互聯網被Mirai病毒支配的恐懼?這個號稱“史上最嚴重DDoS攻擊”的影響也遠未結束……
為了方便理解,我們用通俗易懂的話來解釋這三個“惡名昭著”的名詞:
殭屍網絡:顧名思義,殭屍是中國古代的一種虛構妖魔,看過林正英先生電影的人大都不會陌生。它或抓或撓或咬通過傳染屍毒將人變成殭屍,成屍之後的人會失去自我控制,一些茅山術士就可以輕而易舉的控制這群屍體。在此,你可以將自己的計算機和別人的計算機都看做一個單位或者一個個的“人”,而此時,其中一人的終端“不明冤死”或者你自己沒有抵住誘惑,探尋“鬼屋”時被“咬傷”,這種形式可以是通過連接他人的“毒電腦”、“毒手機”、“毒移動硬盤”等,亦或是你被網絡上的“美女圖片”、“趣味小遊戲”等吸引。不出意外,你會發現你的終端“魔怔”了!它不再“聽話”,不再按部就班的等你操作,那麼恭喜你,你的終端變“殭屍”了。而且它還可以像殭屍一樣一傳十,十傳百,最終織成一張巨大的網絡,這便是殭屍網絡。不僅終端會任人擺佈,嚴重的還可以丟失重要信息造成不可預計的損失。
DDoS攻擊:學名為分佈式拒絕服務攻擊,在此我們稱它為“搗蛋鬼軍團”。這幫“傢伙”可是串通一氣的,它們總是讓正常的服務沒法展開。它們一旦進入一個終端,便會瘋狂的禁止系統的備份和還原機制,刪除一些文件並阻止其恢復,或者是寫入一些無意義的數據。就像是商家賣東西碰上一群假意強買的主兒,他們人多勢眾趕也趕不走,產品介紹了半天,他們突然打斷你說話,告訴你“我們是對面派來整你的”,最後還提供一些假信息,讓你也沒辦法給其他人提供服務。
Mirai病毒:它主要是通過掃描網絡攝像頭和DVR錄像機,然後操縱這些“肉雞”來發起攻擊。根據多家網絡安全公司調查,近乎一半,甚至以上的物聯網設備公司在實現聯網後並沒有修改設備的初始密碼。這也為以互聯網搜索物聯網設備,並對使用默認密碼或安全度弱的設備進行操控提供了便利。再說Mirai病毒,在此可認作“屍毒”,“肉雞”是對被操控設備的行話表達,它包含幾乎一切與智能相關的設備,如攝像頭、智能路燈、智能汽車等。這些可能成為“肉雞”的設備基數也在一定程度決定“屍毒”傳播廣度以及最終“殭屍物聯網”的範圍。
Mirai病毒一聲雷,響聲大但也去得快,但“惡貫滿盈”的Mirai病毒只是眾多病毒中的一例,其影響也遠未結束。在其公佈源代碼之後,原本給物聯網安全敲響的警鐘卻啞聲了,其後出現了越來越多的變種病毒,其傳播力和強度更甚。這些還沒有完全暴露在陽光下的病毒就如一面牆上的裂縫,防患於未然,則安。放任滋生,則敗。
現有情懷一片,只待眾人來睬
在IBM發佈的首份物聯網研究報告——《設備民主:探索物聯網的未來》中提到,物聯網面臨前所未有的五大方面挑戰,安全問題赫然在列。物聯網發展初期,市場快速增長,業務不斷擴大的同時,安全問題也暴露出來。
而現實問題是,互聯網發展至今,形成了眾多深耕網絡安全的公司,像國外的IBM、微軟、亞馬遜、思科、雷神,國內的安天、奇虎360、安恆信息等。但專注於物聯網安全方面的公司並非遍地開花,也沒有形成大規模的市場或是標準組織。
再者,物聯網的安全防護在感知層、網絡層和應用層的防護各具特點,從而也在無形中使物聯網安全變得更為複雜。眾多設備製造商採用的軟、硬件標準具有差異化、多樣化的特點,眾企業也是各顯神通,以己之長,固其根本。通訊協議層的安全防護同樣不可忽視,互聯網擁有一套基於IP的成熟的網絡安全體系,TCP/IP、HTTP(物聯網也會用到)、FTP、SMTP。基於低功耗、廣覆蓋、低成本、多連接的物聯網,其傳輸數據多采用WI-FI、藍牙、ZigBee、NB-IoT等,而使用大量非IP的通訊協議造成的困境也變成了橫在物聯網安全問題前的一座大山。另外各家企業的解決方案各有千秋,在多重因素影響下,即便在物聯網應用的各環節都採取了安全策略,但因其各不相同、難以協調,其整體安全還是要受到“木桶效應”的影響,如何拔高短板也是各界值得深思的問題。
同時,物聯網安全又不僅僅是一方面的責任,應該在應用層、供應層、技術開發層、管理層等各方面協同作戰。
第一:在應用層方面,消費者應提高警惕,對於來路不明的連接、具有誘惑力的內容等要心懷戒備。同時,對於智能設備也絕不可掉以輕心,一不小心自己的秘密可能就被其窺探到了。
第二:供應層方面,從企業和產品的角度來講,如何集合上下游物聯網安全產品,打造產品安全鏈也是十分重要的一項課題。
第三:在技術開發層方面,需要大量的高端技術人才,結合民間力量打造一個從專業到民間的網絡信息安全生態圈。
第四:管理層面,需要政府出臺相關的政策法規,與物聯網的安全機制相結合,把強制性帶入到物聯網安全領域,建立有效的管控體系。
不管哪個領域內,安全一直以來皆為重中之重的核心話題。如何打造一個成熟的物聯網生態,亟待解決的必然是安全問題,當然安全問題是層出不窮,想要在這個問題上達到窮盡也許在理想狀態下才可以,但預防問題出現卻是可以實現的,亡羊補牢,丟一隻補可以,丟兩隻補也可以,但科技問題是不可估量的,丟一隻,其後果將不可想象!
閱讀更多 Abup艾拉比智能 的文章
