物聯(lián)網(wǎng)安全

開(kāi)始正文前，讓我們做一個(gè)小小的思考——你每天會(huì)和哪些聯(lián)網(wǎng)設(shè)備打交道？

半刻無(wú)法離身的手機(jī)、工作必需品電腦、公司辦公室的機(jī)房、地鐵出入口的閘機(jī)、機(jī)場(chǎng)塔臺(tái)的雷達(dá)、晚間消遣的電視機(jī)頂盒、樓下便利店的收銀系統(tǒng)……

是的，正如你感受的那樣，我們正在快速步入萬(wàn)物互聯(lián)的時(shí)代！這給我們帶來(lái)了無(wú)盡的便利，但風(fēng)險(xiǎn)也與之俱來(lái)。

據(jù)高德納咨詢公司（Gartner）的數(shù)據(jù)顯示，到 2020 年，互聯(lián)設(shè)備（不含個(gè)人電腦、智能手機(jī)和平板電腦）總數(shù)將達(dá)260億臺(tái)，物聯(lián)網(wǎng)產(chǎn)品和服務(wù)供應(yīng)商將創(chuàng)造超3000億美元的增量收入。

在諸多行業(yè)，物聯(lián)網(wǎng)正不斷催生創(chuàng)新模式，為商業(yè)世界帶來(lái)巨大價(jià)值。例如，特斯拉的工程師僅僅通過(guò)軟件更新，就可以修復(fù)3萬(wàn)輛汽車(chē)的設(shè)備故障，避免汽車(chē)召回所產(chǎn)生的高昂成本。

然而另一方面，在制造、醫(yī)療、零售、交通等領(lǐng)域，智能互聯(lián)設(shè)備控制著全球大部分核心基礎(chǔ)設(shè)施，一旦出現(xiàn)安全漏洞，后果不堪設(shè)想。

要規(guī)避和預(yù)防安全風(fēng)險(xiǎn)，首先我們需要詳細(xì)了解各行業(yè)的安全要求以及應(yīng)對(duì)難點(diǎn)。本文中，小A以工業(yè)控制系統(tǒng)、互聯(lián)汽車(chē)、無(wú)人機(jī)以及零售四個(gè)領(lǐng)域?yàn)槔信e物聯(lián)網(wǎng)帶來(lái)的安全挑戰(zhàn)和應(yīng)對(duì)建議。

工業(yè)控制系統(tǒng)

維護(hù)代價(jià)高

在工業(yè)制造領(lǐng)域，許多工業(yè)控制系統(tǒng)都通過(guò)軟件進(jìn)行高度復(fù)雜和精確的控制，這就為網(wǎng)絡(luò)攻擊者提供了可攻擊目標(biāo)。攻擊者可通過(guò)修改控制設(shè)置或傳感器數(shù)值，擾亂生產(chǎn)或嚴(yán)重破壞設(shè)備，嚴(yán)重時(shí)可導(dǎo)致機(jī)械損毀或造成人員傷亡。

大型工業(yè)控制系統(tǒng)往往規(guī)模巨大，安裝此類(lèi)系統(tǒng)代價(jià)高昂，其使用年限通常高達(dá)20年甚至更久。當(dāng)安全人員發(fā)現(xiàn)了嚴(yán)重漏洞，更新生產(chǎn)系統(tǒng)通常會(huì)影響生產(chǎn)；如果技術(shù)人員提前多月安排維護(hù)窗口用于更新系統(tǒng)，以避免系統(tǒng)運(yùn)行中斷，則可能導(dǎo)致響應(yīng)緩慢。

互聯(lián)汽車(chē)

需要實(shí)時(shí)補(bǔ)丁

汽車(chē)行業(yè)長(zhǎng)期以來(lái)一直使用電子控制單元，通過(guò)傳感器和執(zhí)行器監(jiān)控并控制引擎性能和廢氣排放，同時(shí)通過(guò)牽引力控制、防抱死制動(dòng)、電子穩(wěn)定控制、預(yù)緊式安全帶和安全氣囊的軟件控制系統(tǒng)改善汽車(chē)安全。

目前，車(chē)載娛樂(lè)系統(tǒng)已經(jīng)實(shí)現(xiàn)了和移動(dòng)設(shè)備無(wú)縫整合，連接方案和控制系統(tǒng)已成為現(xiàn)代汽車(chē)的一部分，制造商日益認(rèn)識(shí)到需要保障這些系統(tǒng)的安全性，尤其是對(duì)控制汽車(chē)實(shí)際運(yùn)行的設(shè)備無(wú)線更新。

需要警惕的是，由于每天都有新的軟件漏洞出現(xiàn)，企業(yè)需要具備更優(yōu)異的物聯(lián)網(wǎng)響應(yīng)方式。與傳統(tǒng)的IT設(shè)備或消費(fèi)者技術(shù)不同，許多物聯(lián)網(wǎng)設(shè)備并沒(méi)有用于下載和安裝安全更新的交互界面，在消費(fèi)者領(lǐng)域，這種情況更加嚴(yán)重。

無(wú)人機(jī)

飛行器還是武器

越來(lái)越多的機(jī)構(gòu)計(jì)劃利用無(wú)人飛行器或無(wú)人機(jī)，收集難以接近或高度危險(xiǎn)區(qū)域的數(shù)據(jù)。然而，為無(wú)人機(jī)配備高分辨率相機(jī)和秘密放飛無(wú)人機(jī)的行為，也帶來(lái)了隱私方面的擔(dān)憂。

遠(yuǎn)距離讀取射頻識(shí)別標(biāo)簽或低功耗藍(lán)牙信標(biāo)，足以讓使用者對(duì)地點(diǎn)或個(gè)人進(jìn)行定位，并通過(guò)搭載監(jiān)視器、攝像頭等設(shè)備，“監(jiān)視”個(gè)人行為和數(shù)據(jù)。同時(shí)，無(wú)人機(jī)越來(lái)越強(qiáng)的負(fù)載能力也帶來(lái)了新的安全威脅——如果載有炸藥或槍支，商用無(wú)人機(jī)也可能變成攻擊工具。

此外，無(wú)人機(jī)的“散養(yǎng)模式”也對(duì)民航造成了不小的干擾。2017年以來(lái)，無(wú)人機(jī)擾航事件僅在西南地區(qū)就發(fā)生了十多起。

4月21日，成都雙流國(guó)際機(jī)場(chǎng)就遭遇4架“黑飛”無(wú)人機(jī)干擾，導(dǎo)致58個(gè)航班備降外地，4架飛機(jī)返航，逾萬(wàn)名旅客滯留機(jī)場(chǎng)。

互聯(lián)零售

數(shù)據(jù)泄露風(fēng)險(xiǎn)

在零售領(lǐng)域，物聯(lián)網(wǎng)為企業(yè)帶來(lái)了新的價(jià)值增長(zhǎng)點(diǎn)。云計(jì)算的出現(xiàn)使得“平臺(tái)即服務(wù)”和“軟件即服務(wù)”等構(gòu)想成為現(xiàn)實(shí)；物聯(lián)網(wǎng)則使得企業(yè)與供應(yīng)商和消費(fèi)者的關(guān)系日益緊密。

這一方面幫助公司更深入地了解其客戶和消費(fèi)者行為；但另一方面，各實(shí)體機(jī)構(gòu)可以分析或者濫用消費(fèi)者的消費(fèi)行為信息、地址、甚至生物識(shí)別信息。

點(diǎn)擊大圖，了解高級(jí)物聯(lián)網(wǎng)架構(gòu)下，攻擊者攻擊物聯(lián)網(wǎng)各部分的方式

為了安全地運(yùn)用新興的物聯(lián)網(wǎng)技術(shù)，數(shù)字企業(yè)需要正確地認(rèn)知周遭環(huán)境并自動(dòng)對(duì)變化作出反應(yīng)。

? 打造信任基礎(chǔ)

在系統(tǒng)的初始配置階段，設(shè)計(jì)師應(yīng)內(nèi)置運(yùn)行控件，以驗(yàn)證所有部件的行為都遵循預(yù)期運(yùn)行規(guī)范；設(shè)計(jì)活動(dòng)應(yīng)包括對(duì)系統(tǒng)威脅和風(fēng)險(xiǎn)狀況的全面分析；針對(duì)極有可能導(dǎo)致嚴(yán)重后果的威脅，企業(yè)還應(yīng)改善相應(yīng)的工程設(shè)計(jì)流程，同時(shí)制定應(yīng)急計(jì)劃。

? 應(yīng)用全新思維

企業(yè)需要不斷監(jiān)控物聯(lián)網(wǎng)的運(yùn)行和安全狀況，并設(shè)計(jì)出能修復(fù)故障的解決方案，側(cè)重于增強(qiáng)系統(tǒng)的適應(yīng)能力。

? 創(chuàng)建威脅模型

物聯(lián)網(wǎng)會(huì)催生新的商業(yè)模式，為了提高安全程序的成效，確定業(yè)務(wù)目標(biāo)和安全運(yùn)行之間的聯(lián)系十分必要。企業(yè)應(yīng)量身定制威脅模型，對(duì)潛在的物聯(lián)網(wǎng)安全威脅排序，并識(shí)別傳統(tǒng)控制方法無(wú)法應(yīng)對(duì)的盲點(diǎn)。

? 建立經(jīng)驗(yàn)儲(chǔ)備

盡管物聯(lián)網(wǎng)系統(tǒng)和應(yīng)用程序與移動(dòng)和信息物理系統(tǒng)平臺(tái)有所關(guān)聯(lián)，但兩者并不完全相同。即便如此，企業(yè)還是應(yīng)從這些物聯(lián)網(wǎng)先驅(qū)者們遇到過(guò)的困難和教訓(xùn)中汲取經(jīng)驗(yàn)。

? 樹(shù)立并使用新標(biāo)準(zhǔn)

企業(yè)應(yīng)從其他合作企業(yè)處了解新標(biāo)準(zhǔn)，甚至應(yīng)考慮加入標(biāo)準(zhǔn)團(tuán)體和小組，以適應(yīng)如今技術(shù)創(chuàng)新日新月異的世界。比如在收集數(shù)據(jù)時(shí)，為數(shù)據(jù)集創(chuàng)建訪問(wèn)和授權(quán)權(quán)限。在日常流程中，持續(xù)教育系統(tǒng)用戶，讓他們了解日益復(fù)雜的網(wǎng)絡(luò)欺詐和社會(huì)工程攻擊。

當(dāng)然，在商業(yè)世界，沒(méi)有絕對(duì)的安全。但企業(yè)和用戶需要保持警惕，對(duì)不同領(lǐng)域中的端到端安全擔(dān)負(fù)起最終責(zé)任，才能共同捍衛(wèi)物聯(lián)網(wǎng)世界的和平。

此文改編自埃森哲《展望》文章《物聯(lián)網(wǎng)時(shí)代更需要安全護(hù)航》