在旧金山举行的2015 RSA大会上,似乎大家就一件事达成了共识,那就是物联网是一个迫在眉睫的安全威胁,但是关于到底安全行业应该做些什么并没有达成共识。
有解决方案提供商和安全专家表示,挑战在于技术仍然很新,而技术威胁是真实存在的,没有一个明确的地方开始阻止攻击。
“目前者还处于生命周期的早期阶段。……问题在于,大家都知道那里会有大量威胁,但是没有人确切知道安全隐患将会是怎样的。”总部在伊利诺伊州的Auryn Technology负责人和IT架构师Erik Wilson这样表示。“我不认为企业真的知道发生了什么事情。……我认为这是令人兴奋的,但也有点可怕。”
周三一个安全专业人士进行的小组谈论,探讨了物联网的未来,他们认为,由于缺乏对于未来技术发展方向的洞察,使得难以实施保护措施。
“我们甚至不知道最终的目标到底是什么。我向我们看到结果的好处之一,是调节和可组合性——我认为会有一个完全不同的挑战,并且比我们现在的保护方式更严峻。我们甚至不知道未来是什么情况。”国家标准和技术研究所信息系统安全顾问Yan Pillitteri在小组讨论中这样表示。
另一方面,这些可能性的广度正是让市场感到兴奋的地方,小组讨论这样表示。
Yan Pillitteri说:“你在会走之前学会必须爬行,在会跑之前必须学会走路。现在我们看到,新的传感器和新的设备正在不断增加。……这将是一个缓慢的过程,而且我确实看到了政策和隐私性一些方面的革新。这些都将是具有革命性意义的事情。”
让挑战加剧的是攻击范围的不断庞大,随着越来越多设备连接到网络,创建一个更大型的网络进行保护,总部在弗吉尼亚州雷斯顿的解决方案提供商Leido网络安全首席技术官Gib Sorebo在分组会议中探讨了这个问题。
“随着物联网的崛起,这不只是一个‘我有这样一个设备,我需要控制这个设备’的简单问题了。……而是要与其他设备进行互动。”Sorebo这样表示。
总部在挪威拉尔维克的Abax公司IT经理Esoen Otterstad表示,他的公司帮助公司构建GPS跟踪设备等解决方案。因为该公司构建的解决方案通常是围绕着物联网的,因此该公司在过去6个月中,在客户提出需求和出现任何安全事故之前就围绕着该技术加强了安全措施,Otterstad这样表示。
他说,挑战在于很难找出从哪开始着手,以及把重点放在哪,因为对于物联网来说,这个威胁领域仍然是新兴的。
Otterstad表示:“这仍然是一个学习的过程。在Web方面,我们正在做的事情是行业标准的。在物联网方面,……我们正在开始和考虑从哪开始,这是目前最重要的事情了。”
总部在宾夕法尼亚州约翰斯敦的Concurrent Technologies Corp.公司IS安全总工程师Dom Glavach表示,物联网的威胁环境有三个方面,主要受到人为因素、通常未打补丁的嵌入式设备、以及设备收集并且有可能暴露的信息。
总部在宾夕法尼亚州Blue Bell的Unisys CISO Dave Frymier表示,有一个挑战是没有像其他行业一样存在一些标准,但是软件行业是没有标准的。Frymier表示,实施产品质量标准的唯一现有实体就是政府。
“这是事物自然而然的一个进化过程。”Frymier表示。“物联网已经在这里了,它一直在这里……直到我们发现、意识到了 “物联网”的概念,而这种向大型全局网络增加软件驱动设备的概念,不过是一场噩梦。”
在Leido的Sorebo演讲中,他给出了一个风险模型,展示企业应该如何思考安全和物联网。他说,首先,安全专家应该围绕物联网设备定义使用实例,并且尽可能具体。然后,他们应该确定所有相关的影响和未来可能出现的薄弱环节。最后,这些答案将会引导他们确定这些设备可能会存在哪些安全威胁。
Sorebo表示,为了减轻这个风险,安全行业有下面一些选择:
首先,他们可以设计契合所需的设备,不过Sorebo表示这可能是不现实的,因为用途有可能会扩大。
其次,Sorebo表示,企业可以清楚地记录一些假设情况,包括设备的用途和未来可能出现的一些责任义务。第三,企业或者监管机构可以对设备如何互动进行密切监管,例如车辆与车辆之间互动。
第四,他说可以有一些授权和审核的协议与设备软件库。最后,还可以有针对不同使用情况的设备认证。