新聞中心

EEPW首頁 > 物聯(lián)網(wǎng)與傳感器 > 業(yè)界動態(tài) > 為何物聯(lián)網(wǎng)安全做起來這么難?

為何物聯(lián)網(wǎng)安全做起來這么難?

作者: 時間:2017-09-14 來源:eettaiwan 收藏

  影響安全策略的因素不外乎系統(tǒng)的復(fù)雜性、網(wǎng)絡(luò)、安全,以及人為因素…

本文引用地址:http://2s4d.com/article/201709/364323.htm

  今年六月在荷蘭舉辦的“世界論壇”(World Forum)資安會議中,一名來自美國綽號“網(wǎng)絡(luò)忍者”的11歲電腦神童魯賓.保羅(Reuben Paul)應(yīng)邀上臺演說時表示:“從飛機到移動電話,從智慧型手機到智慧房屋,任何東西或玩具都能成為(IoT)的一環(huán);而從魔鬼終結(jié)者到泰迪熊,任何東西或玩具都能將之武器化。”他并實際示范如何駭入與會者的藍(lán)牙裝置,進而操縱泰迪熊。

  Reuben Paul將一個信用卡大小、名為“樹莓派”(raspberry pi)的電腦裝置插入筆電,然后掃描在場所有可用的藍(lán)牙裝置,當(dāng)場下載數(shù)十人的電話號碼,包含在場許多高層官員的電話號碼。再利用一個電腦程式語言Python,透過其中一組號碼駭入泰迪熊,開啟玩具熊的燈,并播出一段語音訊息。這位電腦神童不僅展現(xiàn)了驚人的超齡能力之外,也透露了“雖然很方便,但沒有適當(dāng)?shù)谋Wo就會害死你”的訊息。

  根據(jù)HP的研究報告,大約70%的消費型IoT設(shè)備存在安全隱憂,具有易“駭”體質(zhì)。而根據(jù)OTA(Online Trust Alliance)的研究,近期被揭露的IoT安全漏洞中,100%完全可事先避免。這不免讓人疑惑,IoT的安全既然有功法護體,為何實際落實還是那么難?

  復(fù)雜的網(wǎng)絡(luò)

  現(xiàn)實中,影響IoT安全策略的第一個因素是物聯(lián)網(wǎng)系統(tǒng)的復(fù)雜性。一個典型的物聯(lián)網(wǎng)系統(tǒng)結(jié)構(gòu)包括邊緣節(jié)點(用戶設(shè)備端)、閘道和云端平臺三部份,在邊緣節(jié)點之間、邊緣節(jié)點與閘道之間以及閘道與云端之間,又是透過不同無線或有線通訊協(xié)議互連的。理想的安全解決方案應(yīng)該是能實現(xiàn)“端(用戶設(shè)備)對端(云端)”全面的安全防護。而現(xiàn)實的情況是,物聯(lián)網(wǎng)系統(tǒng)通常是經(jīng)由不同制造商和使用者的軟、硬體組成,并由不同的人進行管理和維護,每個環(huán)節(jié)都會有自己不同的安全策略,而系統(tǒng)整體的安全性往往就由“最短的那塊木板”所決定。

  特別重要的一點是,我們熟知的網(wǎng)絡(luò)(Internet)是基于IP技術(shù)的網(wǎng)絡(luò),在過去的20多年中,網(wǎng)絡(luò)已經(jīng)形成了一套基于IP的比較成熟的安全體系,比如TLS(安全傳輸層協(xié)議),構(gòu)成了網(wǎng)絡(luò)安全的基石。而IoT的名稱中雖然也有‘Internet’,但實際部署時由于低成本、低功耗、特殊應(yīng)用場景等方面的考慮,物聯(lián)網(wǎng)系統(tǒng)中采用了大量非IP的通訊協(xié)議,如ZigBee。這種“混合”網(wǎng)絡(luò)讓物聯(lián)網(wǎng)系統(tǒng)變得更為復(fù)雜,數(shù)據(jù)在傳輸過程中需要在閘道間進行多次轉(zhuǎn)化和加解密操作,增加了安全體系的復(fù)雜性。同時,非IP網(wǎng)絡(luò)環(huán)境的存在也使得很多基于IP的成熟的安全技術(shù),如TLS協(xié)議、加解密算法,無法直接被IoT設(shè)備所利用。雖然這種“復(fù)雜”的局面在技術(shù)上并非無解,但是對于開發(fā)者和使用者來說需要額外的時間和資源的投入,將是一筆不小的負(fù)擔(dān)。

  成本、成本、成本

  IoT安全裝置的第二個影響因素是“成本”。以邊緣節(jié)點而言,物聯(lián)網(wǎng)中多數(shù)使用者的終端裝置都是結(jié)構(gòu)簡單、低功耗、低成本的,在設(shè)計規(guī)劃時往往很少、甚至根本沒有考慮安全預(yù)算。提升邊緣節(jié)點的安全層級,最直接的方式就是投入額外的硬體,不論是采用具備安全性能的MCU,還是嵌入安全晶片。這對于很多OEM,特別是對于增加幾塊錢的BOM成本就斤斤計較的消費型物聯(lián)網(wǎng)產(chǎn)品來說,確實是件讓人為難的事。類似的成本“糾結(jié)”,在網(wǎng)絡(luò)閘道和云端安全性提升時,一樣也會出現(xiàn)。

  然而,這還不是全部的安全成本。整個物聯(lián)網(wǎng)系統(tǒng)生命周期中,需要人力對系統(tǒng)中的設(shè)備連接進行安全性的設(shè)置和管理,如授權(quán)、加密等,這種對設(shè)備安全性的“個人化”管理也是一個可觀的成本,不論是設(shè)備制造商還是使用者、營運商,都需要有人去承擔(dān)成本。隨著網(wǎng)絡(luò)的規(guī)模逐年成長,這一類的成本壓力也將更為顯著。此外,將不安全設(shè)備的廢止或改造以提升物聯(lián)網(wǎng)的安全性,還會為使用者帶來“沉沒成本”,導(dǎo)致過往的投資損失。為了保護既有投資,使用者在決策時稍做折衷也是在所難免,但這也是影響物聯(lián)網(wǎng)安全“革命”難于徹底的原因之一。

  安全團隊

  影響IoT安全的第三個因素,就是人。傳統(tǒng)的技術(shù)認(rèn)知中,設(shè)備安全是嵌入式開發(fā)者的事,而網(wǎng)絡(luò)安全是IT工程師的事,然而物聯(lián)網(wǎng)帶來了技術(shù)的融合,也需要相關(guān)專業(yè)人士的意識與知識重構(gòu)。在物聯(lián)網(wǎng)發(fā)展的初期,這樣的“人”是很難得的。一個稱職的物聯(lián)網(wǎng)安全團隊,能確保產(chǎn)品和系統(tǒng)設(shè)計之初,就將安全議題考慮進去,而不是在出現(xiàn)問題之后再亡羊補牢。因為越來越多的事實證明,在物聯(lián)網(wǎng)系統(tǒng)啟用之后再考慮增加安全性的問題,注定會是一場失敗的戰(zhàn)斗。

  以上這些就是我們在IoT安全所面臨的困境。不過,IoT的安全性確實是一件不得不做的事情,也應(yīng)該是我們物聯(lián)網(wǎng)價值觀中的底線基準(zhǔn)。



關(guān)鍵詞: 物聯(lián)網(wǎng)

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉