安富利:物聯(lián)網(wǎng)安全的困境與破局之道
物聯(lián)網(wǎng)已然走入了人們的日常生活,成為業(yè)務(wù)洽談中時常被提起的高頻率詞匯。也正因為如此,未來幾年,物聯(lián)網(wǎng)市場規(guī)模預(yù)計將出現(xiàn)快速增長。據(jù)IDC發(fā)布的數(shù)據(jù),2019年,全球在物聯(lián)網(wǎng)軟硬件方面的支出為7,260億美元,預(yù)計到2023年將增長至1.1萬億美元。在中國,十三五以來,物聯(lián)網(wǎng)市場也穩(wěn)步增長。根據(jù)賽迪顧問發(fā)布的《2019-2021年中國物聯(lián)網(wǎng)市場預(yù)測與展望數(shù)據(jù)》,預(yù)計中國物聯(lián)網(wǎng)市場規(guī)模將保持20%以上的增長速度,到2021年,市場規(guī)模將達到26,251.3億元。
毋庸置疑,物聯(lián)網(wǎng)的日益普及給人們帶來了切實的益處和諸多便利,但我們同樣也不能忽略伴隨著物聯(lián)網(wǎng)落地應(yīng)用而帶來的各種安全風(fēng)險。
物聯(lián)網(wǎng)設(shè)備很智能,但也存在漏洞,許多設(shè)備都缺乏抵御黑客攻擊的必要“安全堤壩”。這些安全漏洞讓它們很容易遭受惡意攻擊,可能引發(fā)嚴重的后果。比如,猖獗一時的Mirai僵尸網(wǎng)絡(luò)曾發(fā)動了史上規(guī)模最大的DDoS攻擊,讓包括Twitter和CNN在內(nèi)的許多網(wǎng)站都陷入了癱瘓。
盡管這樣重大的網(wǎng)絡(luò)安全事件并不是每天都在上演,但它們卻給全行業(yè)一再敲響了警鐘,讓有意采用物聯(lián)網(wǎng)技術(shù)的企業(yè)謹慎評估從一開始就構(gòu)建安全體系的重要性。
物聯(lián)網(wǎng)設(shè)備支出VS回報,永恒的博弈
從采集數(shù)據(jù),到進行數(shù)據(jù)分析和價值挖掘,進而提高運營效率和客戶體驗,使用物聯(lián)網(wǎng)設(shè)備簡化業(yè)務(wù)運營所帶來的優(yōu)勢是不言而喻的。它在無形中推動了互聯(lián)設(shè)備的變革,這一點毋庸置疑。但是,物聯(lián)網(wǎng)設(shè)備存在著顯而易見的缺陷,也就是它們的安全漏洞,這對各種規(guī)模的企業(yè)來說,都意味著重大的安全隱患。在微軟的調(diào)研中,幾乎所有的受訪者(97%)都表示,在部署物聯(lián)網(wǎng)時有安全方面的擔(dān)憂,但公司仍然在未采取必要安全舉措的前提下采用了該技術(shù)。
出現(xiàn)這種情況的原因很簡單,企業(yè)急于擁抱物聯(lián)網(wǎng)設(shè)備帶來的機遇和諸多益處,卻并未充分考慮將這些設(shè)備應(yīng)用到業(yè)務(wù)運營中可能隱藏的風(fēng)險。盡管物聯(lián)網(wǎng)安全事件日益增多,但很多企業(yè)還是沒有意識到物聯(lián)網(wǎng)安全的重要性,仍顧慮在IoT網(wǎng)絡(luò)中構(gòu)建安全體系的短期成本投入,并選擇將其忽略,根本沒有充分考慮長期的潛在回報。
其他企業(yè)也許考慮到了物聯(lián)網(wǎng)的安全性問題,但也只是事后諸葛亮,在網(wǎng)絡(luò)攻擊事件發(fā)生之后,才亡羊補牢,選擇為其IoT網(wǎng)絡(luò)構(gòu)筑安全“防火墻”, 實則為時已晚。據(jù)Trend Mirco(趨勢科技)在2018年開展的一項調(diào)查分析顯示,43%的IT高管承認,由于流程的復(fù)雜性、前期成本投入以及缺乏通用標準等因素,在部署物聯(lián)網(wǎng)時并未充分考慮安全性問題。
但是,在物聯(lián)網(wǎng)實施過程中,從一開始就應(yīng)該注重安全性,并將其作為規(guī)劃布局中的關(guān)鍵任務(wù)之一。從初始階段就在系統(tǒng)中加入安全設(shè)計,比在開發(fā)周期接近尾聲時或者在漏洞已經(jīng)出現(xiàn)或公開之后再采取措施,更加經(jīng)濟有效。
物聯(lián)網(wǎng)安全,挑戰(zhàn)無處不在
企業(yè)也許會發(fā)現(xiàn),要確保物聯(lián)網(wǎng)設(shè)備的安全是個不小的挑戰(zhàn),這點其實可以理解。物聯(lián)網(wǎng)的迅速增長和商用普及,導(dǎo)致IoT市場出現(xiàn)碎片化困局,缺乏明確、統(tǒng)一的標準。而定義IoT設(shè)備的標準和架構(gòu),要通過數(shù)十項持續(xù)、不同的舉措來進行,企業(yè)自然會疲于應(yīng)對眼前出現(xiàn)的挑戰(zhàn)。
企業(yè)面臨的另一個挑戰(zhàn)來自于對物聯(lián)網(wǎng)安全缺乏深入的了解。由于物聯(lián)網(wǎng)技術(shù)相對來說比較新,因而缺乏擁有物聯(lián)網(wǎng)技術(shù)專長的IT高管,這也意味著很多公司內(nèi)部根本沒有懂得專業(yè)技術(shù)和知識的人,來評估和推行針對物聯(lián)網(wǎng)設(shè)備的安全舉措。
最后,由于過程的復(fù)雜性或者成本投入高等原因,企業(yè)可能難以部署安全補丁。許多邊緣物聯(lián)網(wǎng)設(shè)備都在低功耗的狀態(tài)下運行,有些甚至是用電池或太陽能供電,這就意味著安全補丁需要滿足易于無縫部署的要求。再加上成本等因素的考量,讓情況變得更加復(fù)雜。邊緣物聯(lián)網(wǎng)設(shè)備通常成本很低,這就要求安全解決方案必須具備成本效益且尺寸靈活,才能讓企業(yè)在實際部署環(huán)節(jié)采用。
實現(xiàn)物聯(lián)網(wǎng)安全,究竟路在何方
那么企業(yè)如何才能應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)呢?盡管安全性和成本之間很難權(quán)衡取舍,但是對于企業(yè)而言,從一開始就將安全性作為標準去實行,而絕非事后才彌補,是非常必要的。企業(yè)應(yīng)當(dāng)力求將安全性作為一個必不可少的過程去評估,而不是將其作為一款產(chǎn)品的一個可有可無的選項來對待;與此同時,需要在規(guī)劃預(yù)算時優(yōu)先考量安全性建設(shè)方面的投入,這樣才能真正從實施IoT中獲益。
物聯(lián)網(wǎng)安全的復(fù)雜性是一大挑戰(zhàn),同時擁有這方面技術(shù)專長的人作為一種緊俏資源又很難獲得,面對這種兩難的境地,企業(yè)該如何破局?或許,可以將安全軟件庫作為給物聯(lián)網(wǎng)設(shè)備提供安全保障的選項之一。通過咨詢擁有專業(yè)技術(shù)和豐富經(jīng)驗的合伙伙伴,安全軟件庫在硬件安全和軟件安全之間提供了一種折中的方法,允許企業(yè)利用端到端的安全解決方案對邊緣設(shè)備進行重點管理。
通過這種方式,企業(yè)或許能夠以較低的價格、大規(guī)模地創(chuàng)建他們的物聯(lián)網(wǎng)架構(gòu),成功應(yīng)對物聯(lián)網(wǎng)部署所帶來的嚴重安全風(fēng)險,從而獲得豐厚的回報。Mirai僵尸等網(wǎng)絡(luò)攻擊事件暴露出了這樣一個問題:僅僅是物聯(lián)網(wǎng)設(shè)備中存在的一個漏洞就能讓整個企業(yè)的網(wǎng)絡(luò)處于危險之中。隨著物聯(lián)網(wǎng)變得越來越普及,企業(yè)愈發(fā)需要采取積極的措施來保護物聯(lián)網(wǎng)架構(gòu)的安全。