【51CTO.com 快譯】Gartner的研究主任Ruggero Contu說：“毫無疑問，風(fēng)險勢必會隨著部署的物聯(lián)網(wǎng)設(shè)備不斷增加而加大。”Contu表示，由于增加了聯(lián)網(wǎng)節(jié)點的數(shù)量，物聯(lián)網(wǎng)會帶來成千上萬條新的威脅途徑。

[[167491]]

Strategy Analytics公司系統(tǒng)研究和咨詢部門的企業(yè)研究主任Laura DiDio說，雖然物聯(lián)網(wǎng)帶來了大好機遇，但是在互聯(lián)環(huán)境下，“安全風(fēng)險成倍增加;從理論上來說，攻擊途徑或攻擊面可能是無限的。”

DiDio說：“此外，IT部門肩負(fù)的擔(dān)子要重得多。它們要跟蹤的對象數(shù)量多得多。”DiDio表示，端點安全或周邊安全是許多人關(guān)注的焦點，這有其充分理由，因為端點安全或周邊安全是第一道防線，承受正面攻擊的沖擊。

DiDio說：“話雖如此，它并不是物聯(lián)網(wǎng)基礎(chǔ)設(shè)施中唯一的薄弱點。”據(jù)Strategy Analytics的2016年調(diào)查數(shù)據(jù)顯示，實際上，在每個物件、乃至每個人都高度互聯(lián)的物聯(lián)網(wǎng)環(huán)境中，粗心大意的最終用戶對所在企業(yè)的物聯(lián)網(wǎng)網(wǎng)絡(luò)構(gòu)成了最大的安全威脅。

物聯(lián)網(wǎng)安全方面的支出一路上升，這不足為奇。Gartner公司在2016年4月份的一份報告中表示，2016年，全球物聯(lián)網(wǎng)安全方面的支出將達(dá)到3.48億美元，比2015年的支出：2.815億美元增長24%。而到2018年，物聯(lián)網(wǎng)安全支出預(yù)計會達(dá)到5.47億美元。

物聯(lián)網(wǎng)支出圖

Gartner預(yù)測，2020年以后，由于加強的技能、組織變化和更多可擴展的服務(wù)選項改進(jìn)執(zhí)行力，物聯(lián)網(wǎng)安全市場支出會以更快的速度增長。

該公司表示，由于消費者和企業(yè)都開始使用數(shù)量越來越多的互聯(lián)設(shè)備，市場在發(fā)展壯大。Gartner公司預(yù)測，今年全球使用的聯(lián)網(wǎng)物件會多達(dá)64億個，比2015年增加30%，到2018年會達(dá)到114億個。

該公司預(yù)測，到2020年，企業(yè)受到的已識別攻擊中25%以上會與物聯(lián)網(wǎng)有關(guān)，不過物聯(lián)網(wǎng)這塊在整個IT安全預(yù)算中所占的比重不到10%。

Gartner表示，由于分配給物聯(lián)網(wǎng)的預(yù)算有限，加上采用一種分散的方法在企業(yè)組織早期實施物聯(lián)網(wǎng)，安全廠商很難提供實用的物聯(lián)網(wǎng)安全功能。預(yù)計，確保物聯(lián)網(wǎng)安全方面的工作將更多地側(cè)重于設(shè)備及其數(shù)據(jù)的管理、分析和配置上。Gartner預(yù)測，到2020年，實施的所有物聯(lián)網(wǎng)中一半以上將使用某種基于云的安全服務(wù)。

在未來幾年，物聯(lián)網(wǎng)很可能是許多企業(yè)組織高度關(guān)注的網(wǎng)絡(luò)安全優(yōu)先事項之一。2016年5月，卡耐基·梅隆大學(xué)軟件工程研究所計算機緊急響應(yīng)小組(CERT)部門發(fā)布了一份報告，報告列出了十大高危新興技術(shù)，一些技術(shù)與物聯(lián)網(wǎng)有關(guān)。

在《2016年新興技術(shù)領(lǐng)域風(fēng)險調(diào)查》這份研究報告中，CERT分析了聯(lián)網(wǎng)家庭等方面的安全，聯(lián)網(wǎng)家庭涉及家庭設(shè)備、家電和計算機的自動化。另一個方面是智能傳感器，這是物聯(lián)網(wǎng)的支撐技術(shù)之一。

CERT部門的安全漏洞分析師Christopher King在一篇博文中表示，在如今日益高度互聯(lián)的世界，信息安全界要做好準(zhǔn)備，消除新技術(shù)可能帶來的安全漏洞。他說：“了解新興技術(shù)方面的發(fā)展趨勢，可以幫助信息安全專業(yè)人員、企業(yè)領(lǐng)導(dǎo)人以及對信息安全感興趣的其他人識別哪些方面面臨安全風(fēng)險，以便進(jìn)一步研究。”

卡內(nèi)基·梅隆大學(xué)是物聯(lián)網(wǎng)的早期開發(fā)者，它將安全列為一個優(yōu)先事項。

這家大學(xué)正在研發(fā)一種名為Giotto的物聯(lián)網(wǎng)平臺，這以文藝復(fù)興時期追求創(chuàng)新的畫家Giotto di Bondone命名。Jason Hong是卡內(nèi)基·梅隆大學(xué)計算機科學(xué)學(xué)院人機交互：移動隱私安全實驗室的研究小組負(fù)責(zé)人，他說：“我們正在開發(fā)一套全面架構(gòu)，包括硬件、中間件和應(yīng)用層，自始至終整合機器學(xué)習(xí)、隱私和安全，而且還注重用戶體驗。”

Hong說：“我們的目的是，讓人們擁有一體化物聯(lián)網(wǎng)(IoT-in-a-box)，那樣他們能迅速使用我們的一些傳感器平臺，演示物件具有感知功能(比如開窗或有人敲門)，并創(chuàng)建由感知的那些動作觸發(fā)的應(yīng)用程序。”

Hong表示，物聯(lián)網(wǎng)有望大大改善日常生活，“但同時也為安全帶來了諸多新的風(fēng)險。物聯(lián)網(wǎng)好比是個金字。最上面你有幾個設(shè)備會頻繁使用，而且擁有大量的計算能力”，比如筆記本電腦、智能手機、手表和游戲機。

中間是幾十個偶爾使用的設(shè)備，它們的計算能力一般。這一層包括恒溫器、電視機和箱等。最下面是人們很少意識到的數(shù)百個設(shè)備，比如暖通空調(diào)、徽章、植入體內(nèi)的醫(yī)療設(shè)備、數(shù)碼相框和電子鎖等。

Hong表示，最上面一層會得到充分保護(hù)，因為生產(chǎn)這些產(chǎn)品的公司擁有豐富的專長和經(jīng)驗，這些設(shè)備還可以運行許多安全軟件。他說：“然而，中間這層和最下面這層卻會出現(xiàn)許多問題。許多廠商在軟件方面基本上沒什么經(jīng)驗可言，這些設(shè)備也基本上無法保護(hù)好自己。”

Hong表示，物聯(lián)網(wǎng)的最大威脅將是勒索軟件。“如今的勒索軟件攻擊涉及加密受害者的數(shù)據(jù)，將數(shù)據(jù)扣為人質(zhì)，直到受害者乖乖交錢。將來，物聯(lián)網(wǎng)會帶來一系列新的勒索軟件攻擊。腳本小子可能會將人們鎖在房子或汽車外面，因而令人煩不勝煩。”他表示，黑客組織Anonymous可能會對公司的暖通空調(diào)或照明系統(tǒng)做手腳，增加電費或者惹毛住戶;攻擊者可能企圖闖入多輛自動駕駛汽車或多個自主醫(yī)療設(shè)備，實際上將受害者扣為人質(zhì)。

卡內(nèi)基·梅隆大學(xué)的實驗室正在研究幾個想法，確保Giotto里面的安全性。Hong表示，其中之一是，如何利用鄰近位置作為獲得訪問權(quán)的一種方式。比如說，如果你在一個房間，你也許能夠訪問這個房間里面的一些傳感器和服務(wù)，比如溫度。如果你走到房間外面，你能獲得的信息就會減少或干脆沒有。

Hong說：“我們還在考慮如何區(qū)別公共數(shù)據(jù)和私有數(shù)據(jù)。比如說，在我們大學(xué)，我們可能將走廊傳感器指定為公共數(shù)據(jù)，這所大學(xué)里的任何人都可以查看和使用該數(shù)據(jù)。但是與私人辦公室有關(guān)的數(shù)據(jù)和服務(wù)只能由該辦公室的主人和大樓管理員訪問。”

另外，實驗室還在考慮Giotto的不同層次如何支持安全的不同部分。Hong表示，比如說，物理層需要讓人們?nèi)菀琢私鈧鞲衅髟谀抢?，核實傳感器在收集什么?shù)據(jù)，查看這些數(shù)據(jù)在如何使用，以及了解誰可以查看該數(shù)據(jù)。

Hong說：“邏輯層和中間件層需要提供訪問控制，作為實用的默認(rèn)機制，明確人們可以訪問哪些數(shù)據(jù)和服務(wù)，要提供很簡單的控制機制，不需要博士生才能了解。應(yīng)用層需要讓普通開發(fā)人員很容易充分利用數(shù)據(jù)，同時注重用戶的隱私。”

Hong表示，在企業(yè)IT環(huán)境下，大家常常很重視端點安全，或者將安全軟件安裝在筆記本電腦、臺式機和智能手機上。他說：“這只適用于最上面一層設(shè)備，但并不適合構(gòu)成中間層和最下面一層的數(shù)十億個設(shè)備。網(wǎng)絡(luò)安全方面要有重大的進(jìn)展，才能保護(hù)這些種類的設(shè)備。”

Hong補充道，企業(yè)組織還需要人工智能和大數(shù)據(jù)技術(shù)方面有重大創(chuàng)新，才能檢測異常行為。“如今我們只能說勉強可以管理臺式機、筆記本電腦和云服務(wù)器的安全;家庭網(wǎng)絡(luò)或企業(yè)網(wǎng)絡(luò)添加成千上萬個設(shè)備將意味著，我們需要新的、自動化的方法，以便迅速檢測和應(yīng)對攻擊。”

Contu表示，總的來說，沒有哪一種安全技術(shù)能夠保護(hù)所有IT資產(chǎn)，包括物聯(lián)網(wǎng)邊緣處理、物聯(lián)網(wǎng)平臺中間件、后端系統(tǒng)和數(shù)據(jù)。“需要一種多管齊下的安全方法，應(yīng)對更大的數(shù)字風(fēng)險和物理風(fēng)險。”

Contu表示，端點層面可以使用不同的方法，從安全功能嵌入到芯片架構(gòu)里面，到部署軟件代理以執(zhí)行不同的安全控制機制，不一而足。在物聯(lián)網(wǎng)生態(tài)系統(tǒng)之類的復(fù)雜架構(gòu)中，網(wǎng)關(guān)將會大有幫助;由于各種各樣的設(shè)備和身份，很難為這類架構(gòu)確保安全。

Contu說：“網(wǎng)關(guān)將得到部署，以處理物聯(lián)網(wǎng)的特定領(lǐng)域，管理一組信任需求相似的特定設(shè)備，因而可以使用通用信任模型的原則來確定領(lǐng)域。聯(lián)合信任模型讓使用不同信任模型的不同領(lǐng)域和設(shè)備之間實現(xiàn)互操作性。”

金融服務(wù)公司GE Capital Americas的首席信息安全官(CISO)兼IT風(fēng)險負(fù)責(zé)人James Beeson表示，物聯(lián)網(wǎng)安全方面的關(guān)鍵技術(shù)可能會是機器學(xué)習(xí)和人工智能。

Beeson說：“由于數(shù)十億其他設(shè)備連接到互聯(lián)網(wǎng)，人工處理那么多的警報及/或未知的資產(chǎn)和事件會變得不可能。技術(shù)需要能夠處理海量數(shù)據(jù)，并且迅速做出決定。”

DiDio表示，即使在考慮技術(shù)之前，企業(yè)也要實施強有力的安全策略和程序。她說：“如果你沒有落實安全策略或方案，就會有大問題。”

之后，企業(yè)應(yīng)購買并安裝適合本企業(yè)的相應(yīng)的安全工具和軟件包。DiDio說：“企業(yè)還要確保補丁和修正版是最新版本。許多公司之所以碰到問題，是由于它們沒有升級、打上補丁，結(jié)果發(fā)現(xiàn)設(shè)備和應(yīng)用程序門戶大開、易受攻擊。”

物聯(lián)網(wǎng)環(huán)境下的安全不是一成不變，而是個活動目標(biāo)。DiDio說：“你得不斷重新評估和監(jiān)控你的安全狀況、安全策略和程序，并執(zhí)行策略和程序，以便隨時了解黑客構(gòu)成的外部威脅以及自己員工(故意或不小心)構(gòu)成的內(nèi)部威脅。企業(yè)永遠(yuǎn)無法宣告勝利。自滿是你最大的敵人。”

原文標(biāo)題：IoT pushes IT security to the brink

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】