物聯(lián)網(wǎng)(Internet of Things，IoT)是否會帶給我們安全的風險?但愿答案是否定的。但是，根據(jù)IBM和Intel安全專家的觀點，物聯(lián)網(wǎng)時代已經(jīng)來臨，CIO必須把安全防護放到重要位置。

在不遠的將來，可能智能家電會被黑客入侵，導致整個家庭都完全失控：前門被人從遠程打開，冰箱上的恒溫器被重置導致食物腐壞，電燈被反復開關，各種垃圾廣告被發(fā)送到眼鏡、手表和跑步機上。

“這些其實都算不上什么，真正的危害正在迫近。”在最近舉行的馬薩諸塞技術領導力委員會物聯(lián)網(wǎng)會議上，Intel的應用安全首席架構師和技術官Andy Thurai表示。

實際上，在物聯(lián)網(wǎng)的世界中，任何連接到網(wǎng)絡上的人或者物都可能被遠程侵入，這也賦予了恐怖攻擊這個詞全新的含義。比如，醫(yī)院設備被侵入，從而危及人們的生命;一個城市的交通控制中樞遭到服務拒絕攻擊;對電網(wǎng)的攻擊可能會導致人們斷電數(shù)日之久。據(jù)Thurai舉例，安全顧問公司 Red Tiger Security就已經(jīng)標識出了美國能源領域的38000個薄弱環(huán)節(jié)。

“在物聯(lián)網(wǎng)世界中，我們需要保護的東西太多了。”IBM的WebSphere產(chǎn)品管理副總裁Michael Curry表示。Curry和Thurai一起主持了大會的閉幕環(huán)節(jié)“物聯(lián)網(wǎng)世界帶來的安全新趨勢”。

對于這個連接無處不在的世界，安全保護是非常困難的。迄今為止已有的各種攻擊都會擴散到那些保護不夠或技術級別較低的基礎設施上。Curry認為，很多物聯(lián)網(wǎng)中潛在的受攻擊目標很難有物理層面的安全保障。至少到目前為止，很多設備上的電力供應無法滿足解密或認證的計算能耗需求，從而只能依賴于設備所連接到的云或者服務器架構來提供安全性。除此之外，更為重要的一點是，現(xiàn)在還沒有針對物聯(lián)網(wǎng)的、統(tǒng)一的安全標準。

由于存在著如此多的廠商、設備和協(xié)議，如果沒有一致的標準，很難制定出具有普適性的安全策略。Curry認為，安全標準最終會出現(xiàn)，但是之前仍需經(jīng)過一段漫長的等待。

即便標準已經(jīng)就位，物聯(lián)網(wǎng)的安全也是個不可能的任務。“我們可以做的，就是盡力降低風險。”Curry說：“但是，攻擊是無法杜絕的。安全的含義是評估風險并盡可能地在風險下運轉(zhuǎn)。”下面就是Curry關于物聯(lián)網(wǎng)安全的4個要素，CIO們可以據(jù)此來應對那些難以避免的攻擊和損害。

物聯(lián)網(wǎng)安全的4個要素

1. 物理設備安全

在Curry看來，已經(jīng)有一些非常不錯的防篡改技術。比如，在設備被盜之后立即切斷其網(wǎng)絡連接并銷毀所有數(shù)據(jù)。

另一個防篡改的技術是芯片廠商發(fā)明的安全啟動機制。在設備啟動時通過簽名機制檢查是否有什么東西與上次啟動時不一致。“如果發(fā)現(xiàn)有任何改變，設備就不會繼續(xù)啟動。”Curry說。

另一個例子是認證控制，讓設備只能在特定的地點或區(qū)域內(nèi)工作，或只能與服務器進行特定的連接。為此，還需要用遠程服務軟件來管理設備。

“這些事情都是非常復雜的。”Curry說：“當你面對成千上萬的設備時，難度可想而知。”

2.數(shù)據(jù)安全

“關于數(shù)據(jù)安全，最重要的是知道數(shù)據(jù)是什么。”Curry表示。設備上是否有個人識別信息(personally identifiable information，PII)?數(shù)據(jù)是否能夠識別出隱藏在服務器上的控制信息?而有些數(shù)據(jù)又是無關緊要可以完全公開的。因此，要根據(jù)數(shù)據(jù)類型和業(yè)務風險來制定安全策略。

“于是，事情又回到了剛才所說的，我們到底能承受多大的風險?”Curry說。

當CIO們面對敏感信息時，Curry強烈建議使用端到端的加密方案。

“如果只關注了傳輸?shù)膶用?，你可能會吧?shù)據(jù)緩存留在了設備或服務器上，這樣就會帶來數(shù)據(jù)外泄的風險。”Curry警告說。

應用層的策略也是極其重要的。“你需要審查內(nèi)容，梳理結(jié)構以確定得到的是自己所希望的數(shù)據(jù)。”Curry說。插入攻擊(injection attacks)可以將代碼附著在數(shù)據(jù)消息中，以此探知安全漏洞并篡改服務器的返回結(jié)果。

Curry 建議使用數(shù)據(jù)屏蔽(data masking)技術，即生成結(jié)構相似但不含認證信息(比如個人識別信息或其他敏感信息)的數(shù)據(jù)。有時，數(shù)據(jù)的泄露在你意想不到的環(huán)節(jié)發(fā)生，因此要從一開始就進行屏蔽。“只有這樣，你才可以不必擔心數(shù)據(jù)流到了不該去的地方。”Curry表示。

3.網(wǎng)絡安全

網(wǎng)絡方面的情況讓人感覺輕松些。“這是業(yè)界最為熟悉的領域，可能也是互聯(lián)網(wǎng)和移動技術中最為標準的環(huán)節(jié)。”Curry說。比如，端到端的授權策略對數(shù)據(jù)安全非常有用。

“對于特定設備能夠在服務器上進行什么操作，我們需要進行授權。同樣的，在反方向也需要進行授權。”Curry說。因此，雙向授權已經(jīng)是業(yè)界普遍的策略。

針對諸如服務拒絕之類的互聯(lián)網(wǎng)上的攻擊，同樣的工具可適用于物聯(lián)網(wǎng)。“真正的問題在于受攻擊的對象更多了，比如傳感器和計量器等設備。因此，你必須設法把這些易受拒絕服務攻擊的設備也納入到防護范圍之內(nèi)。”Curry解釋到。

4.事件監(jiān)視和響應

企業(yè)常犯的一個錯誤是沒有預想到最壞的情況。Curry認為，在物聯(lián)網(wǎng)的世界中，必須要時刻提醒自己會遭受攻擊。一旦形成了既定的認知，對于物聯(lián)網(wǎng)安全的戰(zhàn)略就會很自然地聚焦到事件監(jiān)視和響應上。

對于網(wǎng)絡中正在發(fā)生的一切，企業(yè)需要進行實時的監(jiān)視。一旦發(fā)現(xiàn)問題，就要立即采取隔離措施，比如關掉傳感器或者讓服務器離線。“你要做的就是在問題擴散之前將其隔離。”Curry說。

為了進行實時的監(jiān)視，企業(yè)需要對多個攻擊點上的信息進行綜合分析，了解當下的情況并識別出于正常情況的不同之處。

Curry所在IBM公司現(xiàn)在可以在30秒之內(nèi)識別出攻擊并進行隔離，進一步，IBM希望再把這個時間縮短。

附錄：隱私相關

企業(yè)必須設計opt-in機制，即便現(xiàn)在還沒有法律對此有強制的要求。Curry認為，這樣有助于形成一種商業(yè)上的意識，即讓用戶決定自己的數(shù)據(jù)是否能被采集。通過一些額外的好處，可以讓用戶答應opt-in，比如折扣、服務費削減或其他高級的服務。

另外，這方面的立法也已經(jīng)開始，而且企業(yè)也未必非得需要個人識別信息。“即便沒有個人識別信息，我們的分析工作也絲毫不受影響。”Curry表示。在他看來，那些到處販賣個人識別信息的搜索引擎，應該首先具備opt-in的政策;而對于那些主要關注建模的人，應該盡快去掉數(shù)據(jù)中的個人識別信息。