内尔敏Hajdarbegovic
作为一名资深科技作家, Nermin帮助创建了涵盖从半导体行业到加密货币等所有领域的在线出版物.
作为一名资深科技作家, Nermin帮助创建了涵盖从半导体行业到加密货币等所有领域的在线出版物.
物联网(物联网)多年来一直是一个行业流行语, 但缓慢的发展和有限的商业化使得一些行业观察家开始称其为“无物互联网”。.
抛开双关语不谈,物联网的发展陷入了困境. 除了产生不适合大多数社交场合的极客笑话, the hype did not help; and, 事实上, 我认为它实际上弊大于利. 物联网存在一些问题, 但所有的正面报道和毫无根据的炒作都是我们可以避免的. 吸引更多关注的好处很明显:更多投资, 更多风险投资, 更多的消费者兴趣.
然而, 这些都伴随着额外的审查, 这使得许多缺点痛苦地显现出来. 在几年的乐观预测和重大承诺之后, 物联网安全似乎是最大的担忧. 2015年的头几周,这个新兴行业并不乐观, 大多数负面新闻都围绕着安全问题.
这合理吗?? 这仅仅是多年炒作带来的“恐惧、不确定和怀疑”(FUD)吗? It was a bit of both; although some issues may have been overblown, 这些问题是非常现实的, 事实上.
许多评论家将2015年描述为“物联网之年”,但到目前为止,这是一个负面报道的一年. 诚然,还有10个月的时间,但负面报道仍在不断涌现. 安全公司卡巴斯基最近对物联网安全挑战进行了严厉批评, 用一个不讨人喜欢的标题, “互联网上的垃圾”.
Kaspersky is no stranger to 物联网 criticism and controversy; the firm has been sounding alarm bells for a while, 用智能家居被黑的例子来支持他们, 洗车,甚至警察监控系统. 黑客是否想免费洗他们的车, 或者跟踪使用健身追踪器的人——物联网安全漏洞可能会让这成为可能.
风河于2015年1月发布了《欧博体育app下载》, 报告以发人深省的介绍开始. 题为 寻找银弹,它用三段话概括了这个问题,我将把它们浓缩为几点:
然而, there is some good news; the knowledge and experience are already here, 但它们必须适应物联网设备的独特限制.
不幸的是,这就是我们 系统安全开发人员 偶然发现另一个问题,硬件问题.
U.S. 联邦贸易委员会主席, 伊迪丝·拉米雷斯, 今年早些时候在拉斯维加斯举行的消费电子展上发表了讲话, 警告将传感器嵌入日常设备, 让他们记录下我们的一举一动, 会带来巨大的安全风险吗.
拉米雷斯概述 物联网未来面临的三大挑战:
她敦促企业加强隐私保护,并通过采用以安全为中心的方法构建安全的物联网设备, 减少物联网设备收集的数据量, 增加透明度,为消费者提供退出数据收集的选择.
拉米雷斯接着说,物联网设备的开发人员还没有花时间考虑如何保护他们的设备和服务免受网络攻击.
“许多连接设备的小尺寸和有限的处理能力可能会阻碍加密和其他强大的安全措施,拉米雷斯说. 此外,一些联网设备成本低,而且基本上是一次性的. 如果在该类型设备上发现漏洞, 可能很难更新软件或应用补丁,甚至很难向消费者提供修复的消息.”
而拉米雷斯在很多方面都是正确的, 我应该指出,20年前互联网也经历了类似的阶段. 有很多安全方面的顾虑, 90年代出现了互联网传播的恶意软件, DDoS攻击, 复杂的网络钓鱼和更多. 尽管好莱坞在一些电影中描绘了一个反乌托邦的未来, 我们最终在社交网络上出现了小猫,并在这里和那里出现了引人注目的安全漏洞.
互联网仍然不安全,所以我们也不能指望物联网是安全的. 然而, 安全形势不断发展,迎接新挑战, 我们以前见过, 我们会再看一遍, 与物联网和随后的连接技术.
Some of you will be thinking that the hardware issues mentioned by the FTC boss will be addressed; yes, 他们中的一些人可能会.
随着物联网市场的增长, 我们将看到更多的投资, 随着硬件的成熟, 我们将加强安全保障. 像英特尔和ARM这样的芯片制造商将热衷于为每一代新产品提供更好的安全性, 因为安全可能是一个市场差异化因素, 让他们获得更多的设计胜利,获得更大的市场份额.
技术总是在进步,为什么不呢? 新的制造工艺通常会带来更快、更高效的处理器, 迟早有一天, 差距将会缩小, 从而为开发人员提供了足够的处理能力来实现更好的安全特性. 然而,我不确定这是一个现实的场景.
首先,物联网芯片不会成为大赢家,因为它们很小,而且通常基于过时的架构. 例如, 第一代英特尔Edison平台基于Quark处理器, 它们基本上使用了与老式奔腾P54C相同的CPU指令集和大部分设计. 然而, 下一代爱迪生微型计算机是基于更快的处理器, 基于Atom Silvermont内核, 这是许多Windows和Android平板电脑的功能吗, 今天. (英特尔在2014年出货了约4600万块Bay Trail soc.)
从表面上看, 我们最终可能会在物联网设备中使用相对现代的64位x86 CPU内核, 但价格不菲, 它们仍然会比最小的ARM内核复杂得多, 因此需要更多的电池电量.
廉价的一次性可穿戴设备, 这似乎是联邦贸易委员会最担心的问题, 不会由这种芯片供电, 至少, 短期内不会. 消费者最终可能会拥有更强大的处理器, 比如英特尔的atom或ARMv8芯片, 在一些智能产品中, 比如带有触摸屏的智能冰箱或洗衣机, 但对于没有显示屏和电池容量有限的一次性设备来说,它们是不切实际的.
销售完整平台, 或各种物联网设备的参考设计, 能帮助芯片制造商创造更多收入吗, 同时引入更多的标准化和安全性. 这个行业最不需要的就是更多的非标准化设备和更多的碎片化. 这听起来似乎是一种合乎逻辑的合理方法, 因为开发人员最终将拥有更少的平台,而更多的资源将分配给安全性, 然而, 安全漏洞也会影响到更多的设备.
在科技行业,解决任何问题最常见的方法之一就是直接砸钱. 所以,让我们看看我们现在在资金而不是技术方面的情况.
根据研究公司IDC和Gartner的数据, 到2020年,物联网将发展到改变数据中心行业的程度. Gartner预计,到2020年,物联网市场的安装量将达到260亿, 为各方创造巨大机遇, 来自数据中心和硬件制造商, 开发者和设计师. IDC还预计,到本十年末,物联网行业最终将拥有“数十亿台设备和数万亿美元”.
Gartner在2014年5月发布的最新物联网市场预测中也列出了一系列潜在挑战, 其中一些我已经介绍过了:
所有这些问题(以及更多问题)迟早都必须得到解决,往往需要付出巨大的代价. 我们不再谈论微小的物联网芯片和基于这种芯片的廉价玩具, 这是基础设施. 这是服务器cpu中大量的硅, 昂贵的DDR4 ECC RAM和更大的ssd, 所有这些都安装在昂贵的服务器中, 在更大的数据中心.
That’s just the tip of the iceberg; industry must tackle bandwidth concerns, 数据管理和隐私政策, 和安全. 那么,还剩多少钱用于安全,这是高德纳(Gartner)列出的物联网挑战之首?
大量资金已经涌入这个行业, 风投正在加入,投资的步伐似乎正在加快. 还有一些收购, 通常涉及像谷歌这样的大公司, Qualcomm。, 三星, 金雅拓, 英特尔和其他公司. 这里有一份与物联网相关的投资清单 Postscapes. 这些投资的问题, 尤其是那些来自风投的公司, 是他们倾向于关注“闪亮”的东西吗, 即将上市的设备, 具有潜在的惊人投资回报率. 这些投资对安全或基础设施没有太大帮助, 这基本上必须跟随物联网需求.
大公司将不得不承担重任,而不是风投支持的初创公司和玩具制造商. 敏捷和创新的初创公司肯定会在推动采用和创造需求方面发挥重要作用, 但他们不能做所有的事情.
我们这样想, 即使是小公司也能制造汽车, 或者数以万计的汽车, 但它不能修建高速公路, 道路, 加油站和精炼厂. 同样是这家小公司,也可以使用现成的技术制造出安全的汽车,以满足基本的道路安全标准, 但它无法制造出像赛格威一样的汽车,达到同样的安全标准, 其他人也不能. 汽车安全标准永远不适用于这类车辆, 我们没有看到人们开着赛格威上班, 因此,我们不能指望传统的技术安全标准适用于功率不足的物联网设备, 要么.
让通勤者一边查看电子邮件或玩《欧博体育app下载》(Candy Crush),一边骑着赛格威(segway)在交通高峰期穿行,听起来不太安全, 它? 那么,我们为什么要期望物联网设备和其他连接设备一样安全呢, 拥有更强大的硬件和成熟的操作系统? 这可能是一个奇怪的类比, 但底线是,不能指望物联网设备符合与成熟计算机相同的安全标准.
真正的, 我们并没有看到很多关于物联网安全漏洞的头条新闻, 但让我这么说吧:你看到了多少关于Android Wear的安全相关新闻? 一个? 两个? 没有一个? 据估计,目前全球只有不到100万台Android Wear设备, 所以它们不是黑客的主要目标, 或者是安全研究人员的课题.
你现在拥有和使用多少物联网设备? 你的企业用了多少? 这就是“无物联网”这个笑话的由来,大多数人都没有. 这个数字还在上升, 但普通消费者购买的数量并不多, 那么这种增长从何而来呢? 物联网设备已经出现,而且数量正在迅速增加, 由企业而非消费者市场驱动.
Verizon和ABI 研究估计有1家.去年有20亿台不同的设备连接到互联网, 但到2020年, 他们预计会有5人.40亿B2B物联网连接.
从安全的角度来看,智能腕带、烤面包机和狗项圈并不是一个大问题,但是 Verizon最新的物联网报告 关注一些更有趣的东西:企业.
从2013年到2014年,威瑞森在制造业的机器对机器(M2M)连接数量增长了204%, 其次是金融和保险, 传媒及娱乐, 医疗保健, 零售业和运输业. 威瑞森的报告包括了各个行业物联网趋势的细分, 所以它提供了对商业方面的洞察.
报告的总体基调是乐观的,但也列出了一些安全方面的担忧. 威瑞森称能源行业的安全漏洞是“不可想象的”,,称物联网安全在制造业中“至关重要”, 更别提医疗和交通方面的潜在风险了.
我不会试图就物联网安全挑战如何解决或何时解决提供一个明确的答案. 该行业仍在寻找答案,还有很长的路要走. 最近的研究表明,目前大多数可用的物联网设备都存在安全漏洞. 惠普发现,多达70%的物联网设备容易受到攻击.
虽然增长提供了很多机会,但物联网仍然不成熟,也不安全. 增加数百万台新设备, 硬件端点, 数十亿行代码, 还有更多的基础设施来应对负荷, 带来了巨大的挑战, 这是我们在过去二十年中所经历的任何事情都无法比拟的.
这就是为什么我不是一个乐观主义者.
我不相信这个行业可以将很多安全经验应用到物联网中, 至少还不够快, 在接下来的几年里不会. 在我心中, 互联网的类比是一个谬论, 原因很简单,因为90年代的互联网不需要处理如此不同类型的硬件. 在大型x86 cpu或ARM soc上使用加密和浪费时钟周期并不是问题, 但对于处理能力和功耗范围大不相同的微型物联网设备来说,这种方法就行不通了.
更精密的处理器,更大的芯片,需要更大的封装,必须散发更多的热量. 它们还需要更多的能量,这意味着更大、更重、更昂贵的电池. 减轻体重,减少体积, 制造商将不得不求助于使用异国情调的材料和生产技术. 所有这些都需要更多的R&D支出,更长的上市时间和更大的材料清单. 拥有更高的价格和高级构建, 这种设备很难被认为是一次性的.
那么,必须做些什么才能使物联网安全呢? 很多. 从科技巨头到个人开发者,每个人都可以发挥作用.
让我们来看看几个基本要点, 比如可以做什么, 以及正在做的事情, 提高物联网安全性的方法:
从第一天起就明确强调安全始终是一件好事, 尤其是在处理不成熟的技术和不发达的市场时. 如果您计划开发自己的物联网基础设施, 或者部署现有的解决方案, 做好你的调查并尽可能保持信息灵通. 这可能涉及到权衡, 因为您可能面临以牺牲用户体验为代价来提高安全性的选择, 但只要你能找到正确的平衡,这一切都是值得的. 这不能在飞行中完成,你必须提前计划,并且计划得很好.
急于将新产品和服务推向市场, 许多公司可能会忽视长期支持. 这种事经常发生, 即使是在大联盟中, 因此,我们最终总会有数百万台未打补丁、不安全的电脑和移动设备. 对于大多数公司来说,它们太老了, 而一次性物联网设备的情况肯定会更糟. 主要的手机供应商不会在2-3年的手机上更新他们的软件, 所以想象一下,20美元的物联网设备可能会在你的网络上存在多年. 计划淘汰可能是其中的一部分, 但事实是,更新旧设备对制造商来说没有太大的财务意义,因为他们有更好的事情要做. 安全的物联网设备要么必须在设计上安全,要么从一开始就不受影响, 或者在它们的生命周期中接收重要的更新, 我相信你会同意这两种选择都不现实, 至少, 没有.
实现安全访问控制和设备身份验证听起来是一件显而易见的事情, 但我们这里讨论的不是普通的联网设备. 创建访问控制, 以及认证方法, 可以在不影响用户体验的情况下在廉价和紧凑的物联网设备上实现, 或者添加不必要的硬件, 比看起来难吗. 正如我之前提到的, 缺乏处理能力是另一个问题, 因为大多数先进的加密技术都不能很好地工作, 如果有的话. 在一个 以前的文章, 我考虑了一个选择, outsourcing encryption via the blockchain technology; I am not referring to the Bitcoin blockchain, 但一些行业领导者已经在研究类似的加密技术.
Si vis pacem, para bellum——如果你想要和平,就要准备战争. 在解决物联网安全问题之前,研究威胁和潜在攻击者至关重要. The threat level is not the same for all devices and there are countless considerations to take into account; would someone rather hack your daughter’s teddy bear, 或者是更严重的事情? 降低数据风险是必要的, 从物联网设备中保存尽可能多的个人数据, 适当保护必要的数据传输, 等等......。. 然而,要做到这一切,你首先需要研究威胁.
如果所有这些都失败了,至少要为潜在的安全漏洞做好准备. 它们迟早会发生,发生在你或别人身上(好吧,最好是竞争对手)。. 永远要有退出策略, 一种在不破坏物联网基础设施的情况下保护尽可能多的数据并使受损数据无用的方法. 对顾客进行教育也是必要的, 员工和参与流程的所有人都了解此类违规行为的风险. 指导他们如何应对违规行为,以及如何避免违规行为.
当然, 一个好的免责声明和服务条款也会帮助你处理最坏的情况.
世界级的文章,每周发一次.
世界级的文章,每周发一次.