新方案!如何保護物聯網安全
2019年,人們在物聯網技術運用方面進入了一個新的轉折點——更多的市場和行業正在向基于云的基礎設施遷移,隨著物聯網的不斷普及以及更多的設備與數據在線產生交互,全球各地的網絡安全立法工作者都注意到了這一點。
物聯網發展對網絡安全可能產生的不良影響是其經常受到批評的重要原因,伴隨著網絡規模和復雜性的增長,物聯網受網絡攻擊的概率會不斷增加。
近年來,網絡安全立法工作者一直在努力解決物聯網中的網絡安全問題。在美國,2017年的TIPS物聯網消費者法案和SMART物聯網法案就已現雛形,但直到2018年才進入大眾的視野。
圖源:拍信圖庫
去年,加州成為美國第一個通過物聯網設備網絡安全法(SB-327)的州,該法案將于2020年正式實行。法案要求直接或間接連接到互聯網的設備制造商必須配備"合理"的安全功能,以防止未經授權的訪問、重要信息的修改或泄露。SB-327法案只是保護消費者的第一步,通過持續修訂更新,本法案將擴展成為大型企業的解決方案。
雖然該法案的立法作為保護互聯設備措施的重要一步而被高度評價,但也引起了輿論的非議。許多網絡安全專家認為, 該法案過于籠統模糊,可能允許制造商留下安全漏洞,例如在2016年Mirai僵尸病毒就曾利用類似漏洞進行了大規模的網絡襲擊。
從個人用戶使用的社交平臺到聯邦政府使用的企業系統,,美國網絡安全立法工作者開始采取行動,更好地保證物聯網設備和不斷增長的云數據的安全。
全球范圍的實踐措施
從全球角度來看,英國和日本都曾承諾解決物聯網網絡安全問題,并為制造商和行業利益相關方面制定準則和法規。2018年,英國政府推出了物聯網安全業務守則(CoP),旨在提高基礎安全性,為物聯網相關從業者提供全行業的網絡安全解決方案。
圖源:拍信圖庫
日本最近采取的措施更為激進,致力于積極解決全國各地的物聯網設備安全隱患。今年2月,日本國家信息和通信技術研究所的官員宣布,他們將開始調查全國2億個IP地址,試圖找到有缺陷的設備。其目標是幫助互聯網服務提供商和電信部門通過固件更新或基于云的安全措施更好地了解其網絡和設備中的漏洞,以便他們能夠更有效地創建修正后的網絡安全措施。
圖源:拍信圖庫
英國和日本的這些努力為物聯網網絡安全的未來勾勒了一幅美好的愿景,即物聯網設備的網絡安全會受到更多重視,與物聯網業務相關的制造商、供應商也將迎來重大變革。
關于物聯網安全的其他方案
好的用戶體驗、通用的標準和通暢的信息傳輸等都是從立法角度處理物聯網網絡安全問題的首要環節。制造商、供應商和物聯網發展促進者都應保護客戶的信息,但在物聯網安全保護方面,目前仍存在著許多難以解決的問題。例如各國立法機構最近推出的各種解決方案并沒有進行更深入地研究,這些解決方案很可能不足以幫助供應商在未來持續保護其技術的發展。
網絡安全立法工作者和負責制定新網絡安全條例的人員也應該關注軟件層面以外的安全問題,例如研究終端或嵌入式設備。
1. 基于CPU的方案
物聯網設備可以使用路由器規則和防火墻等工具進行網絡保護,也可以通過使用CPU內置的安全防護模塊來檢測和阻止攻擊、驗證訪問、分析通信來源等。
圖源:拍信圖庫
當今的設備安全性過于依賴CPU來抵御大多數攻擊。在多數情況下,安全漏洞來自制造商或用戶的疏忽。這些疏忽是網絡安全發展過程中對連接設備主動和被動保護的重要考量,通過研究這些漏洞,物聯網安全發展和管理將會更進一步。未來的物聯網系統將識別并主動采取措施阻攔攻擊,在這種情況下,攻擊會自動阻止,無需手動或自動操作。
2. 基于內存的方案
還有一種創新的方法是保護內存,無論是針對處理器還是針對在內存上運行的軟件都是如此:在安全內存中創建一個網關,阻止對受保護的內存塊寫入操作,從而阻止攻擊者進行更改,即使在攻擊者獲得了主機/操作系統完全控制權,也無法運行任何惡意代碼。此方法與處理器和設備上運行的任何軟件無關,可避免在啟動或運行時出現延遲。
當然,現有的設備需要通過升級來實現這一方案。可在設備的內存之間創建一個安全通道以保護內存,使網絡和設備內的軟件和處理器都無法破壞該通道,將信任范圍從云-處理器,擴展到云-內存以允許安全地更新受保護的閃存,而不會將其暴露給主機。
所有物聯網行業都有必要制定端到端的安全解決方案,通過提高對云到內存、硬件基礎網絡安全和安全管理標準等解決方案的認識,立法部門和物聯網從業人員應一起開發更嚴格、更精準的物聯網安全解決方案,共同促進物聯網安全的發展。
