9月28日,加州州長簽署了加州SB327法令,這是美國第一部授權(quán)物聯(lián)網(wǎng)(IoT)設(shè)備制造安全條款的法律(有一部類似的、但范圍更廣的聯(lián)邦法案叫做《物聯(lián)網(wǎng)2017年網(wǎng)絡(luò)安全改進(jìn)法案》),由國土安全和政府事務(wù)委員會負(fù)責(zé),我沒有看到該委員會最近有什么動向。
新的加州法律規(guī)定,連接設(shè)備必須具有合理的安全特性。這意味著物聯(lián)網(wǎng)設(shè)備制造商可能需要開始提供唯一的預(yù)編程設(shè)備密碼(而不是默認(rèn)密碼),或者在首次授予設(shè)備訪問權(quán)限之前增加強(qiáng)制用戶進(jìn)行身份驗證的功能。加州現(xiàn)有的法律已經(jīng)迫使企業(yè)實施和維持與收集數(shù)據(jù)的性質(zhì)相適應(yīng)的合理的網(wǎng)絡(luò)安全程序,但新的法律專門適用于事務(wù)。我看到新法律的批評者指出,這些要求含糊不清,忽視了加密,也沒有解決助長這一問題的潛在不良做法。
但幾乎每個人都認(rèn)同現(xiàn)在存在的問題。安全狀況不佳的物聯(lián)網(wǎng)設(shè)備的使用助長了Mirai僵尸網(wǎng)絡(luò)(Botnet 是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序病毒,從而在控制者和被感染主機(jī)之間所形成的一個可一對多控制的網(wǎng)絡(luò))。在2016年破壞性的網(wǎng)絡(luò)攻擊,造成了無數(shù)其他網(wǎng)絡(luò)安全的噩夢。在過去的幾周里,據(jù)報道一個新的Hakai物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)正在發(fā)展成為一種迫在眉睫的威脅,甚至產(chǎn)生了兩個不同的基于Hakai的變種,這些惡意軟件正在網(wǎng)上傳播。這些小程序主要由被劫持的物聯(lián)網(wǎng)設(shè)備提供動力。加州這部將于2020年生效的法律是否會對遏制這一問題產(chǎn)生任何影響仍有待觀察,但它表明,信息安全部門以外的人現(xiàn)在也在關(guān)注事務(wù)的安全,以及生活在智能和互聯(lián)世界中的影響。
雖然像Mirai這樣的僵尸網(wǎng)絡(luò)很大程度上是由被征用的消費(fèi)者物聯(lián)網(wǎng)設(shè)備驅(qū)動的,并被用于拒絕服務(wù)(DoS)網(wǎng)絡(luò)攻擊,但工業(yè)物聯(lián)網(wǎng)(IIoT)網(wǎng)絡(luò)威脅背后的動機(jī)可能對企業(yè)的利潤構(gòu)成更大的威脅。我看到了IIoT支持的制造業(yè)的特殊弱點,例如,Industry4.0鼓勵了供應(yīng)鏈中信息技術(shù)系統(tǒng)、設(shè)備和云資源的大規(guī)模整合。而現(xiàn)在,運(yùn)營能力和知識產(chǎn)權(quán)都受到威脅。
最近的Vectra《2018年工業(yè)專題報告》指出,工業(yè)遭受了大量的惡意內(nèi)部網(wǎng)絡(luò)活動、橫向移動和偵察活動(盡管他們是一家網(wǎng)絡(luò)安全公司);Deloitte在最近的一篇文章中也談到了這些漏洞。這表明攻擊者已經(jīng)滲透到這些網(wǎng)絡(luò)中,正在窺探關(guān)鍵資產(chǎn)或試圖破壞基礎(chǔ)設(shè)施。攻擊者可以利用持有者不小心部署下的不安全的IIoT設(shè)備和薄弱(或不存在)內(nèi)部網(wǎng)絡(luò)控制,輕松進(jìn)入這些網(wǎng)絡(luò)。
廣泛執(zhí)行更好的設(shè)備安全最佳做法的法律可能是解決這一問題的一種辦法,但援助也可能來自更具創(chuàng)新性的方面。區(qū)塊鏈技術(shù)作為一個分布式數(shù)據(jù)庫,以加密和不變的方式記錄在系統(tǒng)中移動的每一個數(shù)據(jù)塊,它可能為我們連接的設(shè)備指明一個更安全的未來。 區(qū)塊鏈 很難被欺騙。從理論上講,它的對等結(jié)構(gòu)、去中心化結(jié)構(gòu)和對共識的依賴使其更難破解。根據(jù)我的觀察,基本上沒有中央控制可以進(jìn)入,也沒有驗證者來愚弄。例如,攻擊者可能會以數(shù)字方式強(qiáng)行進(jìn)入一家公司的一個安全性較差的IIoT路由器。但是,試圖使用該入口點操作或與網(wǎng)絡(luò)中的其他節(jié)點進(jìn)行交互的嘗試可能會在區(qū)塊鏈模型中受到阻礙。在這種情況下,被攻擊路由器的哈?;顒佑涗泴⒉辉倥c網(wǎng)絡(luò)中的其他活動相匹配,并且無法實現(xiàn)一致驗證。
目前正在進(jìn)行許多規(guī)模較小的初步研究,包括對物聯(lián)網(wǎng)安全問題進(jìn)行一次2018年的審查(需要注冊),以及對智能家居的區(qū)塊鏈安全進(jìn)行2017年的案例研究(需要注冊),并且已經(jīng)成立了聯(lián)盟,試圖將區(qū)塊鏈安全應(yīng)用于物聯(lián)網(wǎng)和IIoT網(wǎng)絡(luò)。但可行性分析的狀況不太樂觀。希望進(jìn)一步深入研究環(huán)境的科技領(lǐng)袖和創(chuàng)新者最好能探索Hyperledger或以太坊社區(qū),以了解新出現(xiàn)的能力和概念證明。
區(qū)塊鏈仍然是一項相對較年輕的技術(shù),目前它在規(guī)模和速度上面臨著限制,這在現(xiàn)代IIoT的部署中是必不可少的,但它的模式顯示出了希望。我相信,無論是誰發(fā)現(xiàn)了解決這些限制的辦法,都會賺到一大筆錢,并得到一百萬IT經(jīng)理的感激。而遵循類似邏輯的解決方案值得我們考慮。從傳統(tǒng)的客戶端-服務(wù)器模式轉(zhuǎn)向新興技術(shù)的想法可能是未來的唯一選擇。同時,我認(rèn)為減輕安全問題的最好方法是實際實施網(wǎng)絡(luò)安全(就像美國計算機(jī)應(yīng)急準(zhǔn)備計劃所概述的那樣),定期進(jìn)行審計、管理和監(jiān)控訪問、利用分層防御等等。實際上,我們中很少有人這樣做,攻擊者也知道這一點。
有一件事是肯定的:我們現(xiàn)在做事情的方式太冒險了。無論立法者在設(shè)備安全方面做了什么或不做什么,物聯(lián)網(wǎng)工業(yè)都必須加強(qiáng)應(yīng)對這一威脅。