物聯(lián)網(wǎng)提供不拘泥于任何場合,任何時間的應(yīng)用場景與用戶的自由互動,依托云服務(wù)平臺和互通互聯(lián)的嵌入式處理軟件,弱化技術(shù)色彩,強化與用戶之間的良性互動,更佳的用戶體驗,更及時的數(shù)據(jù)采集和分析建議,更自如的工作和生活。那么在物聯(lián)網(wǎng)觸發(fā)的哪個市場最有可能誕生新一輪的BAT呢?
光“大”不足以成為BAT,想要成為BAT必須身處戰(zhàn)略要道。除了時下火熱的人工智能、共享經(jīng)濟、XaaS,還有一個老生常談、又常談常新的領(lǐng)域,在不知不覺中已經(jīng)發(fā)生了質(zhì)變,它就是正在從“科技”走向“文化”的物聯(lián)網(wǎng)安全。
一如19世紀末,被經(jīng)典物理體系認為是“大廈已經(jīng)建成,只剩修修補補”的兩朵烏云,最終推開了量子力學(xué)的全新大門。如今,在大多數(shù)公司熟視無睹或束手無策、在巨頭們視之為配角、處于價值洼地但內(nèi)涵已經(jīng)被重新定義的物聯(lián)網(wǎng)安全領(lǐng)域,正在醞釀著新生的BAT。
永遠不要覺得物聯(lián)網(wǎng)安全事件離你很遠,如果你自認為有足夠的能力和免疫力應(yīng)對各種安全漏洞,呵呵,“萬物病毒”算是找對人了。
物聯(lián)網(wǎng)安全已經(jīng)遠遠超出了互聯(lián)網(wǎng)安全的范疇,重要的事情說三遍,物聯(lián)網(wǎng)安全不是涼菜,不是咸菜,不是配菜,它是主菜中的硬菜。
人工智能掀起第三次世界大戰(zhàn)?先過了物聯(lián)網(wǎng)安全這關(guān)再說
腦部神經(jīng)元樹突跌宕起伏(“說人話!”“哦,腦洞大開”)的特斯拉CEO馬斯克一直致力于揭穿AI崛起的“陰謀”,本周再放絕句:人工智能可能引發(fā)第三次世界大戰(zhàn)。馬斯克的這個警告與俄羅斯總統(tǒng)普京在上個周五發(fā)表的人工智能觀點遙相呼應(yīng)。普京說,誰能成為人工智能領(lǐng)域的領(lǐng)導(dǎo)者,世界格局就可能被誰重塑。
馬斯克認為目前各國對人工智能統(tǒng)治權(quán)的爭奪可能引發(fā)第三次世界大戰(zhàn),而人工智能時代的戰(zhàn)爭并不是由某國領(lǐng)導(dǎo)人發(fā)起的,一切都將實現(xiàn)自動化。人工智能會自動規(guī)劃戰(zhàn)略,自動部署戰(zhàn)術(shù),找出獲勝幾率最高的戰(zhàn)法。
說話之時,也許馬斯克忘了,早在2014年,特斯拉電動汽車被首次攻破之后,已經(jīng)屢屢用親身實踐證明,黑客可以遠程控制汽車,輕而易舉的完成開鎖、鳴笛等操作。
現(xiàn)實情況是,比“萬物互聯(lián)”更先到來的是“萬物皆危”,如果說,擔(dān)心第三次世界大戰(zhàn)“人工智能”上場是杞人憂天,那么密集的物聯(lián)網(wǎng)漏洞和活生生的病毒卻已日漸白熾化了。
最近由丹麥技術(shù)大學(xué)、厄勒布魯大學(xué)、俄羅斯因諾波利斯大學(xué)等機構(gòu)聯(lián)合完成的研究“The Internet of Hackable Things”(本宮譯作“萬物互危”),量化了物聯(lián)網(wǎng)設(shè)備的風(fēng)險:
各國政府都已經(jīng)意識到了物聯(lián)網(wǎng)安全是致命短板,紛紛出臺相關(guān)的法案。本周一,美國國會通過了一項法案,目的是要求向美國政府出售的物聯(lián)網(wǎng)設(shè)備必須滿足某些安全標準。在此之前,美國國土安全部(DHS)已經(jīng)發(fā)布了《物聯(lián)網(wǎng)安全指導(dǎo)原則》。歐盟委員會也正在起草新的網(wǎng)絡(luò)安全標準,主要針對物聯(lián)網(wǎng)設(shè)備劃分網(wǎng)絡(luò)安全等級。
在接受采訪時,美國政府官員憂心忡忡的說:“或許在未來的幾年里很快就會誕生大約200億的物聯(lián)網(wǎng)設(shè)備,聯(lián)邦政府使用了其中的數(shù)百萬套。更要命的是幾乎所有設(shè)備都采用硬密碼而且無法在線升級,很顯然我們會遇到巨大的麻煩。”
物聯(lián)網(wǎng)安全已經(jīng)上升到了國家戰(zhàn)略的高度,可見“萬物皆危”的殺傷力和攻擊力有多恐怖。
無疑,物聯(lián)網(wǎng)正在驅(qū)動新一輪的行業(yè)變革,但是在很多行業(yè)中,安全需求不同,各行業(yè)安全方案既不全面也不成熟,在安全風(fēng)險評估及應(yīng)對方面并沒有明確的思路,換言之,當(dāng)下物聯(lián)網(wǎng)公司的安全現(xiàn)狀就是一盤散沙,孱弱地不堪一擊。
從當(dāng)前標準和聯(lián)盟組織的進展來看,物聯(lián)網(wǎng)安全尚處于起步階段,以指南和框架為主,能夠用于指導(dǎo)產(chǎn)業(yè)落地的具體技術(shù)標準非常缺乏。整個產(chǎn)業(yè)急需標準和聯(lián)盟組織加大相關(guān)安全標準的投入,以加快安全標準的輸出,促使物聯(lián)網(wǎng)產(chǎn)業(yè)的健康、快速發(fā)展。
互聯(lián)網(wǎng)安全一心“謀財”,物聯(lián)網(wǎng)安全直接“害命”
物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的本質(zhì)區(qū)別在于,物聯(lián)網(wǎng)是一個自我運轉(zhuǎn)的生態(tài)系統(tǒng),物聯(lián)網(wǎng)中的“物物”更逼近生物屬性。創(chuàng)造物聯(lián)網(wǎng)安全市場的“工匠”只有一個:人性的惡。人性中的“惡”有多大,物聯(lián)網(wǎng)安全市場的規(guī)模就有多大。雖然IDC、Gartner、麥肯錫、CB Insights等機構(gòu)紛紛發(fā)布物聯(lián)網(wǎng)安全市場規(guī)模的研究報告,但是參考意義不大,因為人性中的惡已經(jīng)超出了科學(xué)所能統(tǒng)計和預(yù)測的范疇,物聯(lián)網(wǎng)安全除了技術(shù),還有藝術(shù)和文化。
物聯(lián)網(wǎng)安全和互聯(lián)網(wǎng)安全絕非一個量級,完全沒有可比性。Mirai、Hajime、BrickerBot、WannaCry、“永恒之藍”等病毒動不動就在幾十分鐘攻克數(shù)以萬計的設(shè)備,這樣的報道估計你已經(jīng)聽膩了,這里再來兩個奇葩的給你換換口味。
一名黑客最近通過魚缸入侵了一家賭場。這個倒霉的賭場剛好用智能魚缸養(yǎng)魚,因為它可以自動配置水溫和清潔度。黑客通過入侵魚缸的傳感器,進而控制了計算機,然后進行掃描,發(fā)現(xiàn)漏洞后進入了賭場網(wǎng)絡(luò)中的其它部分。該黑客成功的在被發(fā)現(xiàn)并制止之前,利用魚缸把賭場10GB數(shù)據(jù)傳回位于芬蘭的一臺設(shè)備上。
OfO小黃車的最新款智能鎖被兩個黑客輕松破解。原來這種鎖一般人拆解不了,因為芯片特別小,黑客們用特殊工具把里面的關(guān)鍵芯片取了出來,花了一個星期進行“反向設(shè)計”。他們分析出了加密方式,可以在用戶關(guān)鎖時,在鎖和云端的通訊過程中,成功劫取通訊信號。他們還可以做到將獲得密碼的機制修改成“不認識”云端發(fā)送的正確密碼,但其他任意密碼都可打開車鎖。這意味著,“遵紀守法”的用戶開不了鎖,其他別有用心的用戶反倒分分鐘開鎖。
除了消費產(chǎn)品領(lǐng)域,醫(yī)院、加油站、工廠、市政設(shè)施等聯(lián)網(wǎng)設(shè)備,更是物聯(lián)網(wǎng)安全的重災(zāi)區(qū)。設(shè)備遭受攻擊的風(fēng)險越來越高,工業(yè)物聯(lián)網(wǎng)領(lǐng)域也難以幸免。
如你所見,工業(yè)物聯(lián)網(wǎng)領(lǐng)域并不是高枕無憂,安全漏洞更是數(shù)不勝數(shù)。截至2016年12月,據(jù)國家信息安全漏洞共享平臺(CNVD)、美國CVE、ICS-CERT、NVD等機構(gòu)發(fā)布的漏洞數(shù)據(jù),與工業(yè)控制系統(tǒng)相關(guān)的漏洞達到984個。
工業(yè)物聯(lián)網(wǎng)相關(guān)漏洞涉及到的廠商分布廣泛,國內(nèi)有三維天地、南京舜唐、騰控、北京杰控、三維力控等,國外有西門子、霍尼韋爾、施耐德等。在各廠商漏洞中,影響程度最嚴重的高危漏洞占比較高。這些高危漏洞可導(dǎo)致設(shè)備拒絕服務(wù)、遠程代碼執(zhí)行等,一旦被利用可直接導(dǎo)致工控設(shè)備非正常停機,進而引發(fā)生產(chǎn)事故。
就具體應(yīng)用領(lǐng)域而言,安防監(jiān)控是工業(yè)互聯(lián)網(wǎng)的典型應(yīng)用之一。據(jù)CVE、CNVD和CNNVD等漏洞庫的數(shù)據(jù)統(tǒng)計,他們在超過33個廠商的網(wǎng)絡(luò)攝像頭和DVR設(shè)備中累計發(fā)現(xiàn)了大約61個安防監(jiān)控設(shè)備漏洞。安防監(jiān)控設(shè)備的漏洞主要集中于??低暋⒋笕A、宇視、TP-Link、D-link、Airlive、Cisco等知名廠商。
安防監(jiān)控設(shè)備的漏洞的類型多樣,漏洞類型主要集中在弱口令、信息泄露漏洞、權(quán)限許可和訪問控制、跨站請求偽造漏洞等。其中弱口令占所有漏洞中的34.40%,占比最高,而弱口令漏洞也是以Mirai為代表的物聯(lián)網(wǎng)蠕蟲可以大范圍感染物聯(lián)網(wǎng)設(shè)備的主因。
物聯(lián)網(wǎng)安全是一個復(fù)雜度極高的領(lǐng)域,除了針對電腦和手機的攻擊之外,各種具備“智商”的設(shè)備都變成了病毒肆虐的對象,而且這些物體對個人生活和企業(yè)運營的影響最為直接。不受控制的水管、毫無響應(yīng)的發(fā)電廠、橫沖直撞的汽車、驟起驟停的心臟智能起搏器…不管你承認與否,不管你是物聯(lián)網(wǎng)從業(yè)者還是普通消費者,還是做好這輩子至少會遇到一次物聯(lián)網(wǎng)安全事件的心理準備。