物联网安全可能是一场正走向失败的战斗

Internet of Things security may be a losing battle

原文作者：Brandan Blevins

原文地址：https://internetofthingsagenda.techtarget.com/news/2240220337/Internet-of-Things-security-may-be-a-losing-battle

译者微博：@从流域到海域

译者博客：blog.csdn.net/solo95

物联网安全可能是一场正走向失败的战斗

美国马萨诸塞州剑桥市 —— 据一些安全专业人士称，物联网有可能会破坏(社会)并且像几个世纪以前传统的纸质媒体那样改造社会。但是，就像互联网的创造者后悔在早期忽视了安全性那样，当涉及到保护数以百万计的新兴互联网连接设备和机器时，信息安全行业可能已经落伍了。

这是周三首届物联网论坛的首要主题，联合安全专业人士们讨论了最紧迫的物联网安全问题。据Gartner公司最近的一份报告称，预计到2020年将有260亿台设备连接到互联网 - 物联网（IoT）安全问题将迫使企业以同样的方式重新考虑他们的IT安全策略。设备和云计算已经粉碎了传统的网络边界的想法。

“每次我们有重大感染点(infection point)时，我们都犯了同样的错误，”位于康涅狄格州斯坦福德的Gartner研究副总裁Earl Perkins说。“我们只能允许它(指物联网安全)远离我们，但最终在未来的五到十年内迎头赶上。”

富尔顿(Fulton)首席技术官，基于Md.的应用安全厂商Sonatype公司的Josh Corman向与会者发出警告，称保卫物联网的战斗可能已经在业界渐行渐远 - 而这发生在数十亿家用电器，汽车和医疗设备设备加入战斗之前。

物联网设备面临风险

举个例子，去年，研究人员Charlie Miller和Chris Valasek展示了汽车可以怎样被远程黑客攻击。Corman说，两人展示了禁用汽车刹车，加速其速度，甚至完全控制方向盘的能力。Corman承认，即使他也还没有理解汽车受软件控制的程度。

“我们正在驾驶一台带轮子的电脑，”Corman说。“在接下来的24小时内，每当你看到”软件“这个词时，就用”易受攻击“这个词替换它。”

Corman还指出，已故的Barnaby Jack的研究能够撼动当今物联网设备多么的安全(这种看法)。从2011年开始，Jack多次展示了黑客如何通过蓝牙连接控制胰岛素泵向糖尿病患者提供的剂量)，这可能会使受害者面临致命的危险。

最终，他说，普通公众和这些设备的制造商不可能认真对待安全问题，直到发生真实的灾难性事件 - 这与美国的环境法规很相似，直到俄亥俄州地凯霍加河在20世纪60年代发生火灾，(环境法规)才引发了一大波关注。

“为什么胰岛素泵上有蓝牙？” “Corman说，他质疑互联网连接设备的好处是否实际上超过了它的风险。“这又回到了成本效益问题，我们正在从物联网中受益，但我们没有评估它的风险。”

In-Q-Tel(l基于Va. , 是一家由政府资助的为CIA孵化技术的公司)的首席信息安全官Dan Geer说，物联网的好处是促使社会越来越依赖于相互通信机器。就物联网如何影响美国食品供应而言，Geer说农场的拖拉机与GPS连接，蔬菜和水果由机器人分拣，甚至牲畜都贴有RFID芯片; 这种相互联系所带来的效率意味着连锁店的食品供应永远不会超过一周。

尽管这些嵌入式系统过去与互联网没有连接，但Geer警告与会者，随着制造商试图远程控制这些系统，新连接所带来的风险可能不容易控制。

考虑到迄今为止嵌入式系统制造商并没有经常提供固件更新，因此Geer质疑这种“永不停息”的物联网设备 - 总是虽然连接在一起，但缺乏安全支持 - 是天使还是恶魔。

Geer说：“这些装置寿命越长，它们在寿命期限被劫持的可能性越高。” “他们的制造商在黑客行动之前可能已经消亡，这是一种类似于超级基金网站和太空垃圾的不受欢迎的遗产。如果我们以目前的态度对待物联网，它会反过来惹恼我们每个人。”

The Internet of Things… should raise hackles on every neck given our current posture. Dan GeerCISO, In-Q-Tel 如果我们以目前的态度对待物联网，它会反过来惹恼我们每个人。 Dan GeerCISO, In-Q-Tel

如何保护物联网设备

虽然安全行业才刚刚开始认真对待物联网，但Geer表示该行业也需要新技术来保护物联网。不幸的是，Geer表示这种目的的投资在短期内不大可能，因为没有人愿意出资。

他说，假设一家公司可以提供可以锁定处理器的技术，一旦处理器离开制造工厂 - 可能会阻止攻击者在硬件级别插入后门 - 但是他并不清楚供应链中的哪个利益相关者会愿意购买这样的产品。

对与会者Mark T.，一个传感器相关的创业公司长期投资者而言，推动更好的物联网安全措施的动力需要来自采用物联网设备的企业。在之前的一次风险投资中，Mark表示他的公司已经为餐饮行业制造了一些传感器，用于测量油脂分离器等产生的废弃物流失 - 这是他没有实施任何安全控制的产品，因为他假定餐馆不会关心这方面的问题。令人惊讶的是，当餐馆根据行业规定要求某些安全特征时，他被迫重新评估这一假设。

“我只加入了一个PIN码，但这足以让他们感到满意，”Mark T.说，他指出，对监管罚款的恐惧是他的客户的驱动因素，而不是安全问题。

Corman表示，物联网设备制造商不太可能考虑实施更好的安全措施，除非客户强迫它们进行变革。例如，就Jack的胰岛素泵入侵案而言，Corman敦促与会者向他们自己的私人医生询问该事件和其他医疗设备的总体安全情况，希望医生和医院作为医疗设备的最大购买者将采取措施将这些担忧传递给制造商。

Corman说 - 鉴于捍卫物联网设备比攻击它们要困难得多 - 来自消费者的压力需要及早出现。

“我们到底是太早还是晚？在某些方面，我认为我们太晚了，”Corman说。“我们最优秀和最聪明的人在安全控制方面投入了数十亿美元 - 甚至在那些无关紧要的领域（如保护易于更换的信用卡）- 但是我们仍然会违反基本规则。这对物联网的影响很大。“