到2020年,如果500億或者更多設(shè)備與80億人共享同一個(gè)因特網(wǎng),數(shù)據(jù)安全最薄弱的環(huán)節(jié)將會(huì)出在某種程度上由人類掌控的機(jī)器上嗎?換一種說法,M2M網(wǎng)絡(luò)上的一個(gè)不那么智慧的客戶端將會(huì)成為未來惡意網(wǎng)絡(luò)活動(dòng)攻擊的目標(biāo)嗎?在巴塞羅那舉行的移動(dòng)世界大會(huì)(MWC)上,國際行動(dòng)安全公司(AdaptiveMobile)的安全顧問大膽地提出了這個(gè)問題,這些問題是值得關(guān)注的,并正在世界范圍內(nèi)引起共鳴、引發(fā)討論,包括舊金山的信息安全國際論壇。
另一方面,在某種重要程度上,這些問題正在被解決嗎?或者僅僅是被關(guān)注?今天下午,來自巴塞羅那讀寫網(wǎng)(ReadWriteWeb)的報(bào)道中,國際行動(dòng)安全公司的CathalMcDaid在為移動(dòng)世界大會(huì)準(zhǔn)備的一份新的報(bào)告中談到了這些問題中的某些部分。這份報(bào)告題為"M2M:未來的威脅?”,它對(duì)一個(gè)由相對(duì)簡單、單純的通信設(shè)備組成的全新的宇宙,是否會(huì)通過設(shè)計(jì)引發(fā)一個(gè)不穩(wěn)定的因特網(wǎng)提出了質(zhì)疑。
McDaid告訴讀寫網(wǎng)說:“我們對(duì)移動(dòng)網(wǎng)絡(luò)安全性的設(shè)定實(shí)際上是為人類設(shè)計(jì)的,比如,如果我發(fā)給你一條垃圾信息,你可能會(huì)向運(yùn)營商或者相關(guān)機(jī)構(gòu)舉報(bào)我們。但是,如果你是一個(gè)有形的移動(dòng)設(shè)備,我發(fā)一條垃圾信息給你,你根本不可能會(huì)去舉報(bào)它或采取類似的舉動(dòng),相反,你只會(huì)繼續(xù)程序。如果我發(fā)給你一千條或者上萬條信息,你將會(huì)有拒絕服務(wù)的可能性。所以,當(dāng)涉及安全性時(shí),我們?cè)噲D推進(jìn)的是有計(jì)劃地設(shè)置,并且要考慮到人與機(jī)器之間的互動(dòng)溝通。”
McDaid相信,通過M2M的介入,惡意攻擊的性質(zhì)將不再被復(fù)雜化或簡單化,而是會(huì)完全不同。McDaid說,那是因?yàn)樗鼈兪堑凸β试O(shè)備,M2M網(wǎng)絡(luò)上的自動(dòng)客戶端將不被允許運(yùn)行安全軟件。
低端產(chǎn)品將是脆弱的
國際行動(dòng)安全公司的報(bào)告在這一點(diǎn)上進(jìn)行了深入分析:“最新的智慧型手機(jī)和平板設(shè)備都具有復(fù)雜、高端的運(yùn)行系統(tǒng),足以保護(hù)設(shè)備并抵御最先進(jìn)的移動(dòng)通信安全威脅。不幸的是,并不是所有通過M2M技術(shù)構(gòu)建的物聯(lián)網(wǎng)的終端設(shè)備都同樣強(qiáng)大。許多M2M設(shè)備沒有優(yōu)良的驅(qū)動(dòng)系統(tǒng)和任何處理能力,通常只能完全投入在預(yù)先設(shè)定的功能中運(yùn)行,這意味著它們無法被置入安全軟件。”
McDaid列舉了一些數(shù)據(jù),表明二十分之一的網(wǎng)絡(luò)信息都是由機(jī)器發(fā)送給機(jī)器的。他說,包括通信規(guī)則在內(nèi)的解決方案,都是不成熟的,而不是像短消息業(yè)務(wù)(SMS)一樣簡單。據(jù)McDaid估計(jì),在未來20年內(nèi),當(dāng)消費(fèi)者為他們的移動(dòng)設(shè)備建立新的、更完備的通信規(guī)則時(shí),M2M交流可能不需要為可預(yù)見的未來升級(jí)格式。因此,在這個(gè)時(shí)間跨度內(nèi),將必須支持以往的規(guī)則,基于此來追尋機(jī)器間的通信安全。
正如他的報(bào)告內(nèi)容,McDaid說:“那些規(guī)則基本上是為人類設(shè)計(jì)的,智力的升級(jí)是不適用的。但是,如果M2M確實(shí)如McDaid預(yù)計(jì)的那般會(huì)帶來一個(gè)全新的時(shí)代的話,相關(guān)的技術(shù)發(fā)展難道不應(yīng)該幫助其提高可行性和可靠性嗎?McDaid的答案是"應(yīng)該,同時(shí)也不應(yīng)該”。
“是的,我們了解所有的新技術(shù),也知道這些通信介質(zhì)是如何工作的。但是,另一方面,以前我們的安全模式已經(jīng)包含了人類……如果某人的移動(dòng)設(shè)備被病毒侵害,一個(gè)可能的結(jié)果就是賬單上的數(shù)據(jù)流量暴漲。但這不會(huì)發(fā)生在M2M領(lǐng)域,在這一領(lǐng)域,設(shè)備可以簡單的保持運(yùn)行。所以在那種情況下,你將可能被其他人關(guān)注,這一點(diǎn)是無法保障的。”
M2M通道未必要通過重新設(shè)計(jì)開通
Alex Brisbourne是KORE無線集團(tuán)的首席運(yùn)營官,也是全球公認(rèn)的M2M網(wǎng)絡(luò)架構(gòu)和管理的專家,我們今天通過他討論了McDaid的結(jié)論。KORE集團(tuán)從2003年就開始提供M2M連接系統(tǒng)。通過閱讀國際行動(dòng)安全公司今天的報(bào)告,Brisbourne把M2M網(wǎng)絡(luò)工作闡釋為對(duì)現(xiàn)存人類網(wǎng)絡(luò)工作的一個(gè)安全考驗(yàn)。這是一個(gè)有趣的觀點(diǎn),但卻是完全非正統(tǒng)的。
Brisbourne告訴讀寫網(wǎng)說:"事實(shí)上,當(dāng)你創(chuàng)造越多進(jìn)入因特網(wǎng)的’門道’時(shí),機(jī)器設(shè)備將顯著地增加到這些’訪問門道’來,就像智慧型手機(jī)供應(yīng)的增加一樣,會(huì)使訪問控制面臨的挑戰(zhàn)變得更加尖銳。但是,這兩點(diǎn)有一個(gè)顯著的區(qū)別:智慧型手機(jī)典型地為因特網(wǎng)創(chuàng)造了開放的訪問機(jī)制。每個(gè)手機(jī)都有單獨(dú)的地址,就像個(gè)人電腦一樣。大多數(shù)智慧型手機(jī)都正在使用未經(jīng)正規(guī)中心測(cè)試的瀏覽器技術(shù),但是實(shí)際上通過智慧型手機(jī)瀏覽器發(fā)起的病毒管理、惡意軟件和安全攻擊正在快速增加。部分原因是因?yàn)橹腔坌褪謾C(jī)的無比開放性。"
Brisbourne繼續(xù)說,通過對(duì)比,一個(gè)真正的M2M環(huán)境即將到來。它并非像一些公司所建議的那樣,是網(wǎng)絡(luò)向充斥著各種沒有靈魂的設(shè)備的日常生活的一個(gè)延伸。
Brisbourne強(qiáng)調(diào)說:"邊緣設(shè)備一般都使用專門的網(wǎng)絡(luò)通道(顧客接入點(diǎn)等),這些通道給數(shù)據(jù)安排唯一的、特定的網(wǎng)絡(luò)資源(服務(wù),主機(jī)),這些資源面臨著錯(cuò)綜復(fù)雜的(但是絕對(duì)可實(shí)現(xiàn)的)走出這些領(lǐng)域的挑戰(zhàn)。此外,根據(jù)應(yīng)用程序的不同,數(shù)據(jù)流通常受到來自SSL通訊加密協(xié)定的支持。在諸如能源公用事業(yè)或付款處理之類的高敏感性市場(chǎng),需要在’終端入口’之外擴(kuò)大和加深特定的安全覆蓋網(wǎng)絡(luò),例如支付領(lǐng)域的PCI標(biāo)準(zhǔn)和致力于制定公用事業(yè)領(lǐng)域的安全標(biāo)準(zhǔn)的美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)。這些都注重考察端對(duì)端以及兩個(gè)端點(diǎn)之間的補(bǔ)償標(biāo)準(zhǔn)。這無疑會(huì)繼續(xù)增長。"
換種說法,不能僅僅因?yàn)橐粋€(gè)M2M交易的終端不包括諾頓殺毒軟件就說它不安全。在M2M平臺(tái)中存在建筑差異,這個(gè)差異超出了人類通過因特網(wǎng)交流的等級(jí)。
Cathal McDaid相信,這些差異并沒有被廣泛地認(rèn)知,這就是為什么建立一種能保護(hù)兩種交流的新的方法是極其必要的。"不需要廢棄人與人之間業(yè)已建立的溝通方式,只需要構(gòu)建一種在面臨M2M時(shí)更為智慧的類似P2P的方式即可。"他說,這種更為智慧的額外層次應(yīng)該以在某種程度上的是權(quán)威仲裁者的形式出現(xiàn),用來判定某個(gè)組織是否有權(quán)與某個(gè)設(shè)備進(jìn)行交流。在這一點(diǎn)上,McDaid和Brisbourne達(dá)成了少許一致,尤其在設(shè)定一個(gè)系統(tǒng)應(yīng)承擔(dān)權(quán)威通道的數(shù)量以及時(shí)間的必要性方面相互認(rèn)可。
“你想要完全否定現(xiàn)在的通道(諾克斯堡)還是只想阻止它直到時(shí)機(jī)合適,然后不再采取任何相關(guān)行動(dòng)(擴(kuò)大禁止范圍)?”Brisbourne問道,“形勢(shì)和市場(chǎng)都瞬息萬變,所有的一切都必須先確定下來。作為一個(gè)擴(kuò)大化的企業(yè)數(shù)據(jù)管理結(jié)構(gòu)的一部分,M2M在這種思想水準(zhǔn)上毫無防備。”