物联网(IoT)将开启一个网络智能和自动化的新时代,但它的到来也带来了一系列严重的安全问题。足球竞猜app软件《网络世界》主编约翰·迪克斯与四位专家深入探讨了这个话题:
*马克•Blackmer 产品营销经理,行业解决方案,思科
*阿里Juels,教授雅各布学院康奈尔科技(前身为首席科学家,RSA)
* Patrick Tague,电子和计算机工程,信息网络研究所副教授,卡内基梅隆大学信息网络研究所副主任
* David Mattes,首席技术官,钢化网络(前波音公司高级研究技术专家)
安全是物联网显然是至关重要的,但仅仅是一个多么大的问题呢?
Juels:很难确定问题的范围。我们在2000年有一个很好的实物课千年虫恐慌。结果证明,这种观点大多是没有根据的,因为系统是异质的,而人们有适当的后备机制。我认为这取决于程度的同质性和异质性的物联网的发展,安全将是局部封闭或将全面范围,但很难知道如何,直到我们有一个广泛的安全问题的可互操作的设备,有强烈的攻击可以传播的速度有多快。
更均匀是好还是坏?
Juels:从安全角度来看,更糟糕的,但是从可用性的角度来看更好。
Mattes:在网络早期,协议具有极端的异构性,正是这些协议的融合造成了今天的安全问题和安全行业。类似地,自80年代以来,我们就一直在用一堆字母协议做it类型的事情。在物联网中,我们也要看见一样的事;在某种程度上,我们将会有一个更加同质化的环境,这将会导致下一次的安全危机。
Juels:一般网络安全是打击经济损失,打击滋扰的问题。随着物联网值得一提的是,安全故障可能危及生命,如在植入式医疗设备的故障。
马特斯:这是一个很大的问题。在工业环境中同样的事情,喜欢运输化工厂或他们正在寻找无线炼油厂和以太网。链路中断或故障可导致剧烈的安全后果,因此与物联网连接绑定到安全多了很多。
为什么是我们如何保障所有的东西今天是联网的物联网安全有什么不同?
塔格:其中一个根本不同的是数据的使用。在经典的网络系统中,我们认为数据是特定于应用程序的;筒仓式应用程序管理它们自己的数据,只要应用程序的两个端点相对可靠,就可以通过网络保护数据。通过物联网,数据的价值更多地体现在其共享能力上。因此,数据不一定是由一个应用程序创建的,也不一定是为一个应用程序创建的。物联网的很多价值在于,设备创建数据,但它们不知道数据是用于谁或什么,而使用数据的应用程序可能不知道数据从哪里来,甚至不关心数据从哪里来。在分享和管理数据方面,整个生态系统要开放得多。
说得好。
布莱克默:这是我们和客户经常讨论的问题。谁将拥有这些数据?谁控制了它?当涉及到隐私问题时,如果所有这些不同的设备都在收集不同的数据元素,我该如何选择退出,我该如何控制数据的去向?我认为这很快就会成为一个大问题。
+ ALSO:大数据安全分析可以成为信息安全一体化的关系+
Juels:我们可以看到在我们的社会态度惊人的转变对数据的所有权从东西喜欢健身追踪器和医疗器械的个人数据的保管等采取的是服务提供商和不一定提供返还给客户。如果一个人拥有他或她自己的心跳?答案似乎是显而易见的,但在今天的环境下它不是那么清楚。如果你穿的是健身追踪设备和您的所有数据上传到经适设备提供商所拥有的服务器,它不能保证你会得到访问这些数据。你会,根据服务的最条款,给予非常选择对数据的访问,并在许多情况下,数据可以转手。所以我们看到这似乎携带藏的基本权利数据的所有权的丧失。
马特斯:有一件事情需要我们去面对迎面这种扩散设备是我们如何建立和管理设备之间的信任关系,并在这些设备的整个生命周期,所以我们实现对数据和资源更好地控制概念和消费者数据。这将有一个明确的方式,以减少对这些系统的攻击进行管理。对我来说,这是一个根本性的问题需要解决,一个是我们在回火网络在这里工作。
百马:物联网是狂野的西部现在。我们不知道它是怎么回事的样子,到哪里去。我们正好处在风口浪尖,并同时有很多机会的,有内在的脆弱性,因为往往安全的事实后狂奔。那么,什么是关于我来说是一个急于上市,以利用的机会和必要的安全和隐私保护不建,这意味着我们必须修补一起在路上。
Juels:不幸的是,这似乎是任何新技术的生命周期。安全问题并非针对开始,因为人们更关心的是基本的功能。我想我们将看到新的物联网设备进入市场,这种一再重复。我提到的医疗设备。我们已经看到,心脏起搏器和除颤器可以在空中被攻击,虽然有建于转移这些攻击的安全机制,他们不是非常有效,直到他们公布的行业没有认真对待的关注。
现有的工具能帮助我们解决物联网安全问题吗?还是我们必须重新发明?
Juels:现有技术甚至没有解决存在的问题,物联网可能加剧这种状况。我们还是坚持了密码怎么几十年的努力抛弃他们之后?当然很多物联网设备都基于密码的访问控制;一切从灯泡到娱乐系统和汽车使用这种过时的技术,所以这些问题将结转并会推出一些新的问题。
之前提到的一个问题是隐私的侵蚀,因为我们产生了越来越多的数据,这些数据的所有权并不明显,或者是共享的。例如,在公共环境中,一个摄像头拍摄的视频传递的信息是为了公共利益,但当然涉及到对被追踪的个人的敏感性,而数据之间的关联并不总是那么明显,这就引发了更多的担忧。所以存在着数据共享和隐私的现象,其中一个人分享数据的决定会影响到另一个人,而物联网正在加剧这种现象。
信息网络协会卡耐基梅隆的帕特里克·Tague
一个很好的例子就是位置隐私。我们现在有所有这些位置追踪设备。如果我决定向世界透露我的位置,我可能也会透露我碰巧和你处在相同的物理环境中这一事实,所以我也背叛了你的位置隐私。我可以不经你同意,甚至不让你知道就这么做。物联网将加剧这一普遍的数据共享和隐私问题,我们需要一个完全不同的隐私概念来处理它。
因此,不仅现有的工具不足以胜任这项工作,而且现有的隐私模型在这个咄咄逼人、无处不在的数据共享的世界里也将是不够的。(也认为:“物联网圆桌会议的互联网:专家讨论,以寻找什么,在物联网平台”。)
马特斯:我同意,我们将需要一个新的模式。至于技术去,我们有更好的技术,今天比密码即可使用。我们信任的硬件根源,我们有数字身份。但这些都是很难使用,使他们不习惯于和/或人不知道他们可以使用。我认为新技术将需要太像你如何为虚拟服务器做硬件信任根?因此,人们会需要对这项工作,但我认为这更多的是模型并围绕这个东西的架构,而不是我们发明了一大堆的新技术,扔它。
百马:我有两个第二你的观点。我们今天没有被适当或正确施用时,具有东西。每个人都在寻找一个大的方便按钮,它根本就不存在。只要我们正在寻找技术是根本的答案,我们总是会在没有充分保护自己的循环。你如何去找到一个科技以“保护环境”,当你不知道什么是在你的环境中,当你不知道在你的环境是什么正常吗?很多时候,人不能回答这些问题。在最新的和最好的技术引进是不会帮助,如果你不知道在哪里以及如何运用它。
Tague:可用性也是一个大问题,尤其是当我们想到大规模的设备。如果我作为一个消费者,在我家100台或1000设备,没有现有的解决方案,让我到密封泄漏。密码是肯定窗外,因为许多设备将不会有一个UI,所以我不会有验证自己的一种方式。
此外,考虑到,很多物联网应用都不会代表用户的运行,这么简单的事情一样变得难以验证,授权和访问控制。We’re no longer thinking about a user, we’re thinking about an automated agent that has no physical representation, doesn’t necessarily even belong to a particular service provider, and might actually establish contracts with service providers to get access to data to perform some functionality that’s either for a user or for another service provider.
长话短说,这是复杂的程度,我们还没有完全经过深思熟虑并不太了解,我们真的必须明白,之前,我们可以甚至认为这样的事情想出合适的机型。
你这么说,听起来不可能。
塔格:我不认为这是不可能的,只是很难。
马特斯:我们与重要基础设施的业主工作,我倾向于规模较小认为这些工业网络作为物联网的。他们往往是涉及各种传感器,执行器,服务器,供应商,承包商,远程员工等的自主控制系统,具有极高的需要集成更多的自动化使流程更高效。如果我们在标准层面建立一些模型,使其当人们正在建设的设备及其网络复选框,还有一些希望人们会开始做正确的事情。我们必须让安全方便,自动为最终用户。
鉴于问题的广度,我们将有可能与办法的大杂烩,这将导致在管理噩梦结束了?
Blackmer:我是一个乐观主义者,但我确实希望有一个大杂烩,因为当我们审视标准化时,问题一直是,如何使它足够广泛,以吸引更多的用户,他们可以利用它,但又足够具体,以使其有用。
安全现在是一个大杂烩。但我不认为我们需要更多的标准。我们有足够。我们必须使我们的工作的,但我们仍然在这个风口浪尖。我们不知道它会是什么样子呢。我有一种感觉,那里将是一个自然的扩张/收缩。事情的变化,新技术创建的可以折叠成别的东西。我希望它是这样,不幸的是,是的,这是一个管理的噩梦。
Tague:当然首先一个大杂烩,因为它看起来像的总是会发生什么。最后,我想它是否将是一个管理恶梦的问题是一些,是的,为别人,没有。虽然这是一个大问题,个别机构内,个人组中,个别领域内的要求更加简洁。
有他们在本地管理某一类型的物联网基础设施的公司,他们的需求将是从另一家公司不同。标准化可以帮助,只要标准是广泛的,足以捕捉每个人的要求,并足够灵活的,我的组织可以配置他们所需要和其他人可以为他们的目的不同去配置一些东西。
布莱克默:我可以提供一个数据点。我们在公民社会组织中做了一项调查,他们平均要和85个不同的供应商打交道,这是一个令人震惊的数字。这就是我说它复杂和管理噩梦的意思。所有那些需要管理的关系,所有那些升级,所有那些补丁,互操作性,等等。
+也在网络世界足球竞猜app软件ARM acqusition亮点追求嵌入物联网的安全性+