随着5G通信技术应用落地和物联网技术的快速发展,“万物+”时代渐行渐近。不过,随着IoT多层弱点的逐一暴露,智能设备被劫持、IoT设备DDoS攻击、勒索软件滋生等随之而来的安全问题将会出现井喷式的爆发。
■本报记者 赵广立
刘政平现场演示智能汽车被黑客骇入。亚信安全供图
拥有一台智能网联汽车,可以让一次川藏线自驾游多轻松?“可以不必准备地图和指南针,也不必担心手机没电,车载蓝牙电话、汽车自适应巡航及车载导航可以让我们放心舒适地享受旅程和风景。但是——”亚信安全通用企业事业部副总经理刘政平话锋一转,“如果智能汽车被黑客骇入,一场美好的旅行分分钟化为人在囧途。”
这是亚信安全渗透测试及应急响应团队在5月9日于成都由亚信安全发起并承办的2018 C3(Cyber、Cloud、Communication)安全峰会上的一次模拟演示。随着黑客的入侵,智能汽车先后收到假的燃油耗尽警报、假的道路救援信息、车载娱乐信息被勒索、车载电话通讯录被盗并被用于向亲人诈骗……刘政平说,在这个过程中,黑客可以一边利用GPS定位获取车主的实时信息,一边通过车载娱乐系统漏洞入侵,并利用相关信息实施诈骗和勒索。
“万物互联时代带来便利性的同时,新的风险如影随形。”刘政平如此评述说。
物联网安全问题将迎来井喷
近年来,物联网(IoT)、车联网以及自动驾驶发展迅速,备受关注,但随之而来的安全问题更不容忽视。“我们正在从百亿的连接走向万亿的连接,从‘互联网+’走向‘万物+’的时代,万物互联成为我们数字生活彼岸必不可少的最重要的未来。在这个新的数字化革命浪潮中,网络安全尤其是关键信息基础设施安全非常重要。”亚信集团董事长田溯宁直言,物联网安全是时代未来发展的护城河。
据Gartner2017年2月发布的数据,2020年,全球将有204亿物联网装置,包括智能垃圾桶、智能玩具、智能量表、摄像头、智能电视及照明设备和汽车设备。其中,汽车相关的物联网设备将占近1/6,占比最高。
车联网安全也将会是未来物联网安全中投入最高的。刘政平解释说,车联网汽车在为人们带来诸如智能导航、自动泊车、辅助驾驶、数字多媒体等驾驶体验的同时,由于其中所使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷。这就意味着,以往在桌面电脑、手机上所出现过的安全问题,未来在智能网联汽车中也同样会出现。
在国家信息中心公共部安全处处长邵国安看来,随着5G通信技术应用落地和物联网技术的快速发展,“万物+”时代渐行渐近。不过,随着IoT多层弱点的逐一暴露,智能设备被劫持、IoT设备DDoS攻击、勒索软件滋生等随之而来的安全问题将会出现井喷式的爆发。
能否做安全的“主人”?
“搞网络安全的人整天如履薄冰。”自然资源部信息中心总工程师顾炳中感喟良多。他说,一旦发现设备存在安全隐患,就要监测、测评,找到漏洞、查代码、堵住它。然而安全隐患好像永远都存在,这让负责网络安全的人深陷找漏洞、打补丁这样的“轮回”之中。“什么时候我们能从安全的‘奴隶’,变成安全的‘主人’?”
在物联网时代,如何从网络安全的困境中解脱出来?顾炳中认为,理论界、安全厂商和从事安全工作的同仁都要沉下心来思考和研究:安全到底面临怎样的实质问题?
“研究者能不能提供一个新的安全模式、手段或方法?网安企业能不能拿出一个新的安全产品让我们不至于永远被动?安全公司与业务系统等各方之间的联动能否做到构造安全于无形?“顾炳中发出一串反问后,接着说道,“物联网时代,我们希望大家共同解决安全问题,而不是满世界态势感知、满世界安全监测、满世界都是扫描漏洞发现问题这类方式。”
顾炳中还提出,在万物互联、泛网络化的前提下,意味着或许整个世界要在安全的环境下构筑一个可信的安全链,以使应用真正得到安全,而不是穷于应付整个安全问题。
安全厂商的新机会?
保障物联网空间安全,无疑是安全厂商们必须要面对的命题。有分析人士认为,在不远的将来,物联网安全将在业务上为安全厂商带来新的无尽的增长。
以车联网为例,刘政平认为,无论是特斯拉的电池事故,还是大众、奥迪近期引发舆论关注的自动驾驶汽车事故和车载信息娱乐系统漏洞,都反映了车联网安全的迫切性。“设想几十万台车召回重新维修或者刷系统,所带来的不光是成本问题,还有品牌形象等一系列影响,因此,车联网安全以后会是车厂的刚需。”
饶有意味的是,在这次的C3安全峰会中,还设置了一个智能网联汽车网络安全闭门座谈会。刘政平透露,这个会议主要是聚集各家车企讨论如何打造安全的车内装置,并监控和保护车内关键组件的信息安全。该会议正是因为过去一年里询问亚信安全车联网解决方案的车企越来越多而设置的。
不过,刘政平也表示,诸如车联网这样复杂的系统,面临的安全挑战也更加复杂。黑客可能会盯上智能汽车各种传感器的漏洞。安全人员要做的不仅是搞定代码,还要理解车厂的工作流程,拥有深入行业的专业知识。这就要求安全厂商从汽车最先开始的研发、设计阶段,就制定安全方案,与车厂展开深度的合作,将安全解决方案固化在车辆生产的每一个环节。而这势必是一个长期的流程。
而如果将车联网放大到物联网,可能面临的问题更加复杂。因此,物联网安全看起来是新的机会,但距离安全厂商真正从中盈利,还需要一段路要走。
亚信安全业务安全产品部的总监张辉也认为,“现在整个物联网没有打开市场,缺真正杀手级的应用和场景,当还没有大规模应用的时候,什么(盈利预期)都是虚的。”
“万物皆有身份”筑安全基础
话说回来,针对物联网安全,就全世界来看,目前还没有一个正规的法案出台,大家也都还处于试水阶段。
邵国安介绍说,据报道,美国国家标准与技术研究院近期发布了《物联网安全解决方案研究报告》。报告称,由于没有一套统一的网络安全标准,多数物联网的设备可能受到网络攻击,将对国家构成重大威胁。报告分析了车联网、智能医疗、智能建筑、智能制造以及消费者5个领域的物联网安全状况、风险和威胁,建议美国政府提高物联网安全标准。
而从技术上,亚信安全副总裁陆光明提出未来可用“可信身份体系”保障未来的网络安全的理念。他认为,“万物皆有身份”既是万物互联基础,也是万物互联可信的基础。
“将来物联网的安全,要充分发挥边缘控制能力。”陆光明举例说,比如家庭路由要跟家里的摄像头有交互,它要验证这个摄像头是否可信,诸如此类,所有的智能设备都要先进行登记。“在万物互联的场景下,安全威胁因素更加多样,特别是要确保低功耗、低成本、大规模、多样化的物联网设备具有可信的身份。”
陆光明还提到,物联网不仅让人与物之间的连接没有屏障,它还使虚拟世界与物理世界逐渐融为一体,此二者之间要形成安全可信的交融,这让身份安全所辖范围更加广泛。
不过,陆光明认为,身份认证体系是一项巨大的工程,需要全产业链的众志成城:身份管理必须要延伸到很多低功耗、低成本的IoT产品上,不仅身份认证技术上需要实现员工、合作伙伴、移动应用、消费者、微服务、API以及云与云之间的贯通,更离不开从软件、硬件到芯片等各个环节的协同。
《中国科学报》 (2018-05-17 第7版 产业)