正在阅读:

如果有一天,全世界联网设备都遭受了攻击……

扫一扫下载界面新闻APP

如果有一天,全世界联网设备都遭受了攻击……

在制造、医疗、零售、交通等领域,智能互联设备控制着全球大部分核心基础设施,一旦出现安全漏洞,后果不堪设想。

物联网安全

开始正文前,让我们做一个小小的思考——你每天会和哪些联网设备打交道?

半刻无法离身的手机、工作必需品电脑、公司办公室的机房、地铁出入口的闸机、机场塔台的雷达、晚间消遣的电视机顶盒、楼下便利店的收银系统……

是的,正如你感受的那样,我们正在快速步入万物互联的时代!这给我们带来了无尽的便利,但风险也与之俱来。

据高德纳咨询公司(Gartner)的数据显示,到 2020 年,互联设备(不含个人电脑、智能手机和平板电脑)总数将达260亿台,物联网产品和服务供应商将创造超3000亿美元的增量收入。

在诸多行业,物联网正不断催生创新模式,为商业世界带来巨大价值。例如,特斯拉的工程师仅仅通过软件更新,就可以修复3万辆汽车的设备故障,避免汽车召回所产生的高昂成本。

然而另一方面,在制造、医疗、零售、交通等领域,智能互联设备控制着全球大部分核心基础设施,一旦出现安全漏洞,后果不堪设想。

要规避和预防安全风险,首先我们需要详细了解各行业的安全要求以及应对难点。本文中,小A以工业控制系统、互联汽车、无人机以及零售四个领域为例,列举物联网带来的安全挑战和应对建议。

工业控制系统

维护代价高

在工业制造领域,许多工业控制系统都通过软件进行高度复杂和精确的控制,这就为网络攻击者提供了可攻击目标。攻击者可通过修改控制设置或传感器数值,扰乱生产或严重破坏设备,严重时可导致机械损毁或造成人员伤亡。

大型工业控制系统往往规模巨大,安装此类系统代价高昂,其使用年限通常高达20年甚至更久。当安全人员发现了严重漏洞,更新生产系统通常会影响生产;如果技术人员提前多月安排维护窗口用于更新系统,以避免系统运行中断,则可能导致响应缓慢。

互联汽车

需要实时补丁

汽车行业长期以来一直使用电子控制单元,通过传感器和执行器监控并控制引擎性能和废气排放,同时通过牵引力控制、防抱死制动、电子稳定控制、预紧式安全带和安全气囊的软件控制系统改善汽车安全。

目前,车载娱乐系统已经实现了和移动设备无缝整合,连接方案和控制系统已成为现代汽车的一部分,制造商日益认识到需要保障这些系统的安全性,尤其是对控制汽车实际运行的设备无线更新。

需要警惕的是,由于每天都有新的软件漏洞出现,企业需要具备更优异的物联网响应方式。与传统的IT设备或消费者技术不同,许多物联网设备并没有用于下载和安装安全更新的交互界面,在消费者领域,这种情况更加严重。

无人机

飞行器还是武器

越来越多的机构计划利用无人飞行器或无人机,收集难以接近或高度危险区域的数据。然而,为无人机配备高分辨率相机和秘密放飞无人机的行为,也带来了隐私方面的担忧。

远距离读取射频识别标签或低功耗蓝牙信标,足以让使用者对地点或个人进行定位,并通过搭载监视器、摄像头等设备,“监视”个人行为和数据。同时,无人机越来越强的负载能力也带来了新的安全威胁——如果载有炸药或枪支,商用无人机也可能变成攻击工具。

此外,无人机的“散养模式”也对民航造成了不小的干扰。2017年以来,无人机扰航事件仅在西南地区就发生了十多起。

4月21日,成都双流国际机场就遭遇4架“黑飞”无人机干扰,导致58个航班备降外地,4架飞机返航,逾万名旅客滞留机场。

互联零售

数据泄露风险

在零售领域,物联网为企业带来了新的价值增长点。云计算的出现使得“平台即服务”和“软件即服务”等构想成为现实;物联网则使得企业与供应商和消费者的关系日益紧密。

这一方面帮助公司更深入地了解其客户和消费者行为;但另一方面,各实体机构可以分析或者滥用消费者的消费行为信息、地址、甚至生物识别信息。

点击大图,了解高级物联网架构下,攻击者攻击物联网各部分的方式

为了安全地运用新兴的物联网技术,数字企业需要正确地认知周遭环境并自动对变化作出反应。

打造信任基础

在系统的初始配置阶段,设计师应内置运行控件,以验证所有部件的行为都遵循预期运行规范;设计活动应包括对系统威胁和风险状况的全面分析;针对极有可能导致严重后果的威胁,企业还应改善相应的工程设计流程,同时制定应急计划。

应用全新思维

企业需要不断监控物联网的运行和安全状况,并设计出能修复故障的解决方案,侧重于增强系统的适应能力。

创建威胁模型

物联网会催生新的商业模式,为了提高安全程序的成效,确定业务目标和安全运行之间的联系十分必要。企业应量身定制威胁模型,对潜在的物联网安全威胁排序,并识别传统控制方法无法应对的盲点。

建立经验储备

尽管物联网系统和应用程序与移动和信息物理系统平台有所关联,但两者并不完全相同。即便如此,企业还是应从这些物联网先驱者们遇到过的困难和教训中汲取经验。

树立并使用新标准

企业应从其他合作企业处了解新标准,甚至应考虑加入标准团体和小组,以适应如今技术创新日新月异的世界。比如在收集数据时,为数据集创建访问和授权权限。在日常流程中,持续教育系统用户,让他们了解日益复杂的网络欺诈和社会工程攻击。

当然,在商业世界,没有绝对的安全。但企业和用户需要保持警惕,对不同领域中的端到端安全担负起最终责任,才能共同捍卫物联网世界的和平。

此文改编自埃森哲《展望》文章《物联网时代更需要安全护航》。

本文为转载内容,授权事宜请联系原著作权人。

评论

暂无评论哦,快来评价一下吧!

下载界面新闻

微信公众号

微博

如果有一天,全世界联网设备都遭受了攻击……

在制造、医疗、零售、交通等领域,智能互联设备控制着全球大部分核心基础设施,一旦出现安全漏洞,后果不堪设想。

物联网安全

开始正文前,让我们做一个小小的思考——你每天会和哪些联网设备打交道?

半刻无法离身的手机、工作必需品电脑、公司办公室的机房、地铁出入口的闸机、机场塔台的雷达、晚间消遣的电视机顶盒、楼下便利店的收银系统……

是的,正如你感受的那样,我们正在快速步入万物互联的时代!这给我们带来了无尽的便利,但风险也与之俱来。

据高德纳咨询公司(Gartner)的数据显示,到 2020 年,互联设备(不含个人电脑、智能手机和平板电脑)总数将达260亿台,物联网产品和服务供应商将创造超3000亿美元的增量收入。

在诸多行业,物联网正不断催生创新模式,为商业世界带来巨大价值。例如,特斯拉的工程师仅仅通过软件更新,就可以修复3万辆汽车的设备故障,避免汽车召回所产生的高昂成本。

然而另一方面,在制造、医疗、零售、交通等领域,智能互联设备控制着全球大部分核心基础设施,一旦出现安全漏洞,后果不堪设想。

要规避和预防安全风险,首先我们需要详细了解各行业的安全要求以及应对难点。本文中,小A以工业控制系统、互联汽车、无人机以及零售四个领域为例,列举物联网带来的安全挑战和应对建议。

工业控制系统

维护代价高

在工业制造领域,许多工业控制系统都通过软件进行高度复杂和精确的控制,这就为网络攻击者提供了可攻击目标。攻击者可通过修改控制设置或传感器数值,扰乱生产或严重破坏设备,严重时可导致机械损毁或造成人员伤亡。

大型工业控制系统往往规模巨大,安装此类系统代价高昂,其使用年限通常高达20年甚至更久。当安全人员发现了严重漏洞,更新生产系统通常会影响生产;如果技术人员提前多月安排维护窗口用于更新系统,以避免系统运行中断,则可能导致响应缓慢。

互联汽车

需要实时补丁

汽车行业长期以来一直使用电子控制单元,通过传感器和执行器监控并控制引擎性能和废气排放,同时通过牵引力控制、防抱死制动、电子稳定控制、预紧式安全带和安全气囊的软件控制系统改善汽车安全。

目前,车载娱乐系统已经实现了和移动设备无缝整合,连接方案和控制系统已成为现代汽车的一部分,制造商日益认识到需要保障这些系统的安全性,尤其是对控制汽车实际运行的设备无线更新。

需要警惕的是,由于每天都有新的软件漏洞出现,企业需要具备更优异的物联网响应方式。与传统的IT设备或消费者技术不同,许多物联网设备并没有用于下载和安装安全更新的交互界面,在消费者领域,这种情况更加严重。

无人机

飞行器还是武器

越来越多的机构计划利用无人飞行器或无人机,收集难以接近或高度危险区域的数据。然而,为无人机配备高分辨率相机和秘密放飞无人机的行为,也带来了隐私方面的担忧。

远距离读取射频识别标签或低功耗蓝牙信标,足以让使用者对地点或个人进行定位,并通过搭载监视器、摄像头等设备,“监视”个人行为和数据。同时,无人机越来越强的负载能力也带来了新的安全威胁——如果载有炸药或枪支,商用无人机也可能变成攻击工具。

此外,无人机的“散养模式”也对民航造成了不小的干扰。2017年以来,无人机扰航事件仅在西南地区就发生了十多起。

4月21日,成都双流国际机场就遭遇4架“黑飞”无人机干扰,导致58个航班备降外地,4架飞机返航,逾万名旅客滞留机场。

互联零售

数据泄露风险

在零售领域,物联网为企业带来了新的价值增长点。云计算的出现使得“平台即服务”和“软件即服务”等构想成为现实;物联网则使得企业与供应商和消费者的关系日益紧密。

这一方面帮助公司更深入地了解其客户和消费者行为;但另一方面,各实体机构可以分析或者滥用消费者的消费行为信息、地址、甚至生物识别信息。

点击大图,了解高级物联网架构下,攻击者攻击物联网各部分的方式

为了安全地运用新兴的物联网技术,数字企业需要正确地认知周遭环境并自动对变化作出反应。

打造信任基础

在系统的初始配置阶段,设计师应内置运行控件,以验证所有部件的行为都遵循预期运行规范;设计活动应包括对系统威胁和风险状况的全面分析;针对极有可能导致严重后果的威胁,企业还应改善相应的工程设计流程,同时制定应急计划。

应用全新思维

企业需要不断监控物联网的运行和安全状况,并设计出能修复故障的解决方案,侧重于增强系统的适应能力。

创建威胁模型

物联网会催生新的商业模式,为了提高安全程序的成效,确定业务目标和安全运行之间的联系十分必要。企业应量身定制威胁模型,对潜在的物联网安全威胁排序,并识别传统控制方法无法应对的盲点。

建立经验储备

尽管物联网系统和应用程序与移动和信息物理系统平台有所关联,但两者并不完全相同。即便如此,企业还是应从这些物联网先驱者们遇到过的困难和教训中汲取经验。

树立并使用新标准

企业应从其他合作企业处了解新标准,甚至应考虑加入标准团体和小组,以适应如今技术创新日新月异的世界。比如在收集数据时,为数据集创建访问和授权权限。在日常流程中,持续教育系统用户,让他们了解日益复杂的网络欺诈和社会工程攻击。

当然,在商业世界,没有绝对的安全。但企业和用户需要保持警惕,对不同领域中的端到端安全担负起最终责任,才能共同捍卫物联网世界的和平。

此文改编自埃森哲《展望》文章《物联网时代更需要安全护航》。

本文为转载内容,授权事宜请联系原著作权人。