图片来源:虹科
在过去的几十年中,技术革命彻底改变了我们的生活方式。个人计算革命始于八十年代初期-企业开始过渡到能够自动处理数据,以数字方式存储数据并快速有效地找到它们。
在九十年代初期,互联网开始在西方世界的企业和家庭中变得司空见惯,从而改变了我们完成工作,处理数据,存储数据甚至相互通信的方式。
尽管这些革命共同推动了全球业务和个人通讯的快速发展,但不利的局面是不可避免的。这些缺点在短短几年后就开始显现:潜在的数据丢失,数据盗窃,商品丢失或业务效率下降成为技术进步的不良副产品。
对这些新兴技术的一些首次攻击来自技术爱好者,他们想测试自己的能力或炫耀自己的知识,例如莫里斯蠕虫(Morris蠕虫,1988年),至少根据其创造者的观点,该蠕虫旨在衡量网络空间的规模。而随后发生的许多攻击都是出于明显的恶意目的而构建的。
网络攻击的爆发时代始于全球企业广泛采用互联网和个人计算之后。攻击者有很强的动机将机会转化为有组织的犯罪:随着每个人都拥有计算机,攻击的平台变得无穷无尽。大多数计算机连接到Internet,攻击者可以在家庭办公室中做任何他们想做的事情www.cechina.cn,暴露的风险很小。同时这很容易:系统没有受到保护,互联网没有设计为防止攻击,并且可以利用它们产生直接、切实的影响-窃取或破坏数据,破坏通信和访问网站等。
情况很快就愈发明显控制工程网版权所有,在编写互联网协议或个人计算行业开始时,安全并不是优先考虑的事情。然而,为了使这些新技术成指数增长,必须认真考虑安全性。安全解决方案很快出现来保障可以安全使用新技术,并且在不断发展的计算行业中,主要参与者(微软、英特尔和其他公司)也开始将安全性“烘焙”到他们自己的产品中。
区块链技术允许以可验证的永久方式记录各方之间的所有交易,同时它还增加了攻击者的动机-使攻击者更容易保持匿名,且仍可以勒索软件的形式立即从其中获利,这是一个近年来呈指数增长的产业(2016年超过10亿美元控制工程网版权所有,并且仍在增长)。
我们现在正处于另一项重大技术革命的前夜:物联网(连接)设备。在我们与之互动的任何事物中,连接性已成为必备条件;它允许物理设备成为传感器和执行器;它使我们可以在物理上不靠近设备的情况下控制它们;它使我们能够调查我们的设备,了解何时需要对其进行维修或它们是否有可能很快发生故障;它使设备本身可以做出明智的决定-那些可以节省我们的时间或为我们节省金钱的决策,或者可以使我们的生活更舒适的决策。
这场革命也有类似的弊端,并且随着采用率的增长,这些弊端开始显现。就像在互联网的早期,我们开始看到攻击者正在测试其能力、工具和基础架构。随着物联网(连接)设备的采用不断增长,我们确信攻击也会发生。
物联世界中攻击者的驱动力远大于互联网革命中的驱动力:
1 攻击者拥有一个更大的平台:
数十亿个设备已经连接,Gartner预测在未来几年内将呈指数增长。
2 更多的连接接口:
过去,大多数连接都是通过调制解调器进行的。如今,每台设备都包含有线或无线连接选项以及满足不同需求的不同协议(Wi-Fi,Z-wave,ZigBee,以太网,蓝牙,BLE等)。
3 设备更容易受到攻击:
设备制造商正急于推向市场,专注于性能和产品效率,而将安全放在其次。今天的生态系统更大,并且使设备制造商具有更大的灵活性-可以从各种操作系统中进行选择,将自己的代码与外包代码混合在一起,嵌入开放源代码库-但这一切都意味着维护编码的安全良好应用要困难得多。
4 影响更大,更快:
造成数据丢失只是攻击者在IoT空间中计划攻击时的可选项之一。当他们攻击连接设备时,其影响很可能是物理上的,它将影响我们的即时环境和行动,使我们的日常活动面临风险。例如,攻击者现在可以使用新的现代版本的勒索软件来锁定酒店的智能锁。
5 新的领域:
事实证明,网络犯罪已经持续了二十多年。今天唯一的变化是将重点转移到了新的领域。
尽管不同年代的技术进步之间有许多相似之处,但也存在重大差异:
01
个人计算旨在允许用户并行使用同一系统上的不同应用程序。物联网革命为每个连接的设备分配了特定的应用程序。设备和应用程序一起提供(即使它们不是由同一软件开发人员编写的)。
02
嵌入式设备通常没有图形用户界面,这使攻击者更难以利用社会工程学来利用用户的弱点,但也使设备的用户很难识别出什么地方出了问题。
03
安全领域供应商构建可在操作系统上运行的防病毒软件和其他应用程序,以干扰并防止可能的恶意攻击。在物联网领域,这项任务要艰巨得多,因为不同设备中的硬件和操作系统种类繁多,而能提供给额外应用所必需的算力、存储空间、电力资源却很少。
结论
结论是显而易见的:设备制造商是唯一能够确保连接设备生态系统中的安全性和信任的角色。他们处于独特的地位,可以将安全性融入其设备中。正如历史所教导的那样,安全性不是事后的想法,也不能建立在设备之上,尤其是不能建立在已连接设备之上。
解决方案
虹科Vdoo为物联网制造商提供了一个平台:Vision,可以安全地开发互联(IoT)设备并确保IoT革命的安全性。
该平台对连接设备镜像执行自动安全分析,以提供产品软件组件和安全问题的完整可视性CONTROL ENGINEERING China版权所有,同时提供智能问题影响评估和优先级排序、解决方案指导、标准合规性指导以及持续的漏洞监控功能。应用包括软件组成分析、深度静态和动态安全分析以及机器学习在内的技术组合,Vision自动提供高度准确的针对产品的洞察,而无需访问源代码。
Vdoo的自动化产品安全平台由具有多年嵌入式软件架构和漏洞研究、逆向工程和二进制代码分析经验的领先以及不断加强的安全专家团队。该团队已经分析了数千种连接设备镜像、数亿个二进制代码和数千个漏洞,生成了庞大的产品安全知识库,至今已经发现了300多个新的零日漏洞。除了进行原创性研究外,团队还持续监控外部资源,包括开源项目、漏洞和漏洞数据库、行业标准和法规、社交媒体和社区披露计划,以确保平台提供最相关、最准确、最新的安全信息。
可以明确的是www.cechina.cn,Vision自动化产品安全平台已为即将到来的物联网设备革命做好了准备。