物联网(IOT)给我们带来了智能冰箱,它可以自动从超市订购我们想要的食品或杂货;还有智能手表,它能帮我们实时将血压传给医生;当它发现我们已经离开房间时还能连接烤箱并预热食物。
就在市场和各个公司都在费尽心思地描绘物联网的未来时,却很少有人去关注和考虑该如何确保物联网的安全性。
思科公司预测,到2020年世界将会有五百亿个设备接入物联网,并能与各种系统、数据库、人、机器进行交流。这是一个存在巨大潜在危险的扩展网络。同时,由于物联网通信性质的原因,会让攻击行为变得更具危害性。
我们需要建立一种能获取互联网设备真实身份的能力,并拥有一种能与设备进行通信的系统或人。若没有这点,物联网将会使犯罪分子有机会攻击高价值的目标,比如家庭安全系统,或者禁用连接物联网的汽车报警。他们还可以通过冒充数据的预期收件人来截取敏感信息——这将给至关重要的国家基础设施或其他关键任务的设置带来灾难性的危害。
大多数物联网设备需要一个安全的、受信任的身份,这个基本要求至今仍然做的不足。各个公司急于把这些设备推向市场,开发成本和时间已经高于安全性的优先级。这将导致我们在家庭和办公室里仅仅堆满各种设备,而不是改善我们的生活,这将使我们为新一代网络威胁敞开大门。
任何连接到互联网的设备都是容易受到攻击的,虽然我们已经在打击网络犯罪的路上走了这么远,令人沮丧的是,我们似乎并没有领悟到这点。例如,在欧洲,芯片和PIN技术已被广泛采用,并取得消费者和企业的一致好评,它让费者相信金融交易,让银行能识别用户的身份。然而,面对当前的物联网设备,类似的措施是完全缺失的,这让它们在欺诈、勒索和盗窃面前完全没有防备。我们的当务之急是如何确定这些设备的真实身份。
当然也有好消息,那就是,越来越多的物联网设备已经具备了安全的手段。手机和平板电脑的可信赖执行环境(TEE)或SIM卡,这是设备的安全部件。许多其他物联网设备也具有类似的安全环境。通过在这些环境中放置一个凭证,即机器认可的安全身份,可以确保与其他设备或系统之间进行安全的通信。
正如人们所看到的,确保设备安全的问题不是复杂得难以理解或使用。必须保证认证系统的工作,因为他们结合了高安全性、便利性和易用性,因此很容易为终端用户带来好处。当我们无法确认设备的身份时,我们必须让技术供应商和公众了解其内在的危险。
关于物联网的交流会谈必须迅速成熟起来。我们不需要去过分地猜测技术的潜在应用前景(因为无论如何,我们也不能准确预测),我们需要的是,制作出让我们可以相信的通信设备。
值得庆幸的是,必要的技术和方法已经上市了,并尝试在现实世界中进行测试。安全认证和安全环境的基本形式已经存在。我们需要的是对科技产业的某一部分做出共同努力,从芯片供应商到设备制造商乃至电信公司,都应以为机器提供身份安全标准为目的。与此同时,我们必须教育公众有关物联网安全隐患的问题,并确保他们能理解验证物联网设备身份的重要性。
我们希望看到这种为一个共同标准而合作的结果,其中每一个制造商都能够坚持,不混淆和疏远终端用户,并为他们提供多种身份验证的方法。毋庸置疑,目前许多制造商正在研究该如何创造设备的可信任身份。通过提高对物联网设备安全风险的意识,搭建简单、安全的认证系统,将加速行业的合作。
我们还有时间把自己从不安全网络的边缘拉回来。让教育与合作成为我们的重点,在未来,我们一定能够达到所有的目标,更好地保障我们的安全。
全部评论