当前,“安全”这个词,已经成为互联网领域最令人关注的话题之一,安全性在传统企业网路上就已经很难管理,现在又加上了各种大大(例如汽车)小小(例如网路摄影机、婴儿监视器)的物联网(IoT)装置,而且打造这些装置的厂商几乎没有网路安全意识。
连网装置应用领域从中央监控系统(SCADAsystems)到消费性电子产品,随着研究人员陆续公开重大缺陷,这些装置的安全漏洞也在过去一年成为聚光灯焦点。有些受影响的产业第一次是透过所谓的“白帽”骇客,发现在汽车、心律调整器、道路交通系统、家庭自动化系统以及飞机等产品的弱点;而一个重大的转变是,现在公共安全有一部分等同于上述那些产品。
有一些因为特殊用途所配备的功能实际上成为安全漏洞,例如有目的的后门(intentionalbackdoors)、硬式编码凭证(hardcodedcredentials)、未加密的资料流量,以及与非关键系统位在同一个网路的关键系统。
为何不修补或是更新那些物连网装置,或是把它们打造得更安全?要保护那些消费性电子产品以及其他嵌入式系统,还需要克服以下几个大挑战:
1.通常没有一致性或官方的软体更新程序/机制
在Windows平台装置上的恶意软体最后都会被发现,物联网装置内部的“能见度”很低甚至是零,谁都看不见那些装置内有什么,如果有更新、也看不见其韧体的可信赖度。
2.很多消费性产品以及其他非传统性IT供应商,对嵌入他们系统中的网路威胁了解很少或根本不了解
多数嵌入式装置制造商与安全性技术社群之间的隔阂甚深,那些装置内的硬式编码密码、后门以及不安全的通讯协议,可能会让攻击者入侵并中断船舶、飞机与军事设施的通讯连结。
那些受影响的设备供应商根本没有计画来修补那些缺陷;有部分供应商还坚称那些问题不是漏洞,只是他们的产品中非必要的功能。
安全产业发起了IAmtheCavalry、BuildItSecure.ly等计画,期望能拉近与嵌入式装置制造商之间的距离,那些“白帽骇客”们也能协助并研究如何更妥善的保障产品安全。
3.装置的安全性通常缺乏可负责者
大多数消费性装置的安全性该由谁来负责,往往没有清楚的权限划分,你问装置制造商,他们也会说不知道;他们几乎不会想到这个问题。
有些厂商只是透过官方网站发布韧体更新,而且端看消费者或使用者自己要不要下载安装更新:有的安装更新只有简单说明,例如只告诉你要用USB缆线连结;我不认为装置制造商认为他们应该要负责维护装置的安全性。
4.许多装置所配置或因特殊用途而建立的功能实际等同于安全漏洞
许多物连网装置与IT系统是在同一个网路上,这些装置是不是总有一天会成为把其他东西送进我的网路的桥梁?如果有人透过我的网路摄影机看见我在家里穿着内裤跑来跑去,这很不妙;而如果他们收集我的个资或其他在相同网路上的设备资讯,那又该怎么办?关键在于将这些消费性连网装置与同一网路上拥有敏感资料的系统分开。
对于广大企业而言,物联网是一个新挑战,至少有许多方法能在那些装置一旦被定义时,为其添加安全措施;物联网装置的数量将会是我们前所未见,评估并具备了解网路所传递的流量来自何处的能力,以及能追踪它们并关闭的能力,是企业关键必备的,如果看不到这一点,将会后患无穷。