萬物互聯(lián)時(shí)代,越來越海量的現(xiàn)實(shí)設(shè)備將接入互聯(lián)網(wǎng)。大量的互聯(lián)設(shè)備是如今物聯(lián)網(wǎng)的一個(gè)突出現(xiàn)狀:全球有70億人,擁有90億臺(tái)互聯(lián)設(shè)備;而據(jù)Gartnet的研究顯示,預(yù)計(jì)到2020年,全球設(shè)備將達(dá)到250億臺(tái),物聯(lián)網(wǎng)設(shè)備將覆蓋所有市場(chǎng)。
雖然物聯(lián)網(wǎng)給人帶來無限遐想,并有可能極大地提升我們的生活品質(zhì),但隨之而來的安全問題同樣值得警惕。顯然,物聯(lián)網(wǎng)比想象中更容易受到攻擊,此前惠普2014年的報(bào)告稱,60%的物聯(lián)網(wǎng)設(shè)備都容易受到各種各樣的攻擊,而70%的攻擊者可以通過枚舉法識(shí)別用戶帳戶。如何保證物聯(lián)網(wǎng)的安全性將成為未來幾年最迫切的技術(shù)問題之一。
賽門鐵克亞太區(qū)大客戶部副總裁兼大中華區(qū)總裁梅正宇先生說:“物聯(lián)網(wǎng)設(shè)備的研發(fā)中,很多廠商并沒有考慮到安全問題。談到物聯(lián)網(wǎng)安全,不僅指設(shè)備的安全,還有網(wǎng)絡(luò)和后臺(tái)系統(tǒng)等的安全。在IoT設(shè)備中,智能手機(jī)和智能手表、可穿戴設(shè)備、智能家居以及車聯(lián)網(wǎng)都是常見的攻擊目標(biāo)。”
賽門鐵克從目前最常見的物聯(lián)網(wǎng)攻擊目標(biāo)入手,展示應(yīng)如何應(yīng)對(duì)物聯(lián)網(wǎng)安全挑戰(zhàn)。
智能手機(jī)和智能手表:勒索軟件的新穴巢
賽門鐵克互聯(lián)網(wǎng)安全報(bào)告中提到,去年勒索軟件的蔓延速度非??欤鲩L(zhǎng)幅度達(dá)到113%。據(jù)發(fā)現(xiàn),今年上半年勒索軟件的蔓延速度相較去年而言將更為迅猛。而據(jù)《2015Q2中國(guó)手機(jī)應(yīng)用商店市場(chǎng)研究報(bào)告》稱,超過75%的用戶曾下載過惡意軟件。
日益增長(zhǎng)的可穿戴設(shè)備和物聯(lián)網(wǎng)為勒索軟件創(chuàng)造了新的攻擊機(jī)會(huì)。據(jù)賽門鐵克報(bào)告顯示,勒索軟件的攻擊從PC機(jī)蔓延到智能手機(jī),現(xiàn)在已擴(kuò)展到智能手表。智能手表之所以同樣能夠受到勒索軟件威脅,是因?yàn)橹悄苁直砗椭悄苁謾C(jī)之間,軟件同步是輕而易舉的事情。如果用戶在智能手機(jī)中下載應(yīng)用,智能手表便能夠很快同步手機(jī)中的應(yīng)用。
如何避免受到惡意軟件攻擊?賽門鐵克大北區(qū)安全解決方案技術(shù)支持部經(jīng)理馬蔚彥認(rèn)為:“首先,包括及時(shí)更新應(yīng)用和固件。應(yīng)用和固件的更新能夠?yàn)橹翱赡苁艿綈阂夤舻穆┒创蛏涎a(bǔ)丁;其次,不要隨意下載應(yīng)用,攻擊者往往會(huì)利用用戶追求便捷性這種心理對(duì)便捷應(yīng)用放置惡意代碼。如果用戶從不可信的網(wǎng)站下載應(yīng)用,會(huì)面臨很大的安全風(fēng)險(xiǎn)。最后,我們建議用戶要使用安全解決方案。賽門鐵克會(huì)在物聯(lián)網(wǎng)方面提供安全解決方案。”
自我追蹤設(shè)備:新型安全隱患市場(chǎng)
自我追蹤可穿戴設(shè)備市場(chǎng)正在蓬勃發(fā)展,預(yù)計(jì)到2017年,自我追蹤設(shè)備的出貨量將達(dá)到1.7億臺(tái)。這個(gè)日益增長(zhǎng)的大型市場(chǎng)中同時(shí)也存在著巨大安全隱患:易受到追蹤和監(jiān)控;數(shù)據(jù)泄露;個(gè)人隱私安全得不到保障。
對(duì)于用戶而言,許多用戶認(rèn)為自身沒有攻擊價(jià)值,甚至認(rèn)為很多個(gè)人信息不存在安全風(fēng)險(xiǎn)。特別是諸如睡眠、葡萄糖、情緒、體重等健康數(shù)據(jù)遭到污染、篡改之后,存在潛在無底洞式的可怕危險(xiǎn)。出現(xiàn)針對(duì)性攻擊的最初渠道,就是通過社交活動(dòng)收集到個(gè)人活動(dòng)狀況和信息,從而實(shí)施針對(duì)性攻擊。所獲取的信息為成為攻擊者了解用戶個(gè)人習(xí)慣以及社交環(huán)境的信息源。
可穿戴設(shè)備存在很多安全隱患。第一,52%手機(jī)中的可穿戴設(shè)備應(yīng)用都沒有很好的隱私保護(hù)策略。這些應(yīng)用廠商基本沒有安全方面的意識(shí),也就更不可能從技術(shù)方面進(jìn)行保護(hù)。第二,個(gè)人信息和個(gè)人數(shù)據(jù)的背后還連接著一條產(chǎn)業(yè)鏈。社交媒體上分享的數(shù)據(jù),能夠被營(yíng)銷類應(yīng)用獲取并進(jìn)行分析,以達(dá)到促銷盈利的目的。
如何保護(hù)可穿戴設(shè)備呢?賽門鐵克大北區(qū)安全解決方案技術(shù)支持部經(jīng)理馬蔚彥女士認(rèn)為:“其實(shí),安全是一種意識(shí)。作為個(gè)人用戶,需要及時(shí)更新應(yīng)用、軟件,確保設(shè)備中有著必要的密碼,并鎖定屏幕。而作為廠家和應(yīng)用開發(fā)商,則需要安全廠商提供給他們安全解決方案,來從應(yīng)用層面、設(shè)備層面進(jìn)行安全防護(hù)。”
互聯(lián)汽車:安全威脅從理論變?yōu)楝F(xiàn)實(shí)
隨著移動(dòng)設(shè)備的數(shù)量增長(zhǎng),手機(jī)應(yīng)用集成智能汽車的解決方案,比如蘋果的CarPlay和谷歌的Android Auto的開發(fā)接口,引發(fā)大量和汽車有關(guān)的手機(jī)應(yīng)用的井噴;國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)公司開始和汽車制造廠商合作開發(fā)自有品牌的智能汽車;私家車主開始通過租車公司把車子出租出去。網(wǎng)絡(luò)安全是汽車工業(yè)需要最優(yōu)先考慮的事情之一。
互聯(lián)汽車中鏈接和診斷界面可能導(dǎo)致出現(xiàn)漏洞。汽車隨著汽車移動(dòng)應(yīng)用進(jìn)入車載或者車載娛樂系統(tǒng)將變成潛在的攻擊目標(biāo)。汽車上使用的數(shù)字通訊端口讓車載診斷(OBD II)數(shù)據(jù)傳輸、資訊娛樂系統(tǒng)中的無線網(wǎng)(WiFi)熱點(diǎn)接入以及其他常用通訊協(xié)議介入成為了現(xiàn)實(shí),但同時(shí)也為惡意軟件和其他威脅提供了一種潛在的植入方法。
賽門鐵克認(rèn)為在車聯(lián)網(wǎng)領(lǐng)域,每個(gè)層面的基本安全原則需要得到標(biāo)準(zhǔn)貫徹。具體來說一是保護(hù)通信,尤其適用于IVI或OBO-II中的調(diào)制解調(diào)器;二是從云到每輛汽車的OTA管理;三是保護(hù)每個(gè)模塊,包括傳感器、制動(dòng)器與微控制器(MCU)相關(guān)的模塊;四是對(duì)汽車和云中進(jìn)行分析降低高級(jí)威脅。
賽門鐵克如何應(yīng)對(duì)物聯(lián)網(wǎng)安全
賽門鐵克堅(jiān)信物聯(lián)網(wǎng)是信息安全關(guān)注的新領(lǐng)域,針對(duì)物聯(lián)網(wǎng)提供安全解決方案已是時(shí)代所需。賽門鐵克率先為物聯(lián)網(wǎng)安全提供全面的參考架構(gòu),幫助架構(gòu)師了解如何內(nèi)建安全性,使物聯(lián)網(wǎng)系統(tǒng)具有全面的安全性。目前,賽門鐵克與德利多富(wincor nixdorf)、德州儀器(texas instruments)、WolsSSL、FROST data capital在物聯(lián)網(wǎng)安全領(lǐng)域達(dá)成合作關(guān)系,致力于為物聯(lián)網(wǎng)提供一個(gè)完整的端到端安全、管理和分析平臺(tái)。
賽門鐵克在物聯(lián)網(wǎng)領(lǐng)域的保護(hù)思路是保護(hù)設(shè)備、保護(hù)應(yīng)用、保護(hù)數(shù)據(jù),相關(guān)解決方案也是從這三方面出發(fā)的。賽門鐵克在設(shè)備端,提供三種安全解決方案:一個(gè)是設(shè)備級(jí)的證書認(rèn)證,第二個(gè)是提供更可信的根基,這其中最主要的提供代碼防護(hù),這對(duì)物聯(lián)網(wǎng)設(shè)備很重要,代碼簽名能夠保證路由器或機(jī)頂盒等設(shè)備中的固件是沒有問題和不被篡改的。賽門鐵克的代碼簽名技術(shù)能夠保證應(yīng)用代碼本身安全。第三個(gè)是賽門鐵克提供嵌入式關(guān)鍵系統(tǒng)保護(hù),它可以理解為原來作為PC機(jī)端點(diǎn)防護(hù)技術(shù)的精簡(jiǎn)縮小版,專門用于嵌入式系統(tǒng),專門適用于IoT設(shè)備。
這三個(gè)安全解決方案是用在設(shè)備級(jí)的,賽門鐵克還在進(jìn)行其他解決方案的開發(fā),其中一個(gè)是用在通訊層面的,企業(yè)能夠基于大數(shù)據(jù)分析,通過監(jiān)控和異常檢查來發(fā)現(xiàn)通訊出現(xiàn)了哪些安全問題。同時(shí),賽門鐵克將會(huì)針對(duì)IoT設(shè)備的統(tǒng)一管理,推出一整套IoT管理平臺(tái)。因此,從設(shè)備端到網(wǎng)絡(luò)端,到云和數(shù)據(jù)中心,將是賽門鐵克整個(gè)產(chǎn)品戰(zhàn)略方向。