前言
在2018年度世界移動(dòng)通訊大會(huì)(MWC)首日舉行的一場(chǎng)題為「物聯(lián)網(wǎng)與安全區(qū)塊鏈」(IoT and the Security Blockchain)的座談會(huì)上,「信任」(trust)與「安全性」( security)是兩個(gè)最常被提到的詞,但若非用充滿希望的語(yǔ)氣,就是徹底的諷刺。
該場(chǎng)研討會(huì)主持人、市場(chǎng)研究機(jī)構(gòu)451 Research的物聯(lián)網(wǎng)分析師Ian Hughes表示,物聯(lián)網(wǎng)裝置的暴增,讓仰賴網(wǎng)際網(wǎng)路通訊的系統(tǒng)安全性面臨「不斷膨脹的巨大風(fēng)險(xiǎn)」;與會(huì)的微軟(Microsoft)物聯(lián)網(wǎng)暨人工智能(AI)解決方案部門總經(jīng)理Rashni Misra則表示,物聯(lián)網(wǎng)裝置的擴(kuò)增:「基本上開啟了一個(gè)新的攻擊面,而且達(dá)到特別嚴(yán)重的程度?!?/p>
這場(chǎng)MWC座談會(huì)的與會(huì)專家們要傳達(dá)之訊息,是安全性終究為各大公司將認(rèn)真看待的議題,但今日相關(guān)解決方案都是理論性大于實(shí)質(zhì)性,而且會(huì)需要某種程度的相互信任(社會(huì)主義?),這在科技業(yè)競(jìng)爭(zhēng)者(資本家)之間并不常見。
沒(méi)有一位專家對(duì)純軟件方法表示樂(lè)觀,例如區(qū)塊鏈(blockchains)──這一開始是為了加密貨幣比特幣(Bitcoin)開發(fā)的分散式交易分類帳(decentralized transaction ledger);如高通(Qualcomm)物聯(lián)網(wǎng)產(chǎn)品管理副總裁Seshu Madhavapeddy所言:「你的安全性就是不能只靠軟件。」
Arm物聯(lián)網(wǎng)裝置IP部門副總裁Paul Williamson則表示,物聯(lián)網(wǎng)擁有「改變世界的龐大潛能」,該公司還為物聯(lián)網(wǎng)應(yīng)用打造了平臺(tái)安全架構(gòu)(Platform Security Architecture);但他也坦承,今日的物聯(lián)網(wǎng)領(lǐng)域仍是「蠻荒世界」,或許IoT用「不安全的事物」(insecurity of things)來(lái)形容會(huì)更貼切。
Arm物聯(lián)網(wǎng)裝置IP部門副總裁Paul Williamson
另一位與會(huì)專家,電信業(yè)者Syniverse的企業(yè)開發(fā)副總裁Erin Linch進(jìn)一步指出,公眾網(wǎng)際網(wǎng)路每秒會(huì)產(chǎn)生2萬(wàn)4,000筆資料、6萬(wàn)2,000次Google搜尋,以及2,600萬(wàn)封電子郵件,每個(gè)項(xiàng)目都是潛在的網(wǎng)路攻擊目標(biāo)。
Williamson指出,當(dāng)物聯(lián)網(wǎng)裝置啟動(dòng)之后,那樣的危險(xiǎn)就不再適用于它們:「我們得思考在那些物聯(lián)網(wǎng)裝置的整個(gè)生命周期中如何進(jìn)行管理?!?/p>
Linch強(qiáng)調(diào)了如高速鐵路、醫(yī)院網(wǎng)路等大規(guī)模系統(tǒng)之安全漏洞的潛在沖擊;但KPN Telecom資安長(zhǎng)Jaya Baloo則表示,該公司身為安全系統(tǒng)的客戶,會(huì)以「最小裝置」的角度來(lái)考量安全性議題,并舉了非洲索馬利亞(Somalia)的Fitbit智能手表使用者為案例。
Baloo表示,那些Fitbit智能手表使用者的活動(dòng)以及跑步的里程數(shù)、心率等資料,會(huì)持續(xù)被追蹤監(jiān)測(cè),并透過(guò)內(nèi)建的監(jiān)測(cè)系統(tǒng)饋送到網(wǎng)際網(wǎng)路;但有未經(jīng)授權(quán)的觀察者入侵網(wǎng)路后,發(fā)現(xiàn)在東非的某個(gè)偏遠(yuǎn)地區(qū)出現(xiàn)Fitbit資料異常集中的情形,因此判斷當(dāng)?shù)赜幸粋€(gè)擁有大量健身者群集,是秘密軍事基地的所在位置。
而Baloo指出,該網(wǎng)路的漏洞并非錯(cuò)誤、也不需要復(fù)雜的攻擊程序,而是設(shè)計(jì)者刻意留下的缺口,以支援「分享」功能:「裝置的設(shè)計(jì)者對(duì)于預(yù)防錯(cuò)誤,知道得還不夠多。」
在該場(chǎng)MWC座談會(huì)上,來(lái)自Cisco的信任物聯(lián)網(wǎng)聯(lián)盟(Trusted IoT Alliance)主席以及區(qū)塊鏈計(jì)畫負(fù)責(zé)人Anoop Nannra,提出了一種區(qū)塊鏈物聯(lián)網(wǎng)注冊(cè)表(Blockchain IoT Registry)的方案,他表示每一種物聯(lián)網(wǎng)系統(tǒng)──例如以無(wú)人機(jī)遞送藥物──應(yīng)該要透過(guò)「在注冊(cè)表中定義物聯(lián)網(wǎng)裝置通用模型(common model)的智能契約」來(lái)保障安全性。
來(lái)自Cisco的信任物聯(lián)網(wǎng)聯(lián)盟(Trusted IoT Alliance)主席Anoop Nannra
他推動(dòng)了一個(gè)專案,為每一種物聯(lián)網(wǎng)「資產(chǎn)」提供包括軟件與硬件的保護(hù)措施;舉例來(lái)說(shuō),一輛智能卡車可能會(huì)包括:注冊(cè)(registration)、驗(yàn)證(verification)、轉(zhuǎn)移安全性( transfer security)、安全分類帳系統(tǒng)(secure ledger system),以及用來(lái)為服務(wù)付款與被付款的數(shù)據(jù)錢包。
但Baloo表示,那樣的智能卡車要上路,提出標(biāo)準(zhǔn)、注冊(cè)、建立聯(lián)盟與信任,是實(shí)現(xiàn)網(wǎng)際網(wǎng)路最基本的部份,特別是在工業(yè)領(lǐng)域;「我們?cè)诿恳患虑榕c每一個(gè)層面上都失敗了…」她指出:「有標(biāo)準(zhǔn),但是在實(shí)施方面卻很糟糕,其他就更不用說(shuō)了?!?/p>
Baloo舉了另一個(gè)實(shí)際案例,案例中的高科技醫(yī)療設(shè)備經(jīng)過(guò)謹(jǐn)慎且嚴(yán)格的注冊(cè)程序以防杜安全漏洞,但那些機(jī)器因此拒絕需要進(jìn)行的遠(yuǎn)端軟件更新;而如果那些裝置被開放接受新軟件,其安全通訊協(xié)定看來(lái)會(huì)取消被允許其使用的認(rèn)證。
Baloo的公司聘雇了一個(gè)白帽黑客(white-hat hacker)團(tuán)隊(duì),攻擊才剛剛完成開發(fā)的先進(jìn)安全系統(tǒng),而黑客們發(fā)現(xiàn)在通訊協(xié)定標(biāo)準(zhǔn)中有一個(gè)漏洞,會(huì)讓系統(tǒng)有弱點(diǎn)且需要大規(guī)模的修復(fù);她指出,大多數(shù)的公司都沒(méi)有資源或是沒(méi)有想到要雇用這樣的黑客團(tuán)隊(duì),用激烈手段來(lái)測(cè)試系統(tǒng)安全性。
而Baloo總結(jié)指出,物聯(lián)網(wǎng)安全是一條漫長(zhǎng)的路:「深度防御(defense in depth)實(shí)際上需要我們這么做──信任,但永遠(yuǎn)需要是能夠驗(yàn)證的?!?/p>
-
區(qū)塊鏈
+關(guān)注
關(guān)注
110文章
15558瀏覽量
105251
原文標(biāo)題:專家:維護(hù)物聯(lián)網(wǎng)安全產(chǎn)業(yè)不能只靠區(qū)塊鏈
文章出處:【微信號(hào):eetop-1,微信公眾號(hào):EETOP】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論