1月18日消息，據《連線》雜(zá)志(zhì)報道，物(wù)聯網即将到來，但許多IT高管都在擔心隐藏其中(zhōng)的網絡安全問題。或者更準确地說，他們已經選擇聽(tīng)天由命。5月份對553名IT決策者的研究中(zhōng)，78%的人表示，他們認爲自己所在公司很可能會遭受物(wù)聯網設備數據丢失或盜竊事故。約72%的人表示，物(wù)聯網的發展速度使其難以跟上不斷變化的安全要求。
      這種擔憂源于現實。去(qù)年10月份，黑客利用物(wù)聯網設備的大(dà)約10萬個“惡意端點”，攻擊了控制大(dà)部分(fēn)互聯網域名系統基礎設施的公司。最近，惡意軟件WannaCry攻擊使許多銀行的ATM網絡癱瘓。對于物(wù)聯網反對者來說，這些攻擊證實了他們的恐懼，即黑客可以通過劫持我(wǒ)們的物(wù)聯網設備來制造混亂。
      與此同時，物(wù)聯網産業繼續穩步增長。市場研究公司Gartner預測，到2020年，将有大(dà)約210億部物(wù)聯網設備存在，而2015年時僅爲50億部。其中(zhōng)大(dà)約80億部将是工(gōng)業産品，而不是消費(fèi)類設備。這兩類設備都爲黑客提供了誘人的攻擊目标。
      DXC的首席技術官和網絡安全副總裁克裏斯・莫耶爾（Chris Moyer）說:“這個行業沒有放(fàng)棄物(wù)聯網的原因是它的價值非常高，但其風險也同樣高，這就是平衡的所在。”不管行業的胃口如何，在行業解決安全問題之前，物(wù)聯網的規模不大(dà)可能擴大(dà)。這将需要供應商(shāng)之間的合作，政府的幹預和标準化。在2017年，這些事情似乎都沒有解決的眉目。
      物(wù)聯網有什麽安全問題？
      現在的共識是，物(wù)聯網仍未得到充分(fēn)保護，并可能帶來災難性的安全風險，因爲企業相信物(wù)聯網設備可用于業務、運營和安全決策。現有的标準并不到位，供應商(shāng)始終在努力将恰當的智能和管理水平嵌入産品中(zhōng)。随着攻擊者之間的協作日益緊密，需要在多個維度上解決這些挑戰。下(xià)面就是物(wù)聯網設備所需要面對的安全挑戰：
      1）與個人電(diàn)腦或智能手機不同，物(wù)聯網設備通常缺乏處理能力和内存。這意味着，它們缺乏強有力的安全解決方案和加密協議，而這些往往可以保護它們免受攻擊威脅。
      2）因爲這些設備連接到互聯網，它們每天都會遇到威脅。而物(wù)聯網設備的搜索引擎也爲黑客提供了進入網絡攝像頭、路由器和安全系統的機會。
      3）在許多聯網設備的設計或開(kāi)發階段，安全性從未被考慮過。
      4）不隻是物(wù)聯網設備本身缺乏安全能力，許多連接它們的網絡和協議也沒有強大(dà)的端到端加密機制。
      5）許多物(wù)聯網設備需要人工(gōng)幹預才能升級，而其他設備根本無法升級。莫耶爾說:“這些設備中(zhōng)有些是非常迅速地建立起來的，它們的設計思維還局限于首次叠代之中(zhōng)，而且有些甚至是不可升級的。”
      6）物(wù)聯網設備是個“薄弱環節”，允許黑客滲透到IT系統中(zhōng)。如果設備連接到整個網絡，這一(yī)點尤其令人擔憂。
      7）許多物(wù)聯網設備都有默認密碼，黑客可以在網上查到。鑒于這個事實，Mirai分(fēn)布式拒絕服務攻擊是可能的。
      8）這些設備可能留有“後門”，同樣爲黑客提供機會。
      9）物(wù)聯網設備的安全成本可能會抵消其财務價值。物(wù)聯網安全專家博・伍茲(Beau Woods)表示:“當你有個2美分(fēn)的組件，而你需要在它身上花費(fèi)1美元維護安全時，你就破壞了商(shāng)業模式。”
      10）這些設備也會産生(shēng)大(dà)量的數據。DXC的技術項目主管基裏安・麥考利（Kieran McCorry）說:“你不僅僅需要應對210億部互聯網設備，還要應對由它們生(shēng)成的龐大(dà)數據。這些數據幾乎是數量級的，而且遠遠超過了這些設備所産生(shēng)的數量。這是一(yī)個巨大(dà)的數據處理問題。”
      考慮到這些缺陷，企業可以通過遵守物(wù)聯網安全最佳實踐，這在某種程度上可以保護它們。但是，如果合規不是100%(這是不可能的)，那麽就不可避免地會發生(shēng)攻擊，導緻行業對物(wù)聯網失去(qù)信心。這就是安全标準勢在必行的原因。
      誰來制定安全标準？
      各種政府機構已經對許多物(wù)聯網設備進行了監管。舉例來說，美國聯邦航空管理局(FAA)監管無人機，美國國家公路交通安全管理局(NHTSA)監管無人駕駛車(chē)輛。美國國土安全部正積極參與基于物(wù)聯網的智能城市計劃，而FDA也在對物(wù)聯網醫療設備進行監督。
      但在目前，還沒有任何政府機構負責監管智能工(gōng)廠或智能家居領域使用的物(wù)聯網設備。2015年，聯邦貿易委員(yuán)會（FTC）發布了一(yī)份關于物(wù)聯網的報告，其中(zhōng)包括關于最佳實踐的建議。在2017年初，FTC還向公衆發布挑戰賽，即創建“修複物(wù)聯網設備中(zhōng)過時軟件引發的安全漏洞的工(gōng)具”，并爲獲勝者提供2.5萬美元的獎金。
      莫耶爾表示，雖然政府将對物(wù)聯網的某些方面進行監管，但他認爲隻有行業才能創造出自己的标準。他設想了制定這種标準的兩種途徑：第一(yī)，買家推出标準，并拒絕購買不支持這個标準的産品；第二，一(yī)兩個主要參與者利用其市場主導地位設定一(yī)個事實上的标準。莫耶爾說：“我(wǒ)不認爲後一(yī)種情況會發生(shēng)，目前還沒有這樣的主導參與者存在。”
      這個行業現在有好幾個标準，而不是一(yī)個或兩個标準，而且似乎沒有哪個标準正逐漸取得主導地位。這些标準包括基于供應商(shāng)的标準，以及物(wù)聯網安全基金會、IEEE、可Trusted Computing Group、物(wù)聯網世界聯盟以及工(gōng)業互聯網協會安全工(gōng)作組提出的标準。所有這些機構都在研究打造安全物(wù)聯網環境的标準、協議和最佳實踐。
      莫耶爾說，最終改變市場的将是買家，他們将開(kāi)始要求标準。他解釋稱：“标準的制定有很多原因，有些是監管所需，但很多是因爲買家認爲這對他們很重要。”
      由于缺乏标準，伍茲看到了幾條改善物(wù)聯網安全的途徑：一(yī)個是商(shāng)業模式的透明度。伍茲說:“如果你購買了1000輛汽車(chē)，你就可以進行‘空中(zhōng)更新’，而其他汽車(chē)則需要手動更新，那可能需要7個月的時間。這是不同的風險計算。”
      另一(yī)種解決方案是要求制造商(shāng)爲他們的設備承擔責任。伍茲表示，目前硬件設備的情況是這樣的，但不清楚誰會爲軟件故障承擔責任。
      AI充當救星？
      在這種情況下(xià)，一(yī)個未知(zhī)因素是人工(gōng)智能（AI）。支持者認爲，機器學習可以發現一(yī)般的使用模式，并在出現異常時提醒系統。例如，Bitdefender查看來自所有端點的雲服務器數據，并使用機器學習來識别異常或惡意行爲。就像信用卡系統可能會将在國外(wài)炫耀1000美元的行爲标注爲可疑那樣，機器學習系統可能會通過傳感器或智能設備識别不同尋常的行爲。由于物(wù)聯網設備在功能上是有限的，所以發現這些異常是相對容易的。由于使用機器學習的安全性仍然是新的，這種方法的擁護者提倡使用包括人工(gōng)幹預的安全系統。
      真正的解決辦法：把一(yī)切都結合起來
      雖然AI在保護物(wù)聯網安全方面的作用可能比最初設想的要大(dà)，但綜合物(wù)聯網解決方案将包括所有這些東西，如政府監管、标準和AI。雖然這個行業有能力創造出這樣的解決方案，但問題是它需要以非常快的速度完成。目前，在物(wù)聯網安全與物(wù)聯網普及的競争中(zhōng)，後者正在勝出。
      那麽，公司現在能做些什麽呢？莫耶爾對此有些建議：
      1）采取集成的方法。這是個越多越好的方案，莫耶爾表示，使用物(wù)聯網的公司應該集成管理解決方案，将物(wù)聯網平台引入到主要的連接和數據移動中(zhōng)，并将這些數據導入到更複雜(zá)的分(fēn)析環境中(zhōng)，對它們進行自動化行爲分(fēn)析。他說:“通過整合這些組件，你可以更有信心地相信，在物(wù)聯網環境中(zhōng)所得到的信息在統計上是有效的。”
      2）選擇正确的物(wù)聯網設備。這些設備擁有超強的生(shēng)态系統和一(yī)系列的合作夥伴，它們公開(kāi)分(fēn)享信息。
      3）使用物(wù)聯網網關和邊緣設備。爲了加強整體(tǐ)安全性，許多公司使用物(wù)聯網網關和邊緣設備來隔離(lí)不安全設備和互聯網，并在它們之間提供保護層。
      4）參與制定标準。在宏觀層面上，你能做的最好事情就是确保長期運行的物(wù)聯網安全，這涉及到在你的特定行業和整個科技行業制定标準。