羊可以教我们关于保护物联网的什么?为理解拥有安全设备需求所代表的困境,请考虑集体所有权问题,比如在共同拥有的牧场放牧绵羊。
1968年,一位名叫加雷特哈丁的进化生物学家在科学杂志上发表了一篇题为“公地悲剧”的论文。其中,他描述了一种情景,即土地为牧群提供足够的营养,只要检查保持一定的羊的数量。如果每个在这片土地上放牧的人都为自己的利益行事,并增加了他们送到牧场的羊的数量,那么这片土地最终将不足以支持羊群,反过来会过度放牧,它将无法供给依赖于它的社区。问题源于这样的事实:社区中没有任何一个单位被激励来照顾牧场,结果导致每个人都遭受痛苦。
在过去的10年中,互联网已经看到了连接设备的大量涌现,它可以将YouTube传送到各种屏幕,打开门,远距离调节温度,并将能量使用传输到当地的公用设施。就像牧场一样,互联网是一个具有优缺点的"公地",因为没有人控制它。
当我们所有人从智能连接设备提供的舒适和便利中受益,但这些设备缺乏安全性也带来了不利因素。虽然不是一个孤立的案例,但Mirai攻击发生在2016年底,并使用IP安全摄像头,只使用无法修改的默认工厂密码进行保护。这些相机并不能被用户保护,即使用户想这样做。在这种情况下,黑客为安全漏洞打了补丁,所以大概没有其他人可以控制密码,并利用它来控制IP摄像机,利用它们的带宽来降低因特网其中一个最大的名称服务。这些名称服务相当于互联网的黄页。Web服务依靠它们相互交流。这次袭击造成了Twitter,Netflix和Reddit等几家知名服务机构下线并感染了大约500,000台设备。
手头的问题是:谁会被激励来保护物联网?生产连接芯片的公司是否应负责启用安全设备?责任是否落在设备的制造商身上,就像制造恒温器或汽车的人一样?还是我们需要政府管制来设定可接受的基准?
让政府看待物联网安全意味着有人负责管理“互联网公地”,但管制双方都面临挑战。过度的管制会有一些后果,同样过少也会。
在过度管制的情况下,政府可以采取物联网产品需要认证并包含高级安全功能的指定的途径。IP摄像机可能需要一个复杂且强化的远程管理系统来在产品生命周期内升级安全性。摄像机的制造商将被要求进行额外的安全认证步骤,除了可能在今天收到UL和FCC的认证。认证通常不仅限于产品功能,还需要一个组织和流程来处理产品生命周期的安全性。
所有这些额外的安全和认证增加了成本,并延长了产品上市所需的时间。对于大公司和昂贵的产品,这可能是可以管理的,但它确实对小公司或低成本/高产量产品(例如连接的灯泡或窗口接触传感器)提供了障碍。然而许多创新来自具有新理念的小公司,因此进入壁垒显然阻碍了创新。
另一方面,如果我们停留在没有管制的模式下,Mirai攻击很可能只是第一个。在这种情况下,随着新的物联网设备上线,各国网络武器库可能呈指数级增长,导致来自流氓国家的弹道导弹袭击的威胁比嵌入式设备被敌对势力控制的隐患更易于理解。众所周知,黑客可以控制并等待适当的时机发动攻击。通过在一个颗粒级的灯泡、安全摄像头、医院设备黑客上获取数十亿的连接设备,黑客可以更有针对性地对谁、何时、何地进行攻击。这种能力的价格可以卖给出价最高的人,而且可能会导致黑市经济在我们从未见过的水平上敲诈勒索。
这些工具可以控制各种连接的物联网设备。最近,维基解密发布的一系列文件称为Vault7,详细介绍了从NSA窃取工具的具体情况。它发布的工具箱包含用于手机和电脑的黑客攻击,以及智能电视和流行的互联网浏览器。随着更多的设备漏洞被发现,该工具箱可能会被扩展。
事实上,一年前,奥地利唯一一家名为“Romantik Seehotel Jaegerwirt”的酒店受到了一项勒索事件的影响,当时,黑客们控制了连接在一起的门锁,并要求支付赎金。酒店计划现在使用机械锁进行改造。
我们今天知道,黑客可以进入美国的能源网,也有一些团队正在努力解决如何关闭安全漏洞,但数十亿无担保的联网设备却为黑客提供了几乎无法预料和抵御的攻击。
困境很明显。太多的监管可能会减缓创新并增加物联网的成本。太少,物联网连接的价格太高,无法广泛采用。
那么什么是正确的监管水平?这可能是安全与可接受风险的平衡。如今,美国政府正在敦促半导体供应商和物联网设备制造商在设计阶段考虑网络安全问题。它还提倡对连接产品进行售后和生命周期监控,以检测和防范漏洞。
由于政府即将要求联邦政府大楼内联网设备的最低安全保障,似乎要指望政府的购买力成为变革的力量。随着物联网安全监管的制定,以下是我们希望看到三个原则:
如果做得好,政府的监管可以让我们所有人睡得更好,而不需要数羊。
所有物联网议程网络贡献者均对其帖子的内容和准确性负责。对作者的意见并不一定表达物联网议程的想法。