2018年9月28日,加州州长签署了加州SB327法令,这是美国第一部授权物联网(IoT)设备制造安全条款的法律(有一部类似的、但范围更广的联邦法案叫做《物联网2017年网络安全改进法案》),由国土安全和政府事务委员会负责,我没有看到该委员会最近有什么动向。
新的加州法律规定,连接设备必须具有合理的安全特性。这意味着物联网设备制造商可能需要开始提供唯一的预编程设备密码(而不是默认密码),或者在首次授予设备访问权限之前增加强制用户进行身份验证的功能。加州现有的法律已经迫使企业实施和维持与收集数据的性质相适应的合理的网络安全程序,但新的法律专门适用于事务。我看到新法律的批评者指出,这些要求含糊不清,忽视了加密,也没有解决助长这一问题的潜在不良做法。
但几乎每个人都认同现在存在的问题。安全状况不佳的物联网设备的使用助长了Mirai僵尸网络(Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络)。在2016年破坏性的网络攻击,造成了无数其他网络安全的噩梦。在过去的几周里,据报道一个新的Hakai物联网僵尸网络正在发展成为一种迫在眉睫的威胁,甚至产生了两个不同的基于Hakai的变种,这些恶意软件正在网上传播。这些小程序主要由被劫持的物联网设备提供动力。加州这部将于2020年生效的法律是否会对遏制这一问题产生任何影响仍有待观察,但它表明,信息安全部门以外的人现在也在关注事务的安全,以及生活在智能和互联世界中的影响。
虽然像Mirai这样的僵尸网络很大程度上是由被征用的消费者物联网设备驱动的,并被用于拒绝服务(DoS)网络攻击,但工业物联网(IIoT)网络威胁背后的动机可能对企业的利润构成更大的威胁。我看到了IIoT支持的制造业的特殊弱点,例如,Industry4.0鼓励了供应链中信息技术系统、设备和云资源的大规模整合。而现在,运营能力和知识产权都受到威胁。
最近的Vectra《2018年工业专题报告》指出,工业遭受了大量的恶意内部网络活动、横向移动和侦察活动(尽管他们是一家网络安全公司);Deloitte在最近的一篇文章中也谈到了这些漏洞。这表明攻击者已经渗透到这些网络中,正在窥探关键资产或试图破坏基础设施。攻击者可以利用持有者不小心部署下的不安全的IIoT设备和薄弱(或不存在)内部网络控制,轻松进入这些网络。
广泛执行更好的设备安全最佳做法的法律可能是解决这一问题的一种办法,但援助也可能来自更具创新性的方面。区块链技术作为一个分布式数据库,以加密和不变的方式记录在系统中移动的每一个数据块,它可能为我们连接的设备指明一个更安全的未来。区块链很难被欺骗。从理论上讲,它的对等结构、去中心化结构和对共识的依赖使其更难破解。根据我的观察,基本上没有中央控制可以进入,也没有验证者来愚弄。例如,攻击者可能会以数字方式强行进入一家公司的一个安全性较差的IIoT路由器。但是,试图使用该入口点操作或与网络中的其他节点进行交互的尝试可能会在区块链模型中受到阻碍。在这种情况下,被攻击路由器的哈希活动记录将不再与网络中的其他活动相匹配,并且无法实现一致验证。
目前正在进行许多规模较小的初步研究,包括对物联网安全问题进行一次2018年的审查(需要注册),以及对智能家居的区块链安全进行2017年的案例研究(需要注册),并且已经成立了联盟,试图将区块链安全应用于物联网和IIoT网络。但可行性分析的状况不太乐观。希望进一步深入研究环境的科技领袖和创新者好能探索Hyperledger或以太坊社区,以了解新出现的能力和概念证明。
区块链仍然是一项相对较年轻的技术,目前它在规模和速度上面临着限制,这在现代IIoT的部署中是必不可少的,但它的模式显示出了希望。我相信,无论是谁发现了解决这些限制的办法,都会赚到一大笔钱,并得到一百万IT经理的感激。而遵循类似逻辑的解决方案值得我们考虑。从传统的客户端-服务器模式转向新兴技术的想法可能是未来的唯一选择。同时,我认为减轻安全问题的好方法是实际实施网络安全(就像美国计算机应急准备计划所概述的那样),定期进行审计、管理和监控访问、利用分层防御等等。实际上,我们中很少有人这样做,攻击者也知道这一点。
有一件事是肯定的:我们现在做事情的方式太冒险了。无论立法者在设备安全方面做了什么或不做什么,物联网工业都必须加强应对这一威胁。
相关阅读: