據(jù)《連線》雜志報道，物聯(lián)網(wǎng)即將到來，但許多IT高管都在擔(dān)心隱藏其中的網(wǎng)絡(luò)安全問題。或者更準確地說，他們已經(jīng)選擇聽天由命。5月份對553名IT決策者的研究中，78%的人表示，他們認為自己所在公司很可能會遭受物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)丟失或盜竊事故。約72%的人表示，物聯(lián)網(wǎng)的發(fā)展速度使其難以跟上不斷變化的安全要求。

這種擔(dān)憂源于現(xiàn)實。去年10月份，黑客利用物聯(lián)網(wǎng)設(shè)備的大約10萬個“惡意端點”，攻擊了控制大部分互聯(lián)網(wǎng)域名系統(tǒng)基礎(chǔ)設(shè)施的公司。最近，惡意軟件WannaCry攻擊使許多銀行的ATM網(wǎng)絡(luò)癱瘓。對于物聯(lián)網(wǎng)反對者來說，這些攻擊證實了他們的恐懼，即黑客可以通過劫持我們的物聯(lián)網(wǎng)設(shè)備來制造混亂。

與此同時，物聯(lián)網(wǎng)產(chǎn)業(yè)繼續(xù)穩(wěn)步增長。市場研究公司Gartner預(yù)測，到2020年，將有大約210億部物聯(lián)網(wǎng)設(shè)備存在，而2015年時僅為50億部。其中大約80億部將是工業(yè)產(chǎn)品，而不是消費類設(shè)備。這兩類設(shè)備都為黑客提供了誘人的攻擊目標。

DXC的首席技術(shù)官和網(wǎng)絡(luò)安全副總裁克里斯·莫耶爾（Chris Moyer）說:“這個行業(yè)沒有放棄物聯(lián)網(wǎng)的原因是它的價值非常高，但其風(fēng)險也同樣高，這就是平衡的所在。”不管行業(yè)的胃口如何，在行業(yè)解決安全問題之前，物聯(lián)網(wǎng)的規(guī)模不大可能擴大。這將需要供應(yīng)商之間的合作，政府的干預(yù)和標準化。在2017年，這些事情似乎都沒有解決的眉目。

物聯(lián)網(wǎng)有什么安全問題？

現(xiàn)在的共識是，物聯(lián)網(wǎng)仍未得到充分保護，并可能帶來災(zāi)難性的安全風(fēng)險，因為企業(yè)相信物聯(lián)網(wǎng)設(shè)備可用于業(yè)務(wù)、運營和安全決策。現(xiàn)有的標準并不到位，供應(yīng)商始終在努力將恰當(dāng)?shù)?a target="_blank">智能和管理水平嵌入產(chǎn)品中。隨著攻擊者之間的協(xié)作日益緊密，需要在多個維度上解決這些挑戰(zhàn)。下面就是物聯(lián)網(wǎng)設(shè)備所需要面對的安全挑戰(zhàn)：

1）與個人電腦或智能手機不同，物聯(lián)網(wǎng)設(shè)備通常缺乏處理能力和內(nèi)存。這意味著，它們?nèi)狈娪辛Φ陌踩鉀Q方案和加密協(xié)議，而這些往往可以保護它們免受攻擊威脅。

2）因為這些設(shè)備連接到互聯(lián)網(wǎng)，它們每天都會遇到威脅。而物聯(lián)網(wǎng)設(shè)備的搜索引擎也為黑客提供了進入網(wǎng)絡(luò)攝像頭、路由器和安全系統(tǒng)的機會。

3）在許多聯(lián)網(wǎng)設(shè)備的設(shè)計或開發(fā)階段，安全性從未被考慮過。

4）不只是物聯(lián)網(wǎng)設(shè)備本身缺乏安全能力，許多連接它們的網(wǎng)絡(luò)和協(xié)議也沒有強大的端到端加密機制。

5）許多物聯(lián)網(wǎng)設(shè)備需要人工干預(yù)才能升級，而其他設(shè)備根本無法升級。莫耶爾說:“這些設(shè)備中有些是非常迅速地建立起來的，它們的設(shè)計思維還局限于首次迭代之中，而且有些甚至是不可升級的。”

6）物聯(lián)網(wǎng)設(shè)備是個“薄弱環(huán)節(jié)”，允許黑客滲透到IT系統(tǒng)中。如果設(shè)備連接到整個網(wǎng)絡(luò)，這一點尤其令人擔(dān)憂。

7）許多物聯(lián)網(wǎng)設(shè)備都有默認密碼，黑客可以在網(wǎng)上查到。鑒于這個事實，Mirai分布式拒絕服務(wù)攻擊是可能的。

8）這些設(shè)備可能留有“后門”，同樣為黑客提供機會。

9）物聯(lián)網(wǎng)設(shè)備的安全成本可能會抵消其財務(wù)價值。物聯(lián)網(wǎng)安全專家博·伍茲(Beau Woods)表示:“當(dāng)你有個2美分的組件，而你需要在它身上花費1美元維護安全時，你就破壞了商業(yè)模式。”

10）這些設(shè)備也會產(chǎn)生大量的數(shù)據(jù)。DXC的技術(shù)項目主管基里安·麥考利（Kieran McCorry）說:“你不僅僅需要應(yīng)對210億部互聯(lián)網(wǎng)設(shè)備，還要應(yīng)對由它們生成的龐大數(shù)據(jù)。這些數(shù)據(jù)幾乎是數(shù)量級的，而且遠遠超過了這些設(shè)備所產(chǎn)生的數(shù)量。這是一個巨大的數(shù)據(jù)處理問題。”

考慮到這些缺陷，企業(yè)可以通過遵守物聯(lián)網(wǎng)安全最佳實踐，這在某種程度上可以保護它們。但是，如果合規(guī)不是100%(這是不可能的)，那么就不可避免地會發(fā)生攻擊，導(dǎo)致行業(yè)對物聯(lián)網(wǎng)失去信心。這就是安全標準勢在必行的原因。

誰來制定安全標準？

各種政府機構(gòu)已經(jīng)對許多物聯(lián)網(wǎng)設(shè)備進行了監(jiān)管。舉例來說，美國聯(lián)邦航空管理局(FAA)監(jiān)管無人機，美國國家公路交通安全管理局(NHTSA)監(jiān)管無人駕駛車輛。美國國土安全部正積極參與基于物聯(lián)網(wǎng)的智能城市計劃，而FDA也在對物聯(lián)網(wǎng)醫(yī)療設(shè)備進行監(jiān)督。

但在目前，還沒有任何政府機構(gòu)負責(zé)監(jiān)管智能工廠或智能家居領(lǐng)域使用的物聯(lián)網(wǎng)設(shè)備。2015年，聯(lián)邦貿(mào)易委員會（FTC）發(fā)布了一份關(guān)于物聯(lián)網(wǎng)的報告，其中包括關(guān)于最佳實踐的建議。在2017年初，F(xiàn)TC還向公眾發(fā)布挑戰(zhàn)賽，即創(chuàng)建“修復(fù)物聯(lián)網(wǎng)設(shè)備中過時軟件引發(fā)的安全漏洞的工具”，并為獲勝者提供2.5萬美元的獎金。

莫耶爾表示，雖然政府將對物聯(lián)網(wǎng)的某些方面進行監(jiān)管，但他認為只有行業(yè)才能創(chuàng)造出自己的標準。他設(shè)想了制定這種標準的兩種途徑：第一，買家推出標準，并拒絕購買不支持這個標準的產(chǎn)品；第二，一兩個主要參與者利用其市場主導(dǎo)地位設(shè)定一個事實上的標準。莫耶爾說：“我不認為后一種情況會發(fā)生，目前還沒有這樣的主導(dǎo)參與者存在。”

這個行業(yè)現(xiàn)在有好幾個標準，而不是一個或兩個標準，而且似乎沒有哪個標準正逐漸取得主導(dǎo)地位。這些標準包括基于供應(yīng)商的標準，以及物聯(lián)網(wǎng)安全基金會、IEEE、可Trusted Computing Group、物聯(lián)網(wǎng)世界聯(lián)盟以及工業(yè)互聯(lián)網(wǎng)協(xié)會安全工作組提出的標準。所有這些機構(gòu)都在研究打造安全物聯(lián)網(wǎng)環(huán)境的標準、協(xié)議和最佳實踐。

莫耶爾說，最終改變市場的將是買家，他們將開始要求標準。他解釋稱：“標準的制定有很多原因，有些是監(jiān)管所需，但很多是因為買家認為這對他們很重要。”

由于缺乏標準，伍茲看到了幾條改善物聯(lián)網(wǎng)安全的途徑：一個是商業(yè)模式的透明度。伍茲說:“如果你購買了1000輛汽車，你就可以進行‘空中更新’，而其他汽車則需要手動更新，那可能需要7個月的時間。這是不同的風(fēng)險計算。”

另一種解決方案是要求制造商為他們的設(shè)備承擔(dān)責(zé)任。伍茲表示，目前硬件設(shè)備的情況是這樣的，但不清楚誰會為軟件故障承擔(dān)責(zé)任。

AI充當(dāng)救星？

在這種情況下，一個未知因素是人工智能（AI）。支持者認為，機器學(xué)習(xí)可以發(fā)現(xiàn)一般的使用模式，并在出現(xiàn)異常時提醒系統(tǒng)。例如，Bitdefender查看來自所有端點的云服務(wù)器數(shù)據(jù)，并使用機器學(xué)習(xí)來識別異常或惡意行為。就像信用卡系統(tǒng)可能會將在國外炫耀1000美元的行為標注為可疑那樣，機器學(xué)習(xí)系統(tǒng)可能會通過傳感器或智能設(shè)備識別不同尋常的行為。由于物聯(lián)網(wǎng)設(shè)備在功能上是有限的，所以發(fā)現(xiàn)這些異常是相對容易的。由于使用機器學(xué)習(xí)的安全性仍然是新的，這種方法的擁護者提倡使用包括人工干預(yù)的安全系統(tǒng)。

真正的解決辦法：把一切都結(jié)合起來

雖然AI在保護物聯(lián)網(wǎng)安全方面的作用可能比最初設(shè)想的要大，但綜合物聯(lián)網(wǎng)解決方案將包括所有這些東西，如政府監(jiān)管、標準和AI。雖然這個行業(yè)有能力創(chuàng)造出這樣的解決方案，但問題是它需要以非常快的速度完成。目前，在物聯(lián)網(wǎng)安全與物聯(lián)網(wǎng)普及的競爭中，后者正在勝出。

那么，公司現(xiàn)在能做些什么呢？莫耶爾對此有些建議：

1）采取集成的方法。這是個越多越好的方案，莫耶爾表示，使用物聯(lián)網(wǎng)的公司應(yīng)該集成管理解決方案，將物聯(lián)網(wǎng)平臺引入到主要的連接和數(shù)據(jù)移動中，并將這些數(shù)據(jù)導(dǎo)入到更復(fù)雜的分析環(huán)境中，對它們進行自動化行為分析。他說:“通過整合這些組件，你可以更有信心地相信，在物聯(lián)網(wǎng)環(huán)境中所得到的信息在統(tǒng)計上是有效的。”

2）選擇正確的物聯(lián)網(wǎng)設(shè)備。這些設(shè)備擁有超強的生態(tài)系統(tǒng)和一系列的合作伙伴，它們公開分享信息。

3）使用物聯(lián)網(wǎng)網(wǎng)關(guān)和邊緣設(shè)備。為了加強整體安全性，許多公司使用物聯(lián)網(wǎng)網(wǎng)關(guān)和邊緣設(shè)備來隔離不安全設(shè)備和互聯(lián)網(wǎng)，并在它們之間提供保護層。

4）參與制定標準。在宏觀層面上，你能做的最好事情就是確保長期運行的物聯(lián)網(wǎng)安全，這涉及到在你的特定行業(yè)和整個科技行業(yè)制定標準。