將物理基礎(chǔ)設(shè)施連接到互聯(lián)網(wǎng),會(huì)使系統(tǒng)容易遭受新的安全威脅。讓高管們夜不能寐的威脅因行業(yè)差異而各不相同,但各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全問(wèn)題無(wú)疑都在惡化。
制造業(yè)的安全人員擔(dān)心員工將感染了病毒的U盤(pán)插入機(jī)器,醫(yī)院管理人員則擔(dān)心惡意軟件毀掉未打補(bǔ)丁的核磁共振成像(MRI)機(jī)器,或是黑客會(huì)引導(dǎo)輸液泵注射致命劑量的藥物。
Josh Corman是位于馬薩諸塞州的計(jì)算機(jī)軟件公司PTC的首席安全官,他總結(jié)了六個(gè)理由,說(shuō)明物聯(lián)網(wǎng)安全與傳統(tǒng)信息技術(shù)的為何不同,以及為何更難處理。
首先是物聯(lián)網(wǎng)安全問(wèn)題的后果更為可怕。我們將越來(lái)越多的物理系統(tǒng)和設(shè)施連接到無(wú)線(xiàn)網(wǎng)絡(luò),風(fēng)險(xiǎn)也越來(lái)越高。一旦汽車(chē)或輸液泵受到攻擊,可能會(huì)導(dǎo)致人員死亡。
由此引出了Corman提出的第二個(gè)原因,即物聯(lián)網(wǎng)安全是一項(xiàng)特殊挑戰(zhàn):對(duì)手與我們此前所見(jiàn)都不同。他們不再是試圖賺錢(qián)或制造麻煩的獨(dú)行黑客,當(dāng)今的對(duì)手是國(guó)家黑客系統(tǒng),我們面對(duì)的是全力以赴的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。
2010年摧毀伊朗離心機(jī)的震網(wǎng)(Stuxnet)病毒可能是最早的案例。然后是2017年8月,一家沙特化學(xué)工廠(chǎng)遭到了一場(chǎng)旨在引發(fā)爆炸和破壞石油化工產(chǎn)品生產(chǎn)的黑客攻擊。專(zhuān)家認(rèn)為,這次襲擊由國(guó)家支持,目的是傳遞政治信息。
Corman指出的另外兩大原因源于時(shí)限和經(jīng)濟(jì)因素。當(dāng)一家公司購(gòu)買(mǎi)傳統(tǒng)信息技術(shù)系統(tǒng)時(shí),只能在一定時(shí)限內(nèi)得到軟件公司的支持。直到過(guò)去的幾個(gè)月,一些芯片制造商和軟件供應(yīng)商才開(kāi)始為物聯(lián)網(wǎng)產(chǎn)品提供為期7年和10年的支持。有一些仍然沒(méi)有提供任何詳細(xì)的支持合同,或者將期限限制在2到3年。
在某些情況下,這樣做是因?yàn)榻?jīng)濟(jì)上還不允許。一個(gè)聯(lián)網(wǎng)產(chǎn)品產(chǎn)生的利潤(rùn)可能微乎其微,但或許需要許多年的更新、補(bǔ)丁和安全評(píng)估。未來(lái)出售商品的成本可能還需要包括年度安全更新和補(bǔ)丁。
Corman的第五個(gè)原因與一個(gè)可怕的現(xiàn)實(shí)有關(guān),即許多聯(lián)網(wǎng)設(shè)備都是由不同公司生產(chǎn)并最后組裝在一起的軟件、硬件和固件構(gòu)造出來(lái)的。只要有一個(gè)薄弱環(huán)節(jié)就能制造出漏洞,因此,如果為汽車(chē)開(kāi)發(fā)車(chē)載信息系統(tǒng)的公司不更新其軟件,那么整個(gè)汽車(chē)就會(huì)變得脆弱易受攻擊。IT世界也面臨著類(lèi)似的挑戰(zhàn),但通過(guò)多年的合作,制造商們已經(jīng)在系統(tǒng)升級(jí)以使每個(gè)組件都得到及時(shí)修補(bǔ)問(wèn)題上達(dá)成了一致。
最后,許多連接設(shè)備都存在于與任何IT系統(tǒng)不同的環(huán)境中。在家里,沒(méi)有IT經(jīng)理可以將補(bǔ)丁推送到連接的冰箱。在工業(yè)環(huán)境中,修補(bǔ)一臺(tái)機(jī)器可能會(huì)導(dǎo)致它停止使用線(xiàn)路上的其他設(shè)備。在這里,與停止每天產(chǎn)生數(shù)十萬(wàn)美元收入的流程的風(fēng)險(xiǎn)相比,黑客攻擊的風(fēng)險(xiǎn)似乎很低。
最后,很多聯(lián)網(wǎng)設(shè)備所處的環(huán)境與IT系統(tǒng)并不相同。沒(méi)有IT經(jīng)理會(huì)將補(bǔ)丁推送到家庭環(huán)境里聯(lián)網(wǎng)的冰箱上。而在工業(yè)環(huán)境下,給一臺(tái)機(jī)器打補(bǔ)丁可能會(huì)導(dǎo)致它與生產(chǎn)線(xiàn)上的其他設(shè)備都停止工作。與使每天產(chǎn)生數(shù)十萬(wàn)美元收入的生產(chǎn)線(xiàn)停下來(lái)相比,黑客攻擊這些聯(lián)網(wǎng)設(shè)備的風(fēng)險(xiǎn)似乎很低。
在IT世界中,生命周期管理軟件產(chǎn)業(yè)已經(jīng)發(fā)展成熟,那些生命周期管理軟件可以跟蹤補(bǔ)丁并回滾有bug的軟件。而在物聯(lián)網(wǎng)世界中,我們還沒(méi)有到達(dá)這一步。