青莲云董方:物联网世界到底是一种什么样的黑 – 作者:qinglianyun

导语:IOT万物互联,万物安否?当世上所有可以被连接的事物组成一张网的时候,物联网的世界才真正成型,而网的边缘难免会像衣服一样翘边,不起眼的边角和弱相关的物联组件很难引起人们的注意,物联网企业犹如物联网世界里的织网者,他们将会因那些看似安全的网边界反复翘边而陷入深深的痛苦和无边的困惑、甚至付出沉重的代价。

快速发展中的AI智能和物联网技术以惊人的速度正在改变世界格局,不仅仅是推动了工业4.0时代新的工业变革,最遥远的意义在于改变了人类生活的文明,很多人幻想并期盼着在科幻小说电影场景里才能实现的智能化体验何时自己可以身临其境,这些史诗般美好的愿景随着科技文明的进程迟早会驱动梦想照进现实,剩下的只需等待,时间终会见证传奇。

物联网黑场景触目惊心

董方 横版.jpeg

在智能化场景里大部分人所看到的都是美好,而我所预见的却是来自物联网世界幽暗深处的触目惊心,它是一种人类在处于极其危机下本能产生的后怕预警意识,很真实而绝非危言耸听,这种思绪的发散从我采访青莲云CEO董方时便开始了,他给我介绍了关于物联网安全领域很多不为人知的悲情事件和物联网世界里错综复杂的黑暗而时刻发生的真实场景:

“当智能婴儿监护技术被广泛用在一些智慧城市小区内的家庭场景中时,家长们正庆幸感叹IOT智能技术是如何带给他们美好生活的时候,他们却没有发现他们孩子身上的可穿戴智能硬件的数据系统正在被人悄悄盯上,窃取数据倒还好,若是被有心人用上篡改数据和控制系统之后他们以假乱真在家长们看来孩子还处于安全环境的时候其实婴儿已处于危险的境地。

当你正在享受车联网智能服务的时候,甚至在车里你启动了无人驾驶功能时,你安心的睡着觉、听着音乐,或者和家人正赶往蜜月之旅,欢快而愉悦的美好体验好景不长,不法分子早已盯上了你名贵的劳斯莱斯保驾企图通过IOT投毒以控制你的车载导航控制权,通过篡改数据来修改导航目的地,有意引导进入无人之地甚至阴沟里让你翻车,你终究难逃人祸;

类似的场景举不胜举······,它们都是时刻存在随时可能发生的真实场景。”

企业如何防护IoT黑暗势力

那些潜伏在物联网世界里的灰暗地带之多让人难以想象,而物联网世界的尽头到底充满一种什么样的黑,企业和用户又如何对这些黑暗力量的攻击进行有效防护,青莲云董总告诉我:

“在2018年12月底青莲云上线了国内首款物联网安全漏洞库(IOTVD平台),漏洞库里收录了2018年全球范围内各厂商设备漏洞,其中光漏洞类型就有320个以上,这个行业在安全形势上已经十分严峻。

3333.png

问题关键就在于首先有大量的存量设备(截至2019年初最新数据不完全统计全球共有近70亿台IOT设备),这批存量设备在以前可能不被大家认为是物联网设备,就比如说以前路边有很多摄像头,在物联网还没热门之前,没有人会觉得摄像头会是物联网设备,很多存量设备它们本身就存在着大量的安全漏洞,所以黑客攻击会优先去攻击一些老旧的存量设备,而那些设备,自身根本就不具备防黑的措施,对于存量设备也不可能通过打补丁的方式来修复漏洞,最好的方法是逐步去淘汰它,就像手机一样更新换代。

另外在增量市场上目前很多物联网厂商的安全意识还没有完全形成,造成了“今天你出事、明天他出事、后天我出事”的安全事故频频发生,而他们不知道为什么会出事,所以他们永远会当看新闻事件的感觉来看物联网安全,他们永远也不会行动,现在有一些企业开始主动和我们沟通,想知道攻击背后的原因是什么,让我给他们讲一讲,如果我们不讲的真话,那企业会永远把物联网攻击事件当新闻看,可是新闻不会说事件背后的漏洞原理啊,企业的物联网安全建设就无法进步,那这个行业的安全能力就起不来,只能一个一个出事。所以我觉得这就是青莲云的企业使命,我们要把攻击背后的安全技术、漏洞原理、风险点告诉企业,引导他们对安全要如实面对以及如何面对。”

我们希望告诉企业,在接下来的物联网业务开展的过程中警惕3类新的威胁:

1、 警惕来自供应链的攻击

2、 警惕设备间东西向攻击

3、 警惕消失的安全边界和系统权限

物联网没有你想象的“白”,IOT的世界里最遥远的距离不是生与死的距离,而是在你还没有嗅到危险来自何方之时已遭遇不测,躺着中枪的滋味会给那些对安全不知情的企业和用户心中留下深深的阴影,后怕何时再次又会以何种方式不明不白的中枪,过程中的集体恐慌远大于事发后的经济损失和人身安全损失。

物安监管:企业携手物安技术踏破瓶颈

能否敏锐的嗅探安全风险对于物联网厂商、企业来说至关重要,除了物联网厂商、企业自身加强安全防护之外,青莲云董总认为:

“安全本身它是需要合规来驱动的,国家有法律法规,必须要做安全,是好事,但是不能以为合规安全就等于100%安全,合规起到了助推器的作用,既是对企业安全管理体系的要求规范,又是对消费者的一种安全保障,所以推动国家物安标准的建设势在必行。

回顾中国物安法规国家又有哪些动作,物联网企业又该如何随物安标准协同发展,董总介绍说:

2017年在国家网络安全等级保护基本要求,简称等保2.0中增加了 4个扩展部分,包括云安全等级保护,移动互联网的等级保护,工业互联网的等级保护和物联网等级保护,物联网安全等保部分还处于征求意见阶段,我们也有一些参与。而在2018年12月28日,全国信息安全标准化技术委员会归口的27项国家标准正式发布,其中涉及到物联网安全的就有5个标准,这5个物联网安全国家标准将于2019年7月1日正式施行。

行业一步一步发展,安全跟业务是相辅相成的关系,什么业务都没有空谈安全那不可靠,业务先行还是对的,先做行业场景,做的过程中可能会暴露出一些安全问题,然后再进一步约束和解决问题。”

随着物联网安全国家标准的出台,所有行业每个企业都逃脱不了物联网安全法规的约束和监管,物联网的世界里因此充满了浓烈硝烟的气味,一场与物联网安全技术为伍的产品升级之路迫在眉睫,IOT技术和商业化的结合,创造了一个全新的世界经济体系,从金融到资本、劳动力到生产力,产业链能到生态赋能,其中每一个环节都在因物联网而改变和创新。

各行业领域将会面临来自新市场规则下的“监管”,符合物联网标准体系的会继续留存在各行业领域继续参与市场并取得分羹红利的机会,伴随中国市场对于IOT感知技术、IOT通信技术、IOT应用技术等更详细的各种标准法规不断地出台和更新,物联网知识产权架构也在逐步成型,一套全新的IOT商业技术标准将会公布于众,物联网安全门槛也会越来越高,如何结合现有业务迎接新的物安标准,又如何让产品突破安全技术的瓶颈,唯有借力物安技术一起鼎力前行。

本次特别鸣谢OFweek物联网频道 任小军主编对青莲云的深入报道,希望物联网安全能够得到每一家企业的重视,也希望物联网业内企业能够积极参与,共同建立一个安全、智能、高效发展的新业态。

来源:freebuf.com 2019-01-24 10:53:38 by: qinglianyun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论