2016年全球物联网设备共出现1117个漏洞,涉及思科(356条)、华为(155条)、西门子、Twitter、谷歌等企业,受攻击的设备类型包括网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。为什么病毒会对物联网设备造成如此大的威胁呢?很多物联网设备(如网络摄像头,婴儿监视摄像头等)因为没有保护,都会经常被用作载体来攻击网站。
今年8月,笔者参加了在深圳会展中心举办的“物联网安全与区块链高峰论坛”,在会上了解到现阶段智能设备的安全问题很是突出,尤其是以智能摄像头、智能电视、智能门锁等为代表的智能家电更是黑客攻击的主要目标。据相关资料显示,大约70%的消费型物联网设备存在安全隐忧,而在近期这些被揭露的物联网安全漏洞中,100%完全可事先避免。这不免让人疑惑,物联网安全既然有功法护体,为何物联网的安全这么难实现呢?问题究竟出在哪里?下面就让小编从物联网安全的三大关键,复杂的网络、成本与安全团队来给大家剖析剖析。
复杂的网络
现实中,影响物联网安全策略的第一个因素,是物联网系统的复杂性,一个典型的物联网系统结构包括用户设备端、网关和云端平台三部分。在用户设备端之间、用户设备端与网关之间,以及网关与云端之间,又是通过不同的无线或有线通讯协议互联的。理想的安全解决方案,应该是能实现“端(用户设备)对端(云端)”全面的安全防护,而现实的情况是,物联网系统通常是经由不同制造商和用户的软、硬件组成,并由不同人进行管理和维护,每个环节都会有自己不同的安全策略,而系统整体的安全性往往就由“最短的那块木板”所决定。
特别重要的一点是,我们熟知的互联网是基于TCP/IP技术的网络,在过去的20多年中,网络已经形成了一套基于IP的比较成熟的安全体系,比如TLS(安全传输层协议),构成了网络安全的基石。而物联网虽然也使用互联网,但实际部署时由于低成本、低功耗、特殊应用场景等方面的考虑,物联网系统中也采用了大量非IP的通讯协议,如ZigBee等。这种异构网络让物联网系统变得更为复杂,数据在传输过程中需要在网关间进行多次转化和加解密操作,增加了安全体系的复杂性。同时,非IP网络环境的存在也使得很多基于IP且成熟的安全技术,如TLS协议、加解密算法,无法直接被物联网设备所利用。虽然这种“复杂”的局面在技术上并非无解,但是对于开发者和使用者来说需要额外的时间和资源的投入,这将是一笔不小的负担。
成本,成本,成本
物联网安全设备的第二个影响因素是“成本”。以边缘节点而言,物联网中多数用户的终端设备都是结构简单、低功耗、低成本的,在设计规划时往往很少、甚至根本没有考虑安全预算。提升用户设备端的安全层级,最直接的方式就是投入额外的硬件,不论是采用具备安全性能的MCU,还是嵌入安全芯片。这对于很多OEM,特别是对于增加几块钱的BOM成本就斤斤计较的消费型物联网产品来说,确实是件让人为难的事。类似的成本“纠结”,在网络网关和云端安全性提升时,一样也会出现。
然而,这还不是全部的安全成本。整个物联网系统生命周期中,需要人力对系统中的设备连接进行安全性的设置和管理,如授权、加密等,这种对设备安全性的“个人化”管理也是一个可观的成本,不论是设备制造商还是使用者、运营商,都需要有人去承担成本。随着网络的规模逐年增长,这一类的成本压力也将更为显著。此外,将不安全设备废止或改造以提升物联网的安全性,还会为使用者带来“沉没成本”,导致过往的投资损失。为了保护既有投资,使用者在决策时稍做折衷也是在所难免,但这也是影响物联网安全问题难以被解决的重要原因。
安全团队
影响物联网安全的第三个因素,就是人。传统的技术认知中,设备安全是嵌入式开发者的事,而网络安全是IT工程师的事,然而物联网带来了技术的融合,也需要相关专业人士的意识与知识重构。在物联网发展的初期,这样的“人”是很难得的。一个称职的物联网安全团队,能确保产品和系统设计之初,就将安全议题考虑进去,而不是在出现问题之后再亡羊补牢。
以上这些,正是我们在物联网安全方面所面临的困境。去年10月发生在DNS服务提供商Dyn身上的分布式DDoS攻击,导致北美和部分欧洲地区的很大一部分互联网脱机了几个小时。这是首个利用物联网设备僵尸网络实施重大DDoS攻击,造成了数以千计的闭路电视摄像头和打印机感染了Mirai病毒,这充分显示了不安全的设备将会如何被网络犯罪分子所利用。综上,物联网安全问题解决起来虽然困难重重,但却是不得不面对的一个市场痛点。只有智能设备的安全问题被很好地解决,物联网成功落地才能成为现实。