万物联网 二部曲--绝处逢生

  

 

  以自适性信赖防护模式自动化监控物联网的一切

  “不!不!我的天!我完全无法控制剎车!”莱丝莉.斯塔尔惊呼道。

  莱丝莉.斯塔尔,美国CBS电视台新闻杂志节目《60分钟》的记者,惊呼当时正出现在节目里,开着通用汽车的雪佛兰Impala房车。画面一转,我们看到2010年时为博士研究生的Karl Koscher,正以其软件从远程控制通用汽车安装在Impala车内、类似物联网(IoT)的车载通讯管理系统OnStar。在另一个实验中,Karl Koscher还攻破OnStar的安全漏洞让Impala旋转。(5年后通用汽车修复了这个漏洞。)

  2016年9月18日,法国最大云端服务与主机代管供货商OVH,面临史上罕见的大规模DDoS(分布式阻断服务)攻击。连续4天,超过 100Gbps等级的攻击至少出现26次。其原因是黑客利用Mirai恶意软件,感染物联网联机设备,如网络监视器、IP Cam、路由器或是小型Linux设备,取得远程操控这些装置的权限,再利用这些遭骇的物联网装置,对特定目标发动DDoS攻击。

  2017年5月12日起,WannaCry(想哭)加密型勒索软件,利用微软Windows操作系统的安全漏洞,乘虚而入,加密个人计算机里的档案,要求受害的档案拥有者给付解密赎金,至今受害者遍布150个国家、超过20万台计算机。

  但据IoT Institute报导,令人担忧的是,物联网恐成为WannaCry的下一个目标。例如在酷寒的冬天控制你家的恒温器,要挟你再不付赎金就没暖气,或者不惜攻击电网、工业设施或医疗院所以求获得赎金。

  不安全的物联网置人于绝处险境

  层出不穷的事件告诉我们,物联网的致命弱点,就是安全性。不安全的物联网将置人、物于绝处险境。而且,不注重举足轻重的安全性,物联网技术改变世界的承诺,将无法实现。

  理由很简单,如同美国华盛顿大学副教授Matt Reynolds所说:"物联网的整个理念是,这个由人类和自动化系统所构成的组合,根据分布在我们环境和生活中的传感器及系统所输入的数据,来决定时间和资源的配置。如果这些传感器输入的数据不可信赖,人类和自动化系统要么就是不理会传感器和系统,要么就是更糟糕地做出错误决策。在极端情况下,这种错误决策可能造成经济损失,甚至对人类和我们的环境造成伤害。"

  我们可以合理的预测,未来企业在发展物联网策略时,装置(things)的安全性将比数据的安全性还重要。从Aruba 2017年的《物联网:今天和明天》调查报告中,我们就看到84%的物联网用户表示他们至少经历过一次物联网违安事件,其中以恶意软件、间谍软件和人为错误是最常见问题;93%的高阶主管则预期未来会遭遇物联网安全违规行为。

  转危为安 始于了解网络上的一切

  那么,什么样的步骤或措施,可以确保物联网的安全性,让我们化险为夷?

  首先,我们要彻底做到一个关键前提:对于网络上的一切,了如指掌。安全,始于了解网络上的一切。未受管理的智能手机、恶意的端点装置、物联网装置等,都会增加攻击面,威胁到企业安全。如果能看到网络上的一切,我们就可以更清楚了解公司网络的使用情况以及哪些人在使用。

  IT必须能辨识并剖析每一个联机到网络的装置,其类型、数量、联机来源位置,以及支持的操作系统,然后持续深入观察变化。唯有符合安全和行为规范的装置,才能连上网络,不合乎规范者必须被调整,否则就拒绝其联机。

  第二,建立智能型的安全原则,以便提供适当的用户和装置存取权,而不用考虑用户、装置类型或所在位置。第二步骤和第一步骤的关系密切。这是因唯有具备了解装置的能力(即可见度),才能自动实施安全原则。

  不过,对企业与工业领域中的组织来说,还应注意到有线的物联网装置,如动作传感器、医疗设备、工厂的制程控制器、会议室设备、IP 电话、打印机等,预期其数量将从35%成长到50%以上不等,视产业而定,因此安全原则必须涵盖有线和无线网络。

  这些原则可充分利用用户角色、装置类型、移动装置管理∕企业移动管理数据、凭证状态、位置,以及星期几等,轻松管理员工、学生、教师、访客、企业主管及其所携带的无线装置,以及网络交换器上的装置端口。