在舊金山舉行的2015 RSA大會(huì)上，似乎大家就一件事達(dá)成了共識(shí)，那就是物聯(lián)網(wǎng)是一個(gè)迫在眉睫的安全威脅，但是關(guān)于到底安全行業(yè)應(yīng)該做些什么并沒有達(dá)成共識(shí)。

有解決方案提供商和安全專家表示，挑戰(zhàn)在于技術(shù)仍然很新，而技術(shù)威脅是真實(shí)存在的，沒有一個(gè)明確的地方開始阻止攻擊。

“目前者還處于生命周期的早期階段。……問題在于，大家都知道那里會(huì)有大量威脅，但是沒有人確切知道安全隱患將會(huì)是怎樣的。”總部在伊利諾伊州的Auryn Technology負(fù)責(zé)人和IT架構(gòu)師Erik Wilson這樣表示。“我不認(rèn)為企業(yè)真的知道發(fā)生了什么事情。……我認(rèn)為這是令人興奮的，但也有點(diǎn)可怕。”

周三一個(gè)安全專業(yè)人士進(jìn)行的小組談?wù)?，探討了物?lián)網(wǎng)的未來，他們認(rèn)為，由于缺乏對(duì)于未來技術(shù)發(fā)展方向的洞察，使得難以實(shí)施保護(hù)措施。

“我們甚至不知道最終的目標(biāo)到底是什么。我向我們看到結(jié)果的好處之一，是調(diào)節(jié)和可組合性——我認(rèn)為會(huì)有一個(gè)完全不同的挑戰(zhàn)，并且比我們現(xiàn)在的保護(hù)方式更嚴(yán)峻。我們甚至不知道未來是什么情況。”國家標(biāo)準(zhǔn)和技術(shù)研究所信息系統(tǒng)安全顧問Yan Pillitteri在小組討論中這樣表示。

另一方面，這些可能性的廣度正是讓市場感到興奮的地方，小組討論這樣表示。

Yan Pillitteri說：“你在會(huì)走之前學(xué)會(huì)必須爬行，在會(huì)跑之前必須學(xué)會(huì)走路?，F(xiàn)在我們看到，新的傳感器和新的設(shè)備正在不斷增加。……這將是一個(gè)緩慢的過程，而且我確實(shí)看到了政策和隱私性一些方面的革新。這些都將是具有革命性意義的事情。”

讓挑戰(zhàn)加劇的是攻擊范圍的不斷龐大，隨著越來越多設(shè)備連接到網(wǎng)絡(luò)，創(chuàng)建一個(gè)更大型的網(wǎng)絡(luò)進(jìn)行保護(hù)，總部在弗吉尼亞州雷斯頓的解決方案提供商Leido網(wǎng)絡(luò)安全首席技術(shù)官Gib Sorebo在分組會(huì)議中探討了這個(gè)問題。

“隨著物聯(lián)網(wǎng)的崛起，這不只是一個(gè)‘我有這樣一個(gè)設(shè)備，我需要控制這個(gè)設(shè)備’的簡單問題了。……而是要與其他設(shè)備進(jìn)行互動(dòng)。”Sorebo這樣表示。

總部在挪威拉爾維克的Abax公司IT經(jīng)理Esoen Otterstad表示，他的公司幫助公司構(gòu)建GPS跟蹤設(shè)備等解決方案。因?yàn)樵摴緲?gòu)建的解決方案通常是圍繞著物聯(lián)網(wǎng)的，因此該公司在過去6個(gè)月中，在客戶提出需求和出現(xiàn)任何安全事故之前就圍繞著該技術(shù)加強(qiáng)了安全措施，Otterstad這樣表示。

他說，挑戰(zhàn)在于很難找出從哪開始著手，以及把重點(diǎn)放在哪，因?yàn)閷?duì)于物聯(lián)網(wǎng)來說，這個(gè)威脅領(lǐng)域仍然是新興的。

Otterstad表示：“這仍然是一個(gè)學(xué)習(xí)的過程。在Web方面，我們正在做的事情是行業(yè)標(biāo)準(zhǔn)的。在物聯(lián)網(wǎng)方面，……我們正在開始和考慮從哪開始，這是目前最重要的事情了。”

總部在賓夕法尼亞州約翰斯敦的Concurrent Technologies Corp.公司IS安全總工程師Dom Glavach表示，物聯(lián)網(wǎng)的威脅環(huán)境有三個(gè)方面，主要受到人為因素、通常未打補(bǔ)丁的嵌入式設(shè)備、以及設(shè)備收集并且有可能暴露的信息。

總部在賓夕法尼亞州Blue Bell的Unisys CISO Dave Frymier表示，有一個(gè)挑戰(zhàn)是沒有像其他行業(yè)一樣存在一些標(biāo)準(zhǔn)，但是軟件行業(yè)是沒有標(biāo)準(zhǔn)的。Frymier表示，實(shí)施產(chǎn)品質(zhì)量標(biāo)準(zhǔn)的唯一現(xiàn)有實(shí)體就是政府。

“這是事物自然而然的一個(gè)進(jìn)化過程。”Frymier表示。“物聯(lián)網(wǎng)已經(jīng)在這里了，它一直在這里……直到我們發(fā)現(xiàn)、意識(shí)到了 “物聯(lián)網(wǎng)”的概念，而這種向大型全局網(wǎng)絡(luò)增加軟件驅(qū)動(dòng)設(shè)備的概念，不過是一場噩夢(mèng)。”

在Leido的Sorebo演講中，他給出了一個(gè)風(fēng)險(xiǎn)模型，展示企業(yè)應(yīng)該如何思考安全和物聯(lián)網(wǎng)。他說，首先，安全專家應(yīng)該圍繞物聯(lián)網(wǎng)設(shè)備定義使用實(shí)例，并且盡可能具體。然后，他們應(yīng)該確定所有相關(guān)的影響和未來可能出現(xiàn)的薄弱環(huán)節(jié)。最后，這些答案將會(huì)引導(dǎo)他們確定這些設(shè)備可能會(huì)存在哪些安全威脅。

Sorebo表示，為了減輕這個(gè)風(fēng)險(xiǎn)，安全行業(yè)有下面一些選擇：

首先，他們可以設(shè)計(jì)契合所需的設(shè)備，不過Sorebo表示這可能是不現(xiàn)實(shí)的，因?yàn)橛猛居锌赡軙?huì)擴(kuò)大。

其次，Sorebo表示，企業(yè)可以清楚地記錄一些假設(shè)情況，包括設(shè)備的用途和未來可能出現(xiàn)的一些責(zé)任義務(wù)。第三，企業(yè)或者監(jiān)管機(jī)構(gòu)可以對(duì)設(shè)備如何互動(dòng)進(jìn)行密切監(jiān)管，例如車輛與車輛之間互動(dòng)。

第四，他說可以有一些授權(quán)和審核的協(xié)議與設(shè)備軟件庫。最后，還可以有針對(duì)不同使用情況的設(shè)備認(rèn)證。