物联网成信息安全“重灾区”
我们有没有想过,当我们享受着物联网给生活带来的便利时,看不见的安全威胁可能已经发生。
近年来,物联网技术不断发展与创新,深刻改变着传统产业形态和人们生活方式,随着数以亿计的设备接入物联网提供创新、互联的新服务,整个生态系统中的诈骗和攻击行为随之增加,对用户隐私、基础网络环境的安全冲击尤为突出。
就在物联网已经逐步成为网络安全“重灾区”的背后,是物联网硬件设备厂商安全意识淡薄,安全投入不足的现状。在日前召开的“2018 isc互联网安全大会”上,不少专家认为,物联网设备基数庞大,加上安全防护脆弱,可以预见的是,物联网威胁将逐渐成为互联网的常态。
消费物联网隐私泄露频发
消费物联网是以消费为主线,利用物联网智能设备极大改善或影响人们的消费习惯为目的生产打造的智能设备网络。智能家居(包括智能家庭、家电等)是消费物联网最主要的消费级产品。同时,智能穿戴设备如手环、眼镜、便携医疗设备也是消费物联网的主要应用。
记者了解到,消费物联网场景最贴近数量众多的终端销售者,因此也得到黑色产业链更多的关注。最近针对消费物联网的安全威胁事件日益增多,如英国某医疗公司推出的便携式胰岛素泵就被黑客远程控制,黑客完全可以控制注射计量,而这直接影响使用者的生命安全。2017年,日本国内出现多起针对智能电视的勒索病毒事件。我国国内也出现了多起家用摄像头被黑客控制利用非法获取敏感视频对用户进行敲诈的情况。2017年8月,浙江某地警方破获一个犯罪团伙,在网上制作和传播家庭摄像头破解入侵软件。查获被破解入侵家庭摄像头IP近万个,涉及浙江、云南、江西等多个省份。
对很多老百姓而言,安全威胁可能就潜伏在身边。一旦攻击者获得远程控制权限,即便是小小的摄像头也能够成为泄露用户隐私的元凶。最新的Gartner调查数据发现,近20%的组织在过去三年内遭受到至少一次基于物联网的攻击。为了防范这些威胁,Gartner预测全球物联网安全支出将在2018年达到15亿美元,比2017年的12亿美元增长28%,预计2021年物联网安全支出将达到31亿美元 。
“作为一种新技术,物联网的行业标准以及相关管理刚刚起步,但物联网基数大、扩散快、技术门槛低,已经成为互联网上不得不重视的安全问题。”360企业安全集团总裁吴云坤在接受《经济参考报》记者采访时说。他表示,目前针对消费物联网的主要威胁有如下几点。第一,利用漏洞或者自动安装软件等隐秘行为窃取用户文件、视频等隐私;第二,传播僵尸程序把智能设备变成被劫持利用的工具;第三,黑客可以通过控制设备,反向攻击企业内部或其运行的云平台,进行数据窃取或破坏。
设备厂商安全意识淡薄
据GSMA公布的数据,预测在2025年全球物联网设备(包括蜂窝及非蜂窝)联网数量将达到252亿,远高于2017年的63亿。在预测期内,市场规模将几乎是原来的四倍。工业物联网设备联网数量将在2023年超过消费物联网设备联网数量,在2016年至2025年之间工业物联网连接量将从24亿增加到138亿。
就在物联网加速融入人们的生产生活同时,当前不少物联网设备生产厂商侧重追求新功能,对安全重视严重不足。吴云坤指出,一方面,很多设备和硬件制造商缺乏安全意识和人才。另一方面,物联网设备数量非常庞大,价格低廉是一大特点,很多厂商需要拼命压缩成本,安全方面的投入自然会严重不足,无论是升级、配置还是补丁维护等,物联网行业都非常薄弱。
一位业内人士表示,面对层出不穷的网络攻击,对设备厂商提出了新的要求,不仅仅需要保证制造的冰箱、摄像头、路由器这些产品的使用性,同时还必须要保证安全性。值得注意的是,物联网应用还较新,在监管机构出台相关法律法规前,厂商缺少动力将安全置于整个产业链中。
“从当下的市场环境看,厂商强调智能化的功能设计,求新求快是物联网行业中的主流,安全反倒是可有可无的选项,这让物联网环境更加具有脆弱性。”吴云坤说。
物联网安全标准亟待设立
在日前召开的“2018 isc互联网安全大会”上,不少专家认为,物联网设备基数庞大,加上安全防护脆弱,可以预见的是,物联网威胁将逐渐成为互联网的常态。
360企业安全集团董事长齐向东在接受记者采访时表示,在目前互联网高速发展的时期,任何一点安全风险都可能被放大,造成个人信息泄露、财产损失甚至人身安全等问题,给人们生活和社会运行带来影响,而物联网的安全威胁远未见顶,随着物联网在社会生活中的普及,应用场景不断丰富,安全风险也将随之增加。
“关口前移是非常重要的,如果仅仅等到信息泄露后再补救,物联网面临的网络威胁问题将无法真正解决。”吴云坤说。他表示,首先物联网设备提供商要保障终端安全,引入安全开发流程提升终端安全性,并在产品上市前进行安全评估,其次物联网平台提供商应重点关注平台安全和设备、移动端与自身的连接是否安全,要从各个维度和环节进行把控,保障数据存储的安全性。
业内专家建议,首先,应加强安全技术标准建设及合规性检测,对因为设备自身漏洞引起的重大泄露事件,要对涉事企业进行巨额罚款等。其次,构建物联网全生命周期立体防御体系。再次,要推进攻防结合促进物联网安全技术发展,团结行业力量打造物联网安全生态。