物联网有风险,入行需“安全”

发布时间:2020-11-11  

物联网巨大的市场中,有着无限的机会。

到2035年,将有1万亿台设备联网,对全球GDP产生5万亿美元的影响,可以想象到了那个时候,这将是一件多么令人兴奋的事。而且物联网具有逆转或影响气候变化、提高资源利用率的能力,并基本涵盖了我们今天和将来工作方式,能够更好地帮助疫情后的经济重建。

“当然要实现这些,生态系统很重要。传统生态系统中,一般包括具有产品设计能力的OEM、具有平台的芯片合作伙伴、工具供应商,以及为实现最终目标而存在的各种应用。但是这些旧关系正在改变,新关系正在形成。”11月5日,在ASPENCORE举办的第三届“全球CEO峰会”上,IAR Systems公司旗下Secure Thingz创始人兼首席执行官Haydn Povey分享了他对于物联网时代风险和回报的看法。

Secure Thingz创始人兼首席执行官,IAR Systems嵌入式安全解决方案部门总经理Haydn Povey通过视频分享主题演讲

Haydn Povey是IAR Systems嵌入式安全解决方案部门的总经理,同时还是物联网安全基金会的创始成员——这是一个致力于物联网安全的非政府组织。他曾在Arm担任过10年的高级营销和业务开发职务,期间负责公司在物联网和M2M市场中的安全性战略和产品路线图,并领导了Cortex-M微处理器系列的开发和推介。

多年安全领域的经验让Haydn觉得,从芯片到云、标识和预配、完备的供应链、独特定制和保护知识产权等能力,都是物联网生态系统“新关系”快速发展的组成部分。

未来,公司高管将为网络攻击造成的损失负责

对于绝大多数人而言,当今物联网面临的最大挑战是安全性。根据英国DCMS的数据,超过45%的受访者表示,安全性正在阻碍物联网的普及。根据其他分析,如果安全性更好,超过70%的客户会增加物联网产品的购买量。

而现实是,目前只有4%的物联网设备具有足够的安全性来满足当今的基本要求,同时全球有超过350万个网络安全职位空缺。这个领域面临的问题,确实需要通过使用工具来更好地解决,而不是简单地说教。

另一个大问题是,谁将为应对这些安全挑战负责?传统上,公司在面临一些大问题时,承担责任的往往是整个公司层面,但物联网时代不一样了。

据Gartner估计,到2024年,将有75%的CEO(或其他C级别高管)将对CPS(Cyber-Physical System,网络物理系统)攻击导致的系统事故承担个人责任。以美国为例,联邦调查局(FBI)、国家安全局(NSA)和网络安全与基础设施安全局(CISA)已经增加了关键基础设施相关系统威胁详细信息的提供频率,这类系统大多属于私人企业。 不久之后,CEO们将无法对网络安全问题导致的公司损失装傻,或者躲在保险政策后面。

Gartner还预测,到2023年,网络物理系统攻击造成的的巨大财务影响将超过500亿美元。即使不考虑人生命的实际价值,赔偿、诉讼、保险、监管罚款带来的成本和声誉损失都将是巨大的。

“所以现在起,安全性将升级为大多数C级别高管的关注重点,并像GDPR(General Data Protection Regulation,一般数据保护条例)和隐私问题一样被迅速纳入待办事项清单,并放在首位。”Haydn说到。

安全问题带来的都是真金白银的损失

安全性或安全带来的问题,在整个产品生命周期中都具有现实影响,造成的都是真金白银的损失、影响的都是企业赖以生存的业务,甚至医院的网络安全出问题还会让患者丧命。Haydn举了两个例子:

2019年,挪威海德鲁公司(Norsk Hydro)受到了网络攻击,据估计损失和恢复成本价值超过5200万美元,位列2019年 “最费钱的黑客攻击”第二名。

在2020年9月,德国杜塞尔多夫大学医院( University Hospital of Düsseldorf )遭到勒索软件攻击,导致手术系统崩溃。一名急诊患者被迫转移到更远的医院治疗,错过了最佳抢救时间不幸死亡。

Haydn表示,这些影响和攻击正变得越来越真实,越来越普遍,必须通过安全技术来制止这些恶意软件横行。虽然采用安全技术防御的潜在成本、影响以及因此产生的开销尚不明确,但提升安全性将切实地帮助到一些领域,例如知识产权(IP)保护和生产控制,同样,在许多系统中快速登陆时能够将设备直接连接到云,进行安全身份认证正变得非常重要。

虽然目前有各种立法、行业标准和认证书规定了一些安全性的要求。立法方面目前正在进行审查,即将生效,这对于整个行业的管控是具有真正威力的,并推动整个行业的真正变革。

从知识产权盗窃造成的经济影响来看,据ECIPE(European Centre for International Political Economy,欧洲国际政治经济学中心)估算,知识产权盗窃每年光是对欧盟就有600亿美元的经济影响。这个数字对现实世界经济的影响而言,令人难以置信,其结果可能会导致近30万个工作岗位的流失。

此外,还有供应链中的假冒、山寨产品和灰色交易问题。经济合作与发展组织(OECD)估计这是一个每年产值高达5000亿美元的产业,几乎是爱尔兰和荷兰GDP的总和。虽然其中电子产品数量上可能不占大头,但肯定是价值最高的一类,这些假冒或山寨电子产品会影响我们整个行业。

“我们怎么知道我们的汽车、飞机和消费电子产品里,用的都是什么器件呢?” Haydn说到,“因此,我们需要研究立法和标准的演变,以及作为一个行业,我们需要围绕这一点做些什么,并为物联网设计标准。”

世界各地积极立法,规范物联网安全标准

立法虽然在不断发展,但这其实是由行业驱动的,至少在消费者领域自我监管不可行,因为这个领域存在着传统的竞争至上心态,或者说一切基于省钱或赚钱的目标。这也让普通消费者往往不能理解安全性的优缺点,因为厂商在宣传产品时很少以这个为卖点,一些物联网小产品也压根不具备足够的安全性。

但一次次血的教训,让深受网络安全问题困扰的企业和利益相关者共同推动建立更强大的法律框架,对物联网产品安全提出具体要求。 在美国加利福尼亚州和俄勒冈州,已经对违反相关法律的企业实施了严厉惩罚;欧盟和英国这边,新的EN 303645规范即将完成。

目前针对物联网安全立法的指导原则,大都是轻描淡写,虽然不够严苛,但仍然具有影响,让消费者的选择更有透明性、对比性,促进他们对相关话题的交流和分享;在产品设计端则提供了弹性,让系统在受到威胁时及时止损。

从这张图上,可以看到欧盟和英国的消费者物联网法规立法现状

在美国,加利福尼亚州和俄勒冈州已经在州一级立法,从今年1月1日开始销售的任何设备,都应满足法律要求,以确保足够的安全性

Haydn表示,“联邦政府都没有做到这一步(EETC编按:美国是联邦制国家,各个州在联邦内部也被视为独立于联邦的国家主体,拥有很大的自主权,除了宪法规定的属于联邦的权力之外,其他的权力都是属于州的)。但最近的大选可能会对此产生影响。”

早在9月,美国众议院一致通过了《物联网网络安全改进法案》(IoT Cybersecurity Improvement Act [H.R. 1668]),该法案要求国土安全部以及网络安全和基础设施安全机构(DHS/CISA)提供一个法律框架,保障消费者的网络安全。负责建立标准的是美国国家标准与技术研究院(National Institute of Standards and Technology,NIST),目前标准是IR 8259。

欧盟和美国确实在朝着标准和立法迈进,这也正在影响亚太地区和大洋洲——

在奥运会之前,日本内务省就立法定义了物联网设备;韩国KISA(互联网和安全机构)在2020年2月着手推动物联网服务规划指南;中国方面,则由政府支持的工作组发布了官方标准;新加坡正式采用英国DCMS的指导原则;澳大利亚则采用“自愿性物联网消费者行为准则”(Voluntary IoT Consumer Code of Practice)。

工业物联网标准先行

其实在消费类物联网之外,我们看到工业领域的物联网已经实施了不少标准,其中最相关的是ISA/IEC 62443。该标准的有趣之处在于,它已成为全球政府采购决策中的强制性规定。 如果你要布建一个控制系统或智慧城市系统,则相关产品必须符合该标准。“鉴于现在每个厂商的系统都不同,因此几乎在使用前都必须适当地进行编码。有趣的是,这在多大程度上影响了需求?” Haydn说到。

ISA/IEC 62443不同要求的细目分类,获取详细法规PDF版下载链接

法规中对于安全级别的定义,是最重要的部分,因为它设定了安全操作的级别。从下图来看,对于大多数现代物联网应用要达到第2级或第3级安全。当然,所有设备都至少需要具备1级的基本保护能力,以防止偶发的攻击,但如果攻击再强一些,例如心怀不满的员工蓄意破坏,或恶意软件机器人,这就需要上升到了2级安全标准了。

第3级开始,防护重点在于不受复杂手段、特殊技能和动机的伤害。这一级最典型攻击是勒索软件,Haydn表示,“我们已经见过很多非常高级的攻击,比如前面提到针对挪威海德鲁公司的攻击。更高层次防护是复杂的,意味着需要扩展更多资源和高度机动性,因为在4级安全定义中,最典型的就是针对国家层面的攻击。需要再次强调的是,这确实包括应对一些有组织的犯罪和高级勒索软件攻击。”

虽然这些东西听起来像詹姆斯·邦德(James Bond,《007》男主角)或者杰森·伯恩(Jason Bourne,《谍影重重》男主角)等间谍小说里的东西,但确实是任何工业自动化控制系统都必须要防御的攻击,无论是在汽车平台,还是在工业机器人或者是在街道照明上。

那么,如何在不增加成本和复杂性的情况下,通过设计确保安全?

安全设计应从设计之初,贯彻到量产

回到消费者物联网的行业准则,在所谓的“13个最佳准则”(13 Best Practices)中,有三个最应该关注。

没有默认密码首当其冲,因为这给了社交型攻击机会。重置设备或许可以让其功能恢复,但实际上也给了坏人得到密码的机会。

“第二点是必须让漏洞披露平台运转起来,这对于确保所有客户、用户都意识到风险非常重要,这些风险将存在于任何设备中。” Haydn表示,“当然,如果有了漏洞披露政策,还必须遵循第三点——保持软件更新的能力。这类良好的安全习惯实施起来非常非常困难。”

从开发的角度来看,要在整个物联网平台上开发唯一身份实现起来非常困难。即每个设备都真正具有唯一的标识,并且可以对其进行唯一寻址、唯一更新和唯一管理,这重要到会影响整个开发和生产流程。

这需要新一代的工具,虽然目前已经有一些方法可以实现上述功能,但是Haydn肯定地说,还有其他方法能使这一切变得更容易,不需要消费者和开发人员去了解加密基元、根证书颁发机构和中间证书这些晦涩难懂的东西,只需通过操作向导和简单的复选框就能实现支持。

但是作为开发人员要有一种思维上的转变,那就是将安全性放在开发的首位,将其贯彻应用于原型设计中,为将来的批量生产打好样。一个硬件安全模块,可确保安全地生成信任/身份根,并将其配置(编程)到目标设备中。

如果在所有连接的设备中大规模进行此操作,难度很大,但是现在这是强制性的。 如何进行大规模的安全配置和编程?Haydn认为,它应该非常简单,就像包含一个用于密钥生成的证书框架,以便将原型扩展到大批量生产。

关于实施漏洞披露的政策,Haydn介绍了他们的漏洞披露平台。该平台允许任何开发人员注册并披露漏洞信息,显示受影响的软件版本,并允许披露受到威胁的硬件产品。他认为其实每个行业组织、OEM、芯片厂商、工具供应商都必须制定自己的披露政策,必须有高管为此负责。同时必须与消费者保持联络和良好的沟通。而不幸的是,目前整个行业在这一领域做得非常差。

交付生命周期管理方面,虽然有很多机制可以做到这一点,但基本上在每个层面上都可能存在折中。现实情况是,更新机制越小,系统引导过程越早,效果也会越好。这就是为什么要采用构建健壮(robust)、安全的启动管理器的方法,它支持通过任何一种机制来加载内存,这些机制可以保障签名、加密、格式、版本和更新正确。

这也可以在操作系统中以及通过应用程序完成,具体取决于许多级别。在大多数情况下,会有多个级别的更新。 但从根本上讲,必须假定任何复杂程度的软件都将充满妥协,而且我们必须能够适当地进行恢复、修复和更新,因此需要从一开始就具有安全性。

总结

“安全实际上是一种高价值的能力,这不是成本。”Haydn说到,“它可以保护您和您的客户IP免受盗窃,保护用户免受恶意软件侵害。消费者物联网的安全性已经受到法律约束,不幸的是,很少有公司准备就绪。”

虽然工业物联网已经有了一些强大的安全标准,这些标准现在已成为许多组织的采购要求,但并不是所有你需要的组件都能符合要求。Haydn建议阅读工业物联网规范以及EN 303645标准,以更好地适应不断变化的经济形态。

“作为一家工具开发公司,我会尽量把物联网潜在的风险说出来,但是用好了工具确实可以使安全性变得简单。”Haydn总结道,“这应该不难,您也不必是专家,只需按图索骥来便可以将标准化的安全推广到每个角落。我认为物联网时代有很多潜在的回报,也有很多风险,但是通过工具、芯片和应用程序协同作用,我们就可以确保连接的安全。”

文章来源于:国际电子商情    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

    智能家居有哪些技术特征;智能家居是物联网在家居环境中的具体应用,因此智能家居也具有与物联网应用相似的特征。而从技术方面来说,智能家居的特征有三个,具体信息如下。 智能家居的三个技术特征 1、对实......
    物联网能否爆发就看这十个方面; 来源:内容来自机器人前沿 ,谢谢。 物联网作为一个正蒸蒸日上的新市场,以每年年复合增长率16.9%的速率快速攀升,将取代现有的生活方式,物联网在未来的变革以及市场的爆发点究竟有哪些......
    外媒眼中最酷的物联网安全公司有哪些?; 最近,CRN 在最新一期出版的杂志上评选出了 2016 年度在物联网信息安全......
    调道。 三是安全问题需要重视。物联网的安全一直就是产业界关注的焦点,是移动物联网发展的重中之重。过去几十年,安全面临诸多挑战;同理,随着上亿个终端与重要基础设施关联,物联网安全面临更大挑战。如何保护安全......
    趋势 Q6.还有哪些要对参展观众提到的话题? l 品质决定着物联网的生命力。未来一定是一种平台化的物联网......
    有量预计将超过1000万台。如何保障电梯设备的安全运行与电梯设备的维修保养的监管工作成为新时代重要课题。 在国家政策的强力支持以及在物联网技术成熟的条件下,科技赋能电梯安全拉开了“数智电梯”时代......
    物联网方面还存在哪些安全隐患?; 在大数据时代,任何一点安全风险都可能被放大,造成个人信息泄露、财产损失甚至人身安全等问题,给人们生活和社会运行带来影响。的安全威胁远未见顶,物联网......
    可穿戴设备的安全性管理;由于与互联网相连,便携式健康监测产品和可穿戴设备等物联网设备在本质上就容易受到黑客攻击。从使用分布式拒绝服务(DDOS)攻击设备到侵犯个人隐私,来自......
    中国制造2025逼近,工业物联网还有哪些商机?;在一年一度的“松山湖中国IC创新高峰论坛”上,来自本土IC公司与系统厂商在圆桌论坛中探讨了“布局工业物联网的关键技术”。 从左往右依序是:瑞芯......
    性是在设计阶段就需要慎重考虑的东西,需要通过正确的连接来配置、监控和安全地更新该设备。3.您能和我们谈谈iENBL以及使这项产品成功的技术和流程要素有哪些吗?iENBL不是一个产品或设备,而是一个被设计成本质安全的物联网......

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>