1. 程式人生 > >重視物聯網裝置威脅,提高國家安全保障

重視物聯網裝置威脅,提高國家安全保障

導讀 2015年,烏克蘭電網受到網路攻擊影響,導致基輔幾個小時斷電;最近在2017年,由於勒索軟體(WannaCry)的狂熱,英國國民健康保險系統連續幾周受到攻擊。

我們都知道個人裝置可能會被黑客攻擊,但是整個國家的安全也有可能會受到威脅。隨著所謂物聯網(IoT)的興起,並且在網路戰、數字監控和數字顛覆的背景下,國家安全面臨的風險將會越來越大。今年早些時候,英國國家網路安全中心負責人公開表示,對該國基本服務的重大網路攻擊是“何時發生,而不是是否會發生”的問題。

物聯網由數十億嵌入我們家庭、工作場所和城市的線上物品(裝置、裝置)組成,這些物品不斷收集、分析和傳輸資料。一些物聯網裝置,如個人健身追蹤器或智慧手機,無論我們去哪裡,都會隨身攜帶,我們遠端互動的其他專案,如家用供暖控制等,還有許多是隱形的,默默執行以調節交通流量、工業控制系統等等。

重視物聯網裝置威脅,提高國家安全保障重視物聯網裝置威脅,提高國家安全保障

物聯網裝置與其說是帶有計算機的東西,倒不如說是帶有附件的計算機,因為沒有一臺計算機是完全安全的,這意味著你的智慧冰箱或虛擬助手都有安全隱患。像所有線上物品一樣,這些物品構成了大規模分散式網路的一部分,如果有人想侵入這些全球資訊網路,那麼,物聯網裝置可提供數十億個額外攻擊入口。

破解物聯網裝置相對容易,因為許多廉價產品沒有足夠的安全性,即使是具有高階安全性的裝置,例如無人駕駛汽車,也很容易受到攻擊。這意味著物聯網技術被廣泛認為是一個主要的網路安全問題,被入侵的心臟起搏器、被癱瘓的空中交通管制系統,以及所有的“網路戰爭”都只是一些最壞情況,漏洞如果被利用,可能會導致損害、傷害和死亡。

對重要國家基礎設施的網路攻擊已經是一個非常真實的威脅。2015年,烏克蘭電網受到網路攻擊影響,導致基輔幾個小時斷電;最近在2017年,由於勒索軟體(WannaCry)的狂熱,英國國民健康保險系統連續幾周受到攻擊。

這些事件表明,網路攻擊非常具有破壞性,以及物聯網攻擊正在激增和多樣化這一事實令人擔憂。一家主要的網際網路安全公司報告稱,2016年—2017年的物聯網攻擊增加了600%,這個指數增長預計會持續下去,尤其是隨著物聯網裝置數量的增加。在2017年,物聯網裝置數量已經超過了全球人口數量,而且到2020年可能會超過200個億臺。

僵屍網路的興起

僵屍網路是由連網裝置組成的網路,這些裝置已經被黑客入侵、劫持和遠端控制。問題在於,安全性差的物聯網賬戶是黑客試圖開發僵屍網路並將其武器化的理想目標。有了惡意軟體,黑客可以使用僵屍網路對特定目標執行分散式拒絕服務(DDoS)攻擊,該惡意軟體使用數千臺裝置來淹沒網際網路伺服器的流量,並禁止正常使用者訪問線上資源。數十億的物聯網裝置使得黑客更容易控制大型僵屍網路,甚至用來攻擊最強大的目標。

Mirai惡意軟體利用物聯網裝置(如閉路電視攝像機和路由器)中的漏洞來做到這一點。2016年10月,Mirai發起了針對Dyn公司的DDoS網路攻擊,Dyn公司提供對Twitter、亞馬遜和Netflix等主要網路平臺的訪問,而DDoS阻止了消費者在幾個小時內訪問這些平臺。當然,很難計算此類事件的財務影響,但Mirai展示了利用物聯網裝置可以如何攻擊基本服務。

國家或非國家行為者可以嘗試使用物聯網僵屍網路來攻擊一個國家的衛生、能源、運輸或金融部門,如果僵屍網路針對關鍵的國家基礎設施發起攻擊,其影響可能是空前的。缺乏證據的猜測很少是明智的,但是不難想象如果金融服務宕機或者鐵路運輸網路遭到破壞會發生什麼。幸運的是,還沒有任何網路攻擊使全球金融體系崩潰,也沒有任何人喪生,但這些一直都是政策制定者和網路安全專業人士的擔憂。

歸因也不容易,但它正在變得更好。如果一個國家或恐怖組織被確定為重大襲擊的實施者,那麼國家安全機構應該立即採取行動打擊他們。對於北約成員來說,網路攻擊甚至可能引發集體的政治和軍事反應。

政府如何迴應?

到目前為止,美國和英國都沒有停止引入監管,並不斷向企業施加壓力,使其產品更加安全。然而,這些政策並沒有解決首要問題:公司將繼續銷售安全性差的產品,因為消費者願意購買這些產品,這是供求關係決定。目前很少有公司將符合高安全標準的物聯網產品推向市場,在全球供應鏈中,情況更加複雜,因為國家舉措無法解決跨國問題。

市場不會解決這個問題,所以更加強有力的政府監管幾乎是不可避免的。很少有政府機構喜歡這項挑戰,因為從政策角度來看,這是一個“棘手問題”,即使一個解決方案是顯而易見,但由於主要參與者的競爭動機和技術環境活力,這也是不可能的。

一個更激進方法是首先解決物聯網存在的原因。物聯網既是值得讚美目標(能源效率、公共福利)的產物,也是為了連網而痴迷於連網的產物。眾所周知,複雜系統會產生不可預知的影響,如果我們想盡可能降低連網世界的風險,那麼,我們需要優先考慮那些真正需要裝置。這需要從根本上轉變思維模式,將公共利益置於利潤和政治權宜之上。