2020年六大物聯(lián)網(wǎng)安全趨勢(shì)
聯(lián)網(wǎng)是指通過(guò)信息傳感設(shè)備,按約定的協(xié)議,將任何物體與網(wǎng)絡(luò)相連接,物體通過(guò)信息傳播媒介進(jìn)行信息交換和通信,以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)管等功能。
踏入新十年,物聯(lián)網(wǎng)安全領(lǐng)域逐漸成熟,但也伴隨著新一波的風(fēng)險(xiǎn)。
就在不久之前,“物聯(lián)網(wǎng)安全” 這個(gè)術(shù)語(yǔ)聽起來(lái)還有點(diǎn)自相矛盾。但現(xiàn)在,對(duì)物聯(lián)網(wǎng)安全重要性的認(rèn)知已經(jīng)達(dá)到了空前的高度。聯(lián)網(wǎng)設(shè)備如今已滲透到我們生活的方方面面,從家居到工廠無(wú)處不在,惡意黑客如今手握大把形形色色的終端目標(biāo)?,F(xiàn)在我們就來(lái)預(yù)測(cè)一下,來(lái)年網(wǎng)絡(luò)安全領(lǐng)域的貓鼠游戲中會(huì)出現(xiàn)些什么。
1. 智能樓宇安全問(wèn)題引人關(guān)注
2020 年,智能樓宇安全問(wèn)題可能會(huì)成為設(shè)施管理者的首要考慮。Gartner 的調(diào)查研究表明,2020 年,80% 的聯(lián)網(wǎng)設(shè)備與樓宇相關(guān),智能樓宇為對(duì)手提供了新的攻擊途徑。但在明年此類攻擊會(huì)不會(huì)大幅增加的問(wèn)題上,專家們意見不一。Honeywell Building Solutions 網(wǎng)絡(luò)安全全球總監(jiān) Mirel Sehic 預(yù)期會(huì)出現(xiàn)大幅增長(zhǎng)。攻擊者可能將樓宇管理系統(tǒng)作為跳板,用以獲取 IT 數(shù)據(jù),以及操縱建筑控制。
Kudelski Security 首席執(zhí)行官 Andrew Howard 表示:我不認(rèn)為明年會(huì)看到更多此類攻擊,因?yàn)楹芏嘟ㄖ?nèi)部的網(wǎng)絡(luò)都是高度隔離的。
盡管可能會(huì)有一兩個(gè)系統(tǒng)接入互聯(lián)網(wǎng),但事實(shí)上大部分系統(tǒng)都沒有聯(lián)網(wǎng)。即便聯(lián)網(wǎng),通常也是 VLAN 隔離的。這可不是像常見的物聯(lián)網(wǎng)網(wǎng)絡(luò)那樣所有設(shè)備都鋪在平面網(wǎng)絡(luò)架構(gòu)上。以我的經(jīng)驗(yàn)看,大多數(shù)樓宇,無(wú)論是新是舊,事實(shí)上都很重視隔離。比如說(shuō),電梯就與樓宇管理系統(tǒng)是隔離的,跟自動(dòng)扶梯也是隔開的。樓宇中的安全攝像頭可能接入互聯(lián)網(wǎng),但基本上很難以此為跳板跳轉(zhuǎn)到樓宇管理系統(tǒng)中。
2013 年塔吉特信用卡數(shù)據(jù)泄露后,聯(lián)網(wǎng)樓宇系統(tǒng)的前景就成了主要的網(wǎng)絡(luò)安全顧慮。該事件中,塔吉特的暖通空調(diào)供應(yīng)商被入侵,攻擊者能夠進(jìn)入其內(nèi)部網(wǎng)絡(luò),包括其支付系統(tǒng)。僅此一項(xiàng),黑客就卷走了 4,000 萬(wàn)信用卡號(hào)。
保護(hù)樓宇安全的挑戰(zhàn)之一,就是情況常是碎片化的。沒有大玩家現(xiàn)身充當(dāng)該領(lǐng)域的安全供應(yīng)商。
2. 5G安全開始嶄露頭角
2019 年時(shí),5G 看起來(lái)還只是理論上的可能性。上半年,5G 在商展和個(gè)別地區(qū)展示性現(xiàn)身,但現(xiàn)在,電信公司紛紛開始推出他們的 5G 網(wǎng)絡(luò)。
到 2020 年,隨著 5G 部署持續(xù)推出,攻擊亦將接踵而至。IOActive 首席技術(shù)官 Cesar Cerrudo 對(duì)此表示同意。
無(wú)論何時(shí),互聯(lián)的東西越多,安全問(wèn)題就越多。
5G 最終成為基礎(chǔ)協(xié)議的前景意味著,從監(jiān)視和交通攝像頭到車輛的所有東西都會(huì)通過(guò)該協(xié)議連接。這就有可能給攻擊者提供癱瘓社區(qū)、城市甚至整個(gè)國(guó)家的康莊大道了。5G 還可以為主要使用不同無(wú)線協(xié)議的設(shè)備提供連接。比如,5G 可以作為 LPWAN 設(shè)備接入云端的回傳線路。
盡管有抗干擾屬性,但與其他無(wú)線通信方式一樣,5G 也易于遭受拒絕服務(wù)攻擊和阻塞。
電信和基礎(chǔ)設(shè)施公司大力推廣 5G 的各種用例,包括工業(yè)領(lǐng)域。將 5G 用于關(guān)鍵工業(yè)過(guò)程,產(chǎn)生切實(shí)業(yè)務(wù)影響,是頗具風(fēng)險(xiǎn)的提議。對(duì)此,PAS Global 首席信息安全官 Jason Haward-Grau 表示:
讓情況變得復(fù)雜的是,很多工業(yè)環(huán)境都部署著過(guò)時(shí)的遺留設(shè)備。惡意黑客將開始針對(duì)這些環(huán)境,帶來(lái)嚴(yán)重后果,比如對(duì)配置的非授權(quán)修改——可致工業(yè)過(guò)程未按既定方式運(yùn)轉(zhuǎn),因而造成工業(yè)事故、斷電,甚至環(huán)境災(zāi)難。
3. 托管安全服務(wù)市場(chǎng)激增
近些年,很多公司企業(yè)開始拋棄獨(dú)自管理安全的想法。增長(zhǎng)中的一個(gè)細(xì)分市場(chǎng)就是托管安全服務(wù),Kenneth Research 的研究概要中稱,該細(xì)分市場(chǎng)年增長(zhǎng)率達(dá)到了 15%。
2020 年,托管安全服務(wù)市場(chǎng)的增長(zhǎng)率還將更高??傮w上看,正在進(jìn)行數(shù)字化轉(zhuǎn)型的很多公司企業(yè),都難以找到足夠的專業(yè)人才來(lái)處理復(fù)雜性不斷增加的網(wǎng)絡(luò)安全問(wèn)題。于是,他們將目光轉(zhuǎn)向了托管服務(wù)。
Cerrudo 同樣預(yù)測(cè)對(duì)安全咨詢業(yè)務(wù)對(duì)需求將迎來(lái)增長(zhǎng)。
需求應(yīng)隨著我們技術(shù)依賴和使用的增長(zhǎng)而增長(zhǎng)。公司企業(yè)尋求各類服務(wù)幫助將自身問(wèn)題與服務(wù)適應(yīng)公司的需求。這一過(guò)程中采取了多種方法,包括建立合作關(guān)系、外包、軟件即服務(wù) (SaaS) 解決方案、常規(guī)服務(wù)等等。
但網(wǎng)絡(luò)安全市場(chǎng)的復(fù)雜性讓有些公司對(duì)完全外包存有疑慮。
這幾年我在網(wǎng)絡(luò)安全市場(chǎng)中看到的變化之一,是大公司更愿意引入托管安全供應(yīng)商來(lái)負(fù)責(zé)部分安全工作,但不是全部。過(guò)去他們要么完全內(nèi)部消化,要么就是完全外包。我覺得我們將看到更多的混合模式。
4. OT網(wǎng)絡(luò)安全巨頭重要性日顯
隨著安全儀表系統(tǒng)已成當(dāng)前攻擊目標(biāo)的事實(shí)曝光,運(yùn)營(yíng)技術(shù) (OT) 網(wǎng)絡(luò)安全某種程度上已日漸獲得重視。Honeywell 的 Mirel Sehic 預(yù)期該趨勢(shì)在 2020 年還將繼續(xù)加速,因?yàn)閷脮r(shí)將有更多的 OT 環(huán)境擁抱數(shù)字化。
Howard 贊同此觀點(diǎn):以往跟客戶聊到 OT 環(huán)境時(shí),他們都很緊張安全問(wèn)題,并且該趨勢(shì)將會(huì)加速。
其中一個(gè)因素就是這個(gè)市場(chǎng)仍不成熟。從安全角度看,OT 領(lǐng)域的現(xiàn)狀類似于十年前的 IT 領(lǐng)域。而十年前,想找到適用 IT 環(huán)境的安全標(biāo)準(zhǔn)是很難的。網(wǎng)絡(luò)安全人員能夠找到一些 NIST 指南,但想找與之略有差別的適用于特定工業(yè)環(huán)境的指南,就完全不是那么回事兒了。
這種狀況促成了專注 OT 的組織的興起,比如西門子的 Charter of Trust(信任憲章)和非盈利性基金會(huì) MITRE Engenuity 的 Center for Threat-Informed Defense(威脅知情防御中心)。Howard 預(yù)期 2020 年將有更多專注于 OT 網(wǎng)絡(luò)標(biāo)準(zhǔn)的組織出現(xiàn)。
在安全問(wèn)題上,OT 領(lǐng)域比 IT 領(lǐng)域更難。畢竟,在 IT 領(lǐng)域,筆記本 A 與筆記本 B 和服務(wù)器 C 之間的差別并不是那么巨大,尤其是在操作系統(tǒng)整合的情況下。但 Rockwell PLC 和 Honeywell 制造系統(tǒng)之間就是天差地別了。
PAS Global 首席運(yùn)營(yíng)官 Mark Carrigan 觀察到,ISA/IEC 62443 和《歐洲網(wǎng)絡(luò)指令》之類針對(duì) OT 的安全標(biāo)準(zhǔn)有所增長(zhǎng),NIST、NERC、SANS 和互聯(lián)網(wǎng)安全中心這樣的機(jī)構(gòu)也推出了很多針對(duì) OT 的框架。Carrigan在電子郵件中對(duì)媒體說(shuō)道:
2020 年,隨著這些框架和標(biāo)準(zhǔn)的逐步采納,網(wǎng)絡(luò)風(fēng)險(xiǎn)將會(huì)減小。但是,公司企業(yè)采納和驗(yàn)證這些框架與標(biāo)準(zhǔn)需要消耗一些資源,會(huì)增加工業(yè)網(wǎng)絡(luò)安全開支與復(fù)雜性。由于標(biāo)準(zhǔn)和框架的采納相對(duì)不成熟,公司企業(yè)可能需要評(píng)估多個(gè)框架采納情況,由此,進(jìn)一步增加成本與復(fù)雜性。
5. 物聯(lián)網(wǎng)安全:從設(shè)計(jì)階段開始
沒有哪個(gè)產(chǎn)品設(shè)計(jì)者會(huì)想創(chuàng)建毫無(wú)安全性可言的聯(lián)網(wǎng)產(chǎn)品。除非他工作的公司難以協(xié)調(diào)上市時(shí)間、成本和客戶體驗(yàn)。不過(guò),Arm 物聯(lián)網(wǎng)服務(wù)小組策略副總裁 Charlene Marini 認(rèn)為,鑒于物聯(lián)網(wǎng)安全所獲得的關(guān)注度,情況正在不斷改善。她在郵件中透露:物聯(lián)網(wǎng)設(shè)備制造商和聯(lián)網(wǎng)設(shè)備部署者會(huì)設(shè)置功能升級(jí)計(jì)劃,確保物聯(lián)網(wǎng)系統(tǒng)的安全。
這種思維的轉(zhuǎn)變將意味著,設(shè)備制造商開始重視創(chuàng)建受信可連接可管理產(chǎn)品。新的物聯(lián)網(wǎng)安全思維模式包括,在設(shè)計(jì)階段嵌入生命周期管理功能、以安全和隱私原則為前提編寫軟件,以及為部署者提供可用設(shè)備更新。對(duì)于部署物聯(lián)網(wǎng)設(shè)備的公司企業(yè)而言,這種思維的轉(zhuǎn)變還涉及引入有經(jīng)驗(yàn)的專家?guī)椭芾泶笠?guī)模物聯(lián)網(wǎng)網(wǎng)絡(luò)。
Marini 的同事,Arm 物聯(lián)網(wǎng)云服務(wù)高級(jí)副總裁兼總經(jīng)理 Hima Mukkamala 認(rèn)為,歐盟《通用數(shù)據(jù)保護(hù)條例》和美國(guó)《加州消費(fèi)者隱私法案》這樣的監(jiān)管規(guī)定,將繼續(xù)強(qiáng)調(diào)物聯(lián)網(wǎng)設(shè)備中隱私與安全的重要性。
鑒于物聯(lián)網(wǎng)設(shè)備數(shù)量的增長(zhǎng),以及政府監(jiān)管規(guī)定的陸續(xù)出臺(tái),數(shù)據(jù)隱私與安全將成為物聯(lián)網(wǎng)解決方案的最大推動(dòng)力。對(duì)考慮在 2020 年部署物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的公司企業(yè)而言,安全將是他們決策過(guò)程中的關(guān)鍵因素。
Mimecast 電子犯罪主管 Carl Wearn 持類似觀點(diǎn)。他預(yù)期明年物聯(lián)網(wǎng)相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)將隨糟糕的安全與勒索機(jī)會(huì)上升,并預(yù)測(cè)與此類聯(lián)網(wǎng)設(shè)備的使用相關(guān)的立法將會(huì)增多。Wearn 表示,這種連接性和設(shè)備內(nèi)置安全的普遍缺乏被嚴(yán)重忽視了太長(zhǎng)時(shí)間,公眾對(duì)其使用和潛在漏洞利用的意識(shí)正在增加。
6. AI炒作繼續(xù),但垂直AI方法興起
網(wǎng)絡(luò)安全領(lǐng)域中圍繞人工智能的炒作開始降溫。但別期望情況會(huì)有巨大改善。“AI” 這標(biāo)簽被拍到了幾乎所有東西上,其中很多不過(guò)是決策樹、算法或軟件。當(dāng)然,這并不是說(shuō)AI沒有巨大的潛力。但真正的術(shù)語(yǔ) “AI” 某種程度上成了沒什么特指的潮詞。
舉個(gè)例子。之前在一個(gè)會(huì)議上,我跟其他很多網(wǎng)絡(luò)安全主管聊起人工智能如何驅(qū)動(dòng)行為改變的話題。會(huì)上眾人紛紛開始給出他們?nèi)绾问褂?/span>AI最小化網(wǎng)絡(luò)風(fēng)險(xiǎn)的例子。例子還真是挺多的。當(dāng)聽到第七個(gè)例子的時(shí)候,我舉手說(shuō):‘沒人描述人工智能用例。你們只是在描述過(guò)程工作流和軟件。如果背后沒有機(jī)器學(xué)習(xí)模型或神經(jīng)網(wǎng)絡(luò)功能之類的東西,那就僅僅只是軟件?!?/span>
Augury 是一家專注運(yùn)用工業(yè)物聯(lián)網(wǎng)傳感器監(jiān)視機(jī)器健康狀況的公司,其策略副總裁 Artem Kroupenev 對(duì) AI 在網(wǎng)絡(luò)安全領(lǐng)域的前景保持樂(lè)觀。考慮到AI當(dāng)前的成熟度,為特定用例精心設(shè)計(jì)的產(chǎn)品,會(huì)比采用通用方法制造的產(chǎn)品更加有效。
2020 年,我們將看到工業(yè)企業(yè)開始圍繞特定垂直用例切實(shí)采納 AI。這里的特定用例,我指的是工業(yè)物聯(lián)網(wǎng)。
說(shuō)到人工智能在網(wǎng)絡(luò)安全中的使用,Cerrudo 解釋稱:如果你想提供更好的解決方案,你就必須收窄自己的焦點(diǎn),著重投入研發(fā)。AI 使用持續(xù)增長(zhǎng),不斷成熟,用得越有針對(duì)性,就會(huì)越精確。拓寬范圍只會(huì)增加復(fù)雜性和降低效率。