物联网(IoT)将开启一个网络智能和自动化的新时代,但它的到来也带来了一系列严重的安全问题。有个足球雷竞技app《网络世界》主编约翰·迪克斯与四位专家深入探讨了这个话题:
*马克·百马,产品营销经理,行业解决方案,思科
*阿里·朱尔斯,康奈尔技术学院雅各布斯研究所教授(前RSA首席科学家)
*帕特里克Tague,副研究员,电气和计算机工程,信息和联网研究院,和副主任,信息网络协会卡耐基梅隆
*大卫·马特斯,CTO,回火网(前身为高级研究技师在波音公司)
安全显然对物联网至关重要,但它究竟是一个多大的问题呢?
Juels:这是一种很难校准问题的范围。我们有一个很好的对象教训在2000年与千年虫恐慌。结果证明,这种观点大多是没有根据的,因为系统是异质的,而人们有适当的后备机制。我认为这取决于程度的同质性和异质性的物联网的发展,安全将是局部封闭或将全面范围,但很难知道如何,直到我们有一个广泛的安全问题的可互操作的设备,有强烈的攻击可以传播的速度有多快。
同质性越好,还是越差?
Juels:从安全的角度来看,情况更糟,但从可用性的角度来看,情况更好。
马特斯:在你的网络的初期有协议的极端异质性和它的创建安全问题和安全行业,我们今天有那些协议的收敛。同样,我们一直以来的“与协议的字母汤80做物联网类的东西。随着物联网,我们将看到同样的事情;我们将不得不在某个时候收敛到更均匀的环境,那将导致下一次安全危机。
Juels:一般网络安全是打击经济损失,打击滋扰的问题。随着物联网值得一提的是,安全故障可能危及生命,如在植入式医疗设备的故障。
马特:这个观点很好。在工业环境中也是如此,比如化工厂或炼油厂,他们正在研究无线和以太网的传输。连接中断或失败可能会导致严重的安全后果,因此物联网连接与安全的联系更加紧密。
为什么物联网安全与我们今天保护所有联网的东西的方式不同?
Tague:其一是根本不同的地方是使用数据。在传统的网络系统,我们认为有关数据特定于应用;仓储式应用程序管理自己的数据,你可以通过网络,只要保护您的数据作为应用程序的两个端点都比较值得信赖的。用的IoT,该数据的值是更围绕其要共享的能力。因此数据不一定通过或只是一个应用程序创建的。很多物联网的价值是设备上创建的数据,但他们不知道谁或什么数据是,和使用数据的应用程序可能不知道它的来自或更在乎在那里的来源。整个生态系统是一个很大的开放,当涉及到共享和管理数据。
说得好。
百马:这是我们与客户讨论了很多。谁去拥有这个数据?谁拥有它的控制权?当涉及到隐私,我怎么退出,如果所有这些不同的设备收集不同的数据元素,如何控制通向哪里?我看到,成为一个大问题很快。
+ ALSO:大数据安全分析可以成为信息安全集成的纽带+
Juels:我们可能会看到,我们对数据所有权的社会态度发生了惊人的转变,因为来自健身追踪器和医疗设备等设备的个人数据的保管被服务提供商拿走了,而不一定会返回给客户。一个人应该拥有自己的心跳吗?答案似乎是显而易见的,但在今天的环境下就不那么清楚了。如果你戴着健身追踪设备,你所有的数据都上传到了健身设备提供商的服务器上,这并不能保证你能访问到这些数据。根据大多数服务条款,您将被给予非常有选择地访问数据,在许多情况下,数据可以转售。因此,我们看到了数据所有权的丧失,而这些数据似乎承载着基本的所有权。
马特斯:有一件事情需要我们去面对迎面这种扩散设备是我们如何建立和管理设备之间的信任关系,并在这些设备的整个生命周期,所以我们实现对数据和资源更好地控制概念和消费者数据。这将有一个明确的方式,以减少对这些系统的攻击进行管理。对我来说,这是一个根本性的问题需要解决,一个是我们在回火网络在这里工作。
百马:物联网是狂野的西部现在。我们不知道它是怎么回事的样子,到哪里去。我们正好处在风口浪尖,并同时有很多机会的,有内在的脆弱性,因为往往安全的事实后狂奔。那么,什么是关于我来说是一个急于上市,以利用的机会和必要的安全和隐私保护不建,这意味着我们必须修补一起在路上。
Juels:不幸的是,这似乎是任何新技术的生命周期。安全问题并非针对开始,因为人们更关心的是基本的功能。我想我们将看到新的物联网设备进入市场,这种一再重复。我提到的医疗设备。我们已经看到,心脏起搏器和除颤器可以在空中被攻击,虽然有建于转移这些攻击的安全机制,他们不是非常有效,直到他们公布的行业没有认真对待的关注。
现有的工具可以帮助我们解决物联网的安全问题还是我们要重新发明呢?
Juels:现有技术甚至没有解决存在的问题,物联网可能加剧这种状况。我们还是坚持了密码怎么几十年的努力抛弃他们之后?当然很多物联网设备都基于密码的访问控制;一切从灯泡到娱乐系统和汽车使用这种过时的技术,所以这些问题将结转并会推出一些新的问题。
其中之一前面提到的是隐私的侵蚀,因为我们产生越来越多的数据,其所有权并不明显或者其所有权是共享的。从摄像头的视频在公共环境中,例如,用于公益事业继电器信息,当然涉及敏感性相对于个人跟踪,并且可以将数据关联的方式并不总是显而易见的提升还是更多的关注。因此,有数据共享和隐私,其中由一个单独的共享数据的决定可能会影响另一个人的这种现象,物联网正在加剧这一现象。
卡内基梅隆大学信息网络研究所的帕特里克·塔格说
这方面的一个很好的例子是位置隐私。现在,我们有所有这些定位跟踪设备。如果我决定公开我的位置给世界,我还可以透露我碰巧在同一物理环境中你,所以我也背叛了你的位置隐私的事实。我能做到这一点未经您的同意,甚至不知情的情况下。数据共享和隐私这是一般的问题将物联网将加剧,我们需要的隐私完全不同的概念来对付它。
因此,不仅将现有的工具是不够的作业,但隐私现有车型将要在这个世界上的非常积极和广泛的数据共享不足。(参见:“物联网圆桌会议的互联网:专家讨论,以寻找什么,在物联网平台”。)
马特斯:我同意我们需要一种新型号。就目前的技术而言,我们有比密码更好的技术可以使用。我们有信任的硬件基础,我们有数字身份。但是这些很难使用,所以它们不会被使用,或者人们不知道它们可以被使用。我认为还需要新技术,比如如何为虚拟服务器建立硬件根信任?所以人们需要在这方面努力,但我认为更多的是关于模型和围绕这个东西的架构,而不是我们必须发明一大堆新技术来投入其中。
百马:我有两个第二你的观点。我们今天没有被适当或正确施用时,具有东西。每个人都在寻找一个大的方便按钮,它根本就不存在。只要我们正在寻找技术是根本的答案,我们总是会在没有充分保护自己的循环。你如何去找到一个科技以“保护环境”,当你不知道什么是在你的环境中,当你不知道在你的环境是什么正常吗?很多时候,人不能回答这些问题。在最新的和最好的技术引进是不会帮助,如果你不知道在哪里以及如何运用它。
Tague:可用性也是一个大问题,尤其是当我们考虑大规模使用设备时。如果我,作为一个消费者,家里有100到1000台设备,没有现成的解决方案能让我封堵漏洞。密码肯定是不可能的,因为很多设备都没有UI,所以我无法验证自己。
此外,考虑到,很多物联网应用都不会代表用户的运行,这么简单的事情一样变得难以验证,授权和访问控制。We’re no longer thinking about a user, we’re thinking about an automated agent that has no physical representation, doesn’t necessarily even belong to a particular service provider, and might actually establish contracts with service providers to get access to data to perform some functionality that’s either for a user or for another service provider.
长话短说,这是复杂的程度,我们还没有完全经过深思熟虑并不太了解,我们真的必须明白,之前,我们可以甚至认为这样的事情想出合适的机型。
你这么说,听起来不可能。
Tague:我不认为这是不可能的,它只是困难。
Mattes:我们与关键基础设施的所有者合作,我倾向于将这些工业网络视为较小规模的物联网。它们往往是包括各种传感器、执行器、服务器、供应商、承包商、远程员工等在内的自主控制系统,高度需要集成以使流程更自动化、更高效。如果我们在标准层面上构建一些模型,并在人们构建他们的设备网络时将其作为一个复选框,人们就有望开始做正确的事情。我们必须为最终用户提供方便和自动化的安全性。
考虑到这个问题的广度,我们是否有可能以导致管理噩梦的方法大杂烩而告终?
Blackmer: I’m actually an optimist, but I do expect a hodgepodge because, as we look at standardization, the problem has always been, how do you make it broad enough to appeal to a greater audience who can take advantage of it, but specific enough to be useful.
安全现在是一个大杂烩。但我不认为我们需要更多的标准。我们有足够。我们必须使我们的工作的,但我们仍然在这个风口浪尖。我们不知道它会是什么样子呢。我有一种感觉,那里将是一个自然的扩张/收缩。事情的变化,新技术创建的可以折叠成别的东西。我希望它是这样,不幸的是,是的,这是一个管理的噩梦。
塔格:一开始绝对是大杂烩,因为看起来总是这样。最终,我认为这是否会成为一场管理噩梦的问题对一些人来说是,对另一些人来说不是。尽管这是一个巨大的问题,但在单个组织、单个组、单个领域中,需求要简明得多。
在本地管理某种类型的物联网基础设施的公司,其需求将与其他公司不同。只要标准足够广泛,能够捕获每个人的需求,并且足够灵活,使我的组织能够配置他们需要的东西,而其他人可以根据他们的目的进行不同的配置,标准化就会有所帮助。
百马:我可以用一个数据点抛出。我们做了民间组织进行了问卷调查和平均而言,他们正在处理大约85个不同的供应商,这是一个令人震惊的数字。这就是我的意思,当我说这是复杂的和管理的噩梦。所有这些关系进行管理,所有这些升级,所有这些补丁,互操作性等。
+ ALSO ON网有个足球雷竞技app络世界ARM acqusition强调了嵌入物联网安全的需求+