隨著萬物互聯時代的到來,智能物聯網在給人們生活、工作帶來便利的同時,也帶來了一些前所未有的安全風險。近年來頻頻出現的一些物聯網安全事件,已經給業界敲響了警鐘。專家認為,物聯網安全威脅正日益凸顯,給傳統網絡安全防護帶來新的挑戰,需要采取更多應對措施,以防患于未然。
智能設備將面臨三大威脅
智能物聯網的快速發展全面激活了經濟增長智能物聯網 萬物互聯的今天智能物聯網 網絡攻擊帶來的威脅也越來越大。根據CNVD統計,2016年全球IoT設備共出現1117個漏洞,涉及思科、華為、谷歌、西門子等企業,受攻擊設備類型包括網絡攝像頭、路由器、手機、防火墻、網關設備等。咨詢公司Gartner預測網絡安全,到2020年網絡安全,針對企業的安全性攻擊中網絡安全,25%以上將涉及物聯網。
物聯網安全威脅其實就在身邊。在近日于上海舉行的“2017年網絡安全博覽會暨網絡安全成就展”上,來自極棒實驗室(GeekPwn Lab)的安全專家現場展示了多個物聯網安全威脅案例。比如,智能保險箱與手機APP綁定加密,利用協議漏洞就可以遠程獲取保險箱密碼的篡改權,重設任一密碼便可開啟保險箱,讓保險箱不再“保險”。
上海社會科學院互聯網研究中心與極棒實驗室近日聯合發布的《智能物聯網安全風險報告》顯示,智能物聯網安全風險有其特殊性,這與智能物聯網本身特點相關,例如,數量龐大的智能終端碎片化嚴重,帶來了難于管理維護的弱點和風險處理困難;而涉及大量用戶隱私數據的特點使得風險造成經濟損失外又增加了社會影響,甚至是法律風險等。
極棒實驗室統計數據顯示,新型智能安全威脅比重已從2014年的40%上升至如今的58%。而且,智能設備的安全威脅正經歷四個轉變:攻擊對象向新型智能設備擴展、攻擊主要集中在終端設備、攻擊手段日趨多樣化以及智能設備從攻擊目標轉變為攻擊界面。
除了面臨的安全威脅在不斷轉變,智能設備還將面臨新的三大威脅:數據泄露、大數據終端污染和人工智能時代的安全威脅。智能設備一般都具備信息數據采集功能,通過終端設備,用戶信息數據時刻暴露在物聯網中。如對終端設備的攻擊更進一步,有針對性地構造惡意數據,并將數據上傳至后臺云端,就會造成終端數據污染,進而影響數據分析和決策判斷,造成更廣泛影響。
極棒創始人王琦表示,智能物聯網所牽扯到的是生活中方方面面細節所搭建起的龐大而復雜的網絡,其中面臨的問題就更為復雜。另外,人工智能的發展帶來了好處,也帶來了威脅。不同于傳統IT的安全攻防技術,AI時代的安全對抗已經從單純的信息技術比拼上升為人工智能算法的較量。
多方因素造就風險隱患
在專家看來,智能物聯網安全風險,由多方面原因造成。一是產業發展階段和成本考慮。智能物聯網發展至今,最近2、3年才真正進入高速發展階段,各種智能物聯網設備層出不窮,設備廠商對產品安全考慮和投入不足。其中,智能物聯網安全資源和關注度投入不足是導致各類安全事件頻發的最根本原因。
二是技術結構自身弱點。雖然現在出現了越來越多的針對智能物聯網環境的專用芯片、組件、協議,但是仍存在大量聯網設備采用傳統IT架構作為技術框架,包括底層系統、傳輸鏈路、通訊協議等。這樣雖然能夠提高產品開發和上市速度,但同時也將產品推向了傳統IT的潛在攻擊者。
三是設備軟硬件更新滯后。由于智能物聯網設備數量眾多、分布廣泛,造成安全性措施的實施速度過慢,即使發現安全問題,在更新設備軟硬件過程中也會遇到各種障礙。例如,早期智能網絡攝像頭采用簡單的軟硬件結構設計,無法通過在線方式完成升級。雖然越來越多產品更加“智能”,可以定期更新產品固件升級到最新版本,但對比成熟的傳統IT系統,更新的速度仍顯滯后,而由于安全問題所造成的損失卻是與時間密切相關。
值得關注的是,目前智能設備廠商安全意識仍普遍不足。智能硬件產品普遍功能相對簡單,一些生產商通常為降低成本、快速推出產品、搶占市場,在產品設計和實現階段忽視了安全問題。有時為了滿足消費群體偏好,甚至為了形態美觀、輕便簡易而犧牲安全防護。
另一方面,用戶的安全意識、安全投入也有待提升。“國內企業對網絡安全重視程度依然不夠,許多企業往往把安全投入當作成本來看待”。騰訊副總裁馬斌表示,隨著萬物互聯時代的到來,網絡安全應該成為企業防護的第一要素。
多措并舉防范安全風險
加大智能物聯網安全防護已刻不容緩,同時也需要多方協力。安全專家指出,首先是要增強產品設計、開發中的安全考慮。智能物聯網設備之所以會出現各種安全漏洞為攻擊者所利用,大部分是在產品設計、開發過程中只關注所要實現的功能特性,而忽略其中的安全因素。根據傳統IT產品安全所經歷過程,如果智能聯網產品廠商能夠將安全因素放在重要地位,投入必要資源,可以有效降低產品弱點,提升整體安全性。
其次,要建立健全智能終端設備升級機制。目前,在許多智能物聯網設備中,固件升級機制還沒有完全覆蓋,僅部分品類設備廠商實現了遠程自動更新,多數設備還需要手動下載固件版本后再更新至產品中,甚至有些產品完全不提供升級功能。對此,專家指出,發現漏洞或遭到攻擊時,及時發布補丁、更新固件可以有效降低損害。
智能物聯網設備廠商在產品設計時應充分考慮后續產品升級需求和機制,將升級模塊植入產品中,實現快速安全補丁更新。
另外,業界要逐步統一規范和標準。當前我國智能物聯網設備產業還基本處于一種自發狀態,部門之間、地區之間、行業之間分割情況較為普遍。國家行業主管部門已意識到標準化對智能聯網產業的應用發展及安全的重要性,正在抓緊研究制定相關規范。
同時,用戶提升自身安全意識也是重要一環。在智能安全問題上,很多問題可以通過加強用戶安全意識來避免。養成良好設備安全使用習慣可以在很大程度上增加實施攻擊難度,提高攻擊成本。
除此之外,馬斌認為,防護智能物聯網安全風險,一要深耕信息安全技術,二要加快網絡安全人才培養,三要加大產業鏈之間開放合作。
未來,智能物聯網安全有望催生龐大產業機會。據咨詢公司Markets and Markets預計,到2020 年,全球物聯網安全市場將從2015年的68.9億美元增長至289億美元,為傳統IT基礎設施廠商、互聯網安全公司以及專注于物聯網安全的新興創業公司提供新的發展機遇。