踏入新十年,物联网安全领域逐渐成熟,但也伴随着新一波的风险。
就在不久之前,“物联网安全” 这个术语听起来还有点自相矛盾。但现在,对物联网安全重要性的认知已经达到了空前的高度。联网设备如今已渗透到我们生活的方方面面,从家居到工厂无处不在,恶意黑客如今手握大把形形色色的终端目标。现在我们就来预测一下,来年网络安全领域的猫鼠游戏中会出现些什么。
1. 智能楼宇安全问题引人关注
2020 年,智能楼宇安全问题可能会成为设施管理者的首要考虑。Gartner 的调查研究表明,2020 年,80% 的联网设备与楼宇相关,智能楼宇为对手提供了新的攻击途径。但在明年此类攻击会不会大幅增加的问题上,专家们意见不一。Honeywell Building Solutions 网络安全全球总监 Mirel Sehic 预期会出现大幅增长。攻击者可能将楼宇管理系统作为跳板,用以获取 IT 数据,以及操纵建筑控制。
Kudelski Security 首席执行官 Andrew Howard 表示:我不认为明年会看到更多此类攻击,因为很多建筑内部的网络都是高度隔离的。
尽管可能会有一两个系统接入互联网,但事实上大部分系统都没有联网。即便联网,通常也是 VLAN 隔离的。这可不是像常见的物联网网络那样所有设备都铺在平面网络架构上。以我的经验看,大多数楼宇,无论是新是旧,事实上都很重视隔离。比如说,电梯就与楼宇管理系统是隔离的,跟自动扶梯也是隔开的。楼宇中的安全摄像头可能接入互联网,但基本上很难以此为跳板跳转到楼宇管理系统中。
2013 年塔吉特信用卡数据泄露后,联网楼宇系统的前景就成了主要的网络安全顾虑。该事件中,塔吉特的暖通空调供应商被入侵,攻击者能够进入其内部网络,包括其支付系统。仅此一项,黑客就卷走了 4,000 万信用卡号。
保护楼宇安全的挑战之一,就是情况常是碎片化的。没有大玩家现身充当该领域的安全供应商。
2. 5G安全开始崭露头角
2019 年时,5G 看起来还只是理论上的可能性。上半年,5G 在商展和个别地区展示性现身,但现在,电信公司纷纷开始推出他们的 5G 网络。
到 2020 年,随着 5G 部署持续推出,攻击亦将接踵而至。IOActive 首席技术官 Cesar Cerrudo 对此表示同意。
无论何时,互联的东西越多,安全问题就越多。
5G 最终成为基础协议的前景意味着,从监视和交通摄像头到车辆的所有东西都会通过该协议连接。这就有可能给攻击者提供瘫痪社区、城市甚至整个国家的康庄大道了。5G 还可以为主要使用不同无线协议的设备提供连接。比如,5G 可以作为 LPWAN 设备接入云端的回传线路。
尽管有抗干扰属性,但与其他无线通信方式一样,5G 也易于遭受拒绝服务攻击和阻塞。
电信和基础设施公司大力推广 5G 的各种用例,包括工业领域。将 5G 用于关键工业过程,产生切实业务影响,是颇具风险的提议。对此,PAS Global 首席信息安全官 Jason Haward-Grau 表示:
让情况变得复杂的是,很多工业环境都部署着过时的遗留设备。恶意黑客将开始针对这些环境,带来严重后果,比如对配置的非授权修改——可致工业过程未按既定方式运转,因而造成工业事故、断电,甚至环境灾难。
3. 托管安全服务市场激增
近些年,很多公司企业开始抛弃独自管理安全的想法。增长中的一个细分市场就是托管安全服务,Kenneth Research 的研究概要中称,该细分市场年增长率达到了 15%。
2020 年,托管安全服务市场的增长率还将更高。总体上看,正在进行数字化转型的很多公司企业,都难以找到足够的专业人才来处理复杂性不断增加的网络安全问题。于是,他们将目光转向了托管服务。
Cerrudo 同样预测对安全咨询业务对需求将迎来增长。
需求应随着我们技术依赖和使用的增长而增长。公司企业寻求各类服务帮助将自身问题与服务适应公司的需求。这一过程中采取了多种方法,包括建立合作关系、外包、软件即服务 (SaaS) 解决方案、常规服务等等。
但网络安全市场的复杂性让有些公司对完全外包存有疑虑。
这几年我在网络安全市场中看到的变化之一,是大公司更愿意引入托管安全供应商来负责部分安全工作,但不是全部。过去他们要么完全内部消化,要么就是完全外包。我觉得我们将看到更多的混合模式。
4. OT网络安全巨头重要性日显
随着安全仪表系统已成当前攻击目标的事实曝光,运营技术 (OT) 网络安全某种程度上已日渐获得重视。Honeywell 的 Mirel Sehic 预期该趋势在 2020 年还将继续加速,因为届时将有更多的 OT 环境拥抱数字化。
Howard 赞同此观点:以往跟客户聊到 OT 环境时,他们都很紧张安全问题,并且该趋势将会加速。
其中一个因素就是这个市场仍不成熟。从安全角度看,OT 领域的现状类似于十年前的 IT 领域。而十年前,想找到适用 IT 环境的安全标准是很难的。网络安全人员能够找到一些 NIST 指南,但想找与之略有差别的适用于特定工业环境的指南,就完全不是那么回事儿了。
这种状况促成了专注 OT 的组织的兴起,比如西门子的 Charter of Trust(信任宪章)和非盈利性基金会 MITRE Engenuity 的 Center for Threat-Informed Defense(威胁知情防御中心)。Howard 预期 2020 年将有更多专注于 OT 网络标准的组织出现。
在安全问题上,OT 领域比 IT 领域更难。毕竟,在 IT 领域,笔记本 A 与笔记本 B 和服务器 C 之间的差别并不是那么巨大,尤其是在操作系统整合的情况下。但 Rockwell PLC 和 Honeywell 制造系统之间就是天差地别了。
PAS Global 首席运营官 Mark Carrigan 观察到,ISA/IEC 62443 和《欧洲网络指令》之类针对 OT 的安全标准有所增长,NIST、NERC、SANS 和互联网安全中心这样的机构也推出了很多针对 OT 的框架。Carrigan在电子邮件中对媒体说道:
2020 年,随着这些框架和标准的逐步采纳,网络风险将会减小。但是,公司企业采纳和验证这些框架与标准需要消耗一些资源,会增加工业网络安全开支与复杂性。由于标准和框架的采纳相对不成熟,公司企业可能需要评估多个框架采纳情况,由此,进一步增加成本与复杂性。
5. 物联网安全:从设计阶段开始
没有哪个产品设计者会想创建毫无安全性可言的联网产品。除非他工作的公司难以协调上市时间、成本和客户体验。不过,Arm 物联网服务小组策略副总裁 Charlene Marini 认为,鉴于物联网安全所获得的关注度,情况正在不断改善。她在邮件中透露:物联网设备制造商和联网设备部署者会设置功能升级计划,确保物联网系统的安全。
这种思维的转变将意味着,设备制造商开始重视创建受信可连接可管理产品。新的物联网安全思维模式包括,在设计阶段嵌入生命周期管理功能、以安全和隐私原则为前提编写软件,以及为部署者提供可用设备更新。对于部署物联网设备的公司企业而言,这种思维的转变还涉及引入有经验的专家帮助管理大规模物联网网络。
Marini 的同事,Arm 物联网云服务高级副总裁兼总经理 Hima Mukkamala 认为,欧盟《通用数据保护条例》和美国《加州消费者隐私法案》这样的监管规定,将继续强调物联网设备中隐私与安全的重要性。
鉴于物联网设备数量的增长,以及政府监管规定的陆续出台,数据隐私与安全将成为物联网解决方案的最大推动力。对考虑在 2020 年部署物联网基础设施的公司企业而言,安全将是他们决策过程中的关键因素。
Mimecast 电子犯罪主管 Carl Wearn 持类似观点。他预期明年物联网相关网络风险将随糟糕的安全与勒索机会上升,并预测与此类联网设备的使用相关的立法将会增多。Wearn 表示,这种连接性和设备内置安全的普遍缺乏被严重忽视了太长时间,公众对其使用和潜在漏洞利用的意识正在增加。
6. AI炒作继续,但垂直AI方法兴起
网络安全领域中围绕人工智能的炒作开始降温。但别期望情况会有巨大改善。“AI” 这标签被拍到了几乎所有东西上,其中很多不过是决策树、算法或软件。当然,这并不是说AI没有
巨大的潜力。但真正的术语 “AI” 某种程度上成了没什么特指的潮词。
举个例子。之前在一个会议上,我跟其他很多网络安全主管聊起人工智能如何驱动行为改变的话题。会上众人纷纷开始给出他们如何使用AI最小化网络风险的例子。例子还真是挺多的。当听到第七个例子的时候,我举手说:‘没人描述人工智能用例。你们只是在描述过程工作流和软件。如果背后没有机器学习模型或神经网络功能之类的东西,那就仅仅只是软件。’
Augury 是一家专注运用工业物联网传感器监视机器健康状况的公司,其策略副总裁 Artem Kroupenev 对 AI 在网络安全领域的前景保持乐观。考虑到AI当前的成熟度,为特定用例精心设计的产品,会比采用通用方法制造的产品更加有效。
2020 年,我们将看到工业企业开始围绕特定垂直用例切实采纳 AI。这里的特定用例,我指的是工业物联网。
说到人工智能在网络安全中的使用,Cerrudo 解释称:如果你想提供更好的解决方案,你就必须收窄自己的焦点,着重投入研发。AI 使用持续增长,不断成熟,用得越有针对性,就会越精确。拓宽范围只会增加复杂性和降低效率。