日前,中國互聯(lián)網(wǎng)安全大會(ISC2015)在國家會議中心落幕。大會期間,物聯(lián)網(wǎng)安全再度成為眾多與會大咖關(guān)注和熱議的話題。針對物聯(lián)網(wǎng)設(shè)備安全的脆弱現(xiàn)狀,美國中佛羅里達大學(xué)電子工程與計算機系教授金意兒認為,需建立自動化的設(shè)備安全監(jiān)測框架和工具鏈,以快速檢測任意物聯(lián)網(wǎng)設(shè)備,并生成有針對性的低成本解決方案。
圖說:金意兒在ISC全球互聯(lián)網(wǎng)安全精英峰會上演講。
“我們不想等到真正黑客攻擊你的設(shè)備讓你感到后悔,而是我們扮演著一個黑客,或者幫助某一個公司技術(shù)人員變成一個黑客,黑他們自己公司的設(shè)備,最終解決他們的安全問題,而不是等到這個問題被新聞媒體報道為止。”在ISC閉幕全球互聯(lián)網(wǎng)安全精英峰會上,金意兒帶來了題為《智能還是安全:物聯(lián)網(wǎng)安全與保護》的演講,并提出所有物聯(lián)網(wǎng)設(shè)備都應(yīng)該為了安全而設(shè)計,而非為了設(shè)計而安全。
這一觀點的提出與時下物聯(lián)網(wǎng)飛速發(fā)展的背景緊密相連。ISC大會名譽主席、中國工程院院士鄔賀銓在大會開幕致辭中便提到,隨著物聯(lián)網(wǎng)時代的來臨,接入互聯(lián)網(wǎng)的設(shè)備也呈現(xiàn)爆發(fā)式增長,2015年全球連接到互聯(lián)網(wǎng)上的設(shè)備將達49億臺,而到2020年將超過 260 億臺。隨著互聯(lián)網(wǎng)+計劃的推進,傳統(tǒng)行業(yè)逐步數(shù)據(jù)化、在線化、移動化、遠程化;人、企業(yè)、社會服務(wù)甚至整個世界都與網(wǎng)絡(luò)深度綁定,將產(chǎn)生巨量連接和巨量數(shù)據(jù)。
鄔賀銓強調(diào),當(dāng)海量人、設(shè)備和服務(wù)連接到互聯(lián)網(wǎng)后,其存在的安全風(fēng)險對于整個網(wǎng)絡(luò)空間的影響將是災(zāi)難性的,由于網(wǎng)絡(luò)世界與現(xiàn)實物理世界深度融合,網(wǎng)絡(luò)世界的安全威脅也將更深地影響到現(xiàn)實世界。
而基于物聯(lián)網(wǎng)層面,薄弱的硬件設(shè)備安全現(xiàn)狀會對現(xiàn)實世界產(chǎn)生哪些影響?金意兒給出了答案,他將物聯(lián)網(wǎng)安全威脅劃分為4個層面——安全考量、隱私考量、人身安全考量和國家戰(zhàn)略安全考量。
具體而言,智能冰箱、電視能被遠程控制發(fā)送垃圾郵件,智能手環(huán)被遠程監(jiān)控可能讓竊賊了解你的作息模式并伺機作祟……從早期的ThingBot威脅到個人隱私被竊取,類似的硬件漏洞已是屢見報端。更加令人心生憂慮的是,物聯(lián)網(wǎng)設(shè)備可能造成人身安全和國家戰(zhàn)略安全層面的威脅。
金意兒舉例稱,比如智能汽車被破解,攻擊者遠程可隨意操縱汽車,乘客安全無法保障;還有曝光尚少的醫(yī)療設(shè)備,“美國FDA(美國食品藥品監(jiān)督管理局)不久前下架一款醫(yī)療注射產(chǎn)品,這是個很有趣的例子,因為黑客并沒有把這個漏洞報給醫(yī)療公司,而是報給了黑客大會,由黑客大會逐步傳到FDA耳朵里,再有FDA命令這款設(shè)備下降。這對公司是個很大的打擊,也從側(cè)面反映了這個公司沒有把安全作為很強的考慮。”
演講現(xiàn)場,金意兒還以電網(wǎng)實驗為例,展示了硬件安全對工控系統(tǒng)的重要影響。視頻顯示,實驗者遠程操控了發(fā)電機組的一些固件,結(jié)果整個發(fā)電機組被燒毀癱瘓。實驗報回給美國國土安全部之后,引起強烈反響,“因為大家第一次從實際活生生的例子看到,對于固件或者從網(wǎng)絡(luò)層面、軟件層面的攻擊是可以導(dǎo)致硬件的問題。”
金意兒表示,對特定智能設(shè)備的攻擊,使得工業(yè)級的危害成為可能。而未來,由于設(shè)備激增、設(shè)計周期短、缺乏有效的安全規(guī)范和準(zhǔn)則等因素,物聯(lián)網(wǎng)設(shè)備面臨著缺乏有效安全保護的挑戰(zhàn)。解決之道則在于,廠商理解物聯(lián)網(wǎng)的安全隱患,并定義“設(shè)計準(zhǔn)則”來消除、減弱這些安全隱患。
同時,金意兒提出,應(yīng)當(dāng)建立自動化的設(shè)備安全監(jiān)測框架和工具鏈,以快速檢測任意物聯(lián)網(wǎng)設(shè)備,并自動生成有針對性的低成本解決方案,最終幫助設(shè)備實現(xiàn)“為了安全而設(shè)計”。
據(jù)悉,中國互聯(lián)網(wǎng)安全大會是由中國互聯(lián)網(wǎng)協(xié)會和360互聯(lián)網(wǎng)安全中心共同創(chuàng)辦于2013年,經(jīng)過3年發(fā)展已經(jīng)成長為亞太地區(qū)規(guī)模最大、最具影響的網(wǎng)絡(luò)安全行業(yè)盛會。主題為“數(shù)據(jù)驅(qū)動安全”的2015中國互聯(lián)網(wǎng)安全大會(ISC 2015)9月29日~30日在北京國家會議中心舉行,在為期兩天的會議中,來自中國、美國、以色列、澳大利亞、韓國、新加坡等國家的120位全球頂級安全專家,在中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會、全球互聯(lián)網(wǎng)安全精英峰會和13個分論壇上圍繞110個議題分享最新的研究成果和行業(yè)洞見,深入交流全球信息安全最新發(fā)展趨勢,共同探討網(wǎng)絡(luò)安全行業(yè)未來。