SA 论坛 是来自科学技术领域专家的特邀评论文章。
“我们生活在一个互联互通的世界”是一句老生常谈的格言。即便如此,很少有人意识到这种互联互通的真正程度。网络巨头思科系统公司估计,到 2015 年,将有多达 150 亿台设备连接到互联网——是世界人口的两倍多。一项预测表明,此类设备的数量将
到 2050 年达到 500 亿,而且这几乎肯定是被低估了。这些机器中的许多将在没有我们干预的情况下,甚至常常在我们不知情的情况下相互交互。当这种情况发生时,万物互联的时代将真正到来。
支持科学新闻事业
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事能够延续下去。
但是,万物互联面临着重大的安全挑战。它将由数十亿个设备组成,这些设备被编程为自主和异步地处理多种功能。任何节点都可能成为整个系统的攻击向量。在这种动态的、分布式的系统中定位和控制漏洞可能几乎是不可能的。这一点很重要,因为对万物互联的攻击不仅仅会破坏数据,还会扰乱物理世界。
万物互联已被描述为从 “能人” 到 “智人” 的转变——从机器仅响应人类命令的世界,转变为机器在复杂算法和自适应行为的支持下,
充当个人智能代理的世界。通过执行从优化交通管理到监测老年人健康,再到细致入微的能源使用控制等各种任务,万物互联应该使世界更智能,我们的生活更轻松。它也将使黑客更容易造成现实世界的损害。
我们已经看到过这种攻击发生。第一次发生在 2010 年,当时 Stuxnet 病毒攻击了控制伊朗核计划中使用的离心机的系统,导致它们失控地高速旋转,最终损毁。Stuxnet 可能是美国和以色列联合策划的行动,但很快就产生了强烈反弹。2012 年 8 月,对沙特阿美石油公司的攻击摧毁或破坏了约 30,000 台计算机和 2,000 台服务器,该公司供应全球约十分之一的石油。这次攻击几乎肯定起源于伊朗,目的是阻止阿美石油公司的石油生产。尽管黑客未能成功,但前中央情报局局长莱昂·帕内塔将这次袭击描述为“可能是私营部门迄今为止看到的最具破坏性的袭击”。
万物互联呈指数级地增加了物理破坏性网络攻击的可能性。2010 年一篇关于无线轮胎压力监测系统的安全和隐私的论文表明,黑客可以轻松拦截和解码系统的传感器消息,触发虚假警报或欺骗性警告,从而可能对驾驶员造成伤害。国防高级研究计划局 (DARPA) 资助的最新研究表明,几乎所有当今汽车的计算机化系统(包括转向系统、加速器和制动器)都非常容易被劫持。另一位研究人员发现,由于软件缺陷,用于操作医院处方电子药柜的系统也很容易被黑客入侵。通过新的和新颖的向量远程入侵智能物体的可能性也存在。例如,
桑迪亚国家实验室正在开发 “雷达响应” 标签,大小与零售业中使用的粘贴式 RFID 标签差不多。这些标签保持休眠状态,直到被远至 19 公里外的雷达脉冲唤醒,然后指示其位置。滥用的可能性不难想象。
安全研究人员也对快速转向数字化制造感到担忧。2013 年 5 月,奥巴马政府承诺投入 2 亿美元,用于一项旨在加速先进制造业发展的计划——这意味着更多的机器、设备、传感器和各种智能节点相互连接,并连接到互联网。这些系统中的每一个都将像其最薄弱的环节一样脆弱。不难想象,通过薄弱环节插入的病毒可能会重新编程生产线,以生产设计用于失效的组件,从而在航空航天、医疗保健、汽车和建筑等不同行业中造成潜在的灾难性后果。
迄今为止,即使万物互联正在迅速加速部署,但人们对如何确保其安全几乎没有关注。许多已经部署在现场的设备、传感器和其他节点的安全性就像一张湿纸一样脆弱。为了使万物互联具有可接受的抗黑客能力,制造商必须采用一套原则,其中包括“设计安全”——从一开始就将软件设计为安全的系统。他们必须确保连接到万物互联的任何设备都能够实时适应新出现的威胁。迫切需要为智能物体开发真正的全球安全和信任框架——万物互联没有国界。正如个人身份验证对于我们在网络上进行的许多事情(例如银行和购物)至关重要一样,构成万物互联的智能物体也必须有一种万无一失的方式来以数字方式交换关于其身份的已验证声明。
在制造业中,确保供应链安全的唯一真正方法是从端到端监控它——在一个组件来源多样化且全球化的世界中,这是一项西西弗斯式的任务。对发达世界制造工厂的第一次重大攻击可能会导致许多公司重新考虑其外包策略。
3D 打印的兴起 可能有助于这些公司将组件制造带回“内部”,从而降低供应链的脆弱性。
公司还需要更多地关注遏制。尽管大多数公司都建立了安全边界,但任何突破该边界的对手都可以自由漫游。随着机器和设备变得更加互联,公司必须确保任何渗透到网络一部分的攻击者都无法漫游。这意味着验证机器和人员的身份,并隔离系统,以使软目标不会允许访问高价值资产。
这些安全措施都无法阻止坚定的攻击者。但是,鉴于万物互联具有改变我们生活的巨大潜力,从一开始就融入安全性是唯一现实的前进方向。