10)这些设备也会产生大量的数据。DXC的技术项目主管基里安·麦考利(Kieran McCorry)说:“你不仅仅需要应对210亿部互联网设备,还要应对由它们生成的庞大数据。这些数据几乎是数量级的,而且远远超过了这些设备所产生的数量。这是一个巨大的数据处理问题。”
考虑到这些缺陷,企业可以通过遵守物联网安全最佳实践,这在某种程度上可以保护它们。但是,如果合规不是100%(这是不可能的),那么就不可避免地会发生攻击,导致行业对物联网失去信心。这就是安全标准势在必行的原因。
谁来制定安全标准?
各种政府机构已经对许多物联网设备进行了监管。举例来说,美国联邦航空管理局(FAA)监管无人机,美国国家公路交通安全管理局(NHTSA)监管无人驾驶车辆。美国国土安全部正积极参与基于物联网的智能城市计划,而FDA也在对物联网医疗设备进行监督。
但在目前,还没有任何政府机构负责监管智能工厂或智能家居领域使用的物联网设备。2015年,联邦贸易委员会(FTC)发布了一份关于物联网的报告,其中包括关于最佳实践的建议。在2017年初,FTC还向公众发布挑战赛,即创建“修复物联网设备中过时软件引发的安全漏洞的工具”,并为获胜者提供2.5万美元的奖金。
莫耶尔表示,虽然政府将对物联网的某些方面进行监管,但他认为只有行业才能创造出自己的标准。他设想了制定这种标准的两种途径:第一,买家推出标准,并拒绝购买不支持这个标准的产品;第二,一两个主要参与者利用其市场主导地位设定一个事实上的标准。莫耶尔说:“我不认为后一种情况会发生,目前还没有这样的主导参与者存在。”
这个行业现在有好几个标准,而不是一个或两个标准,而且似乎没有哪个标准正逐渐取得主导地位。这些标准包括基于供应商的标准,以及物联网安全基金会、IEEE、可Trusted Computing Group、物联网世界联盟以及工业互联网协会安全工作组提出的标准。所有这些机构都在研究打造安全物联网环境的标准、协议和最佳实践。
莫耶尔说,最终改变市场的将是买家,他们将开始要求标准。他解释称:“标准的制定有很多原因,有些是监管所需,但很多是因为买家认为这对他们很重要。”
由于缺乏标准,伍兹看到了几条改善物联网安全的途径:一个是商业模式的透明度。伍兹说:“如果你购买了1000辆汽车,你就可以进行‘空中更新’,而其他汽车则需要手动更新,那可能需要7个月的时间。这是不同的风险计算。”
另一种解决方案是要求制造商为他们的设备承担责任。伍兹表示,目前硬件设备的情况是这样的,但不清楚谁会为软件故障承担责任。
AI充当救星?
在这种情况下,一个未知因素是人工智能(AI)。支持者认为,机器学习可以发现一般的使用模式,并在出现异常时提醒系统。例如,Bitdefender查看来自所有端点的云服务器数据,并使用机器学习来识别异常或恶意行为。就像信用卡系统可能会将在国外炫耀1000美元的行为标注为可疑那样,机器学习系统可能会通过传感器或智能设备识别不同寻常的行为。由于物联网设备在功能上是有限的,所以发现这些异常是相对容易的。由于使用机器学习的安全性仍然是新的,这种方法的拥护者提倡使用包括人工干预的安全系统。
真正的解决办法:把一切都结合起来
虽然AI在保护物联网安全方面的作用可能比最初设想的要大,但综合物联网解决方案将包括所有这些东西,如政府监管、标准和AI。虽然这个行业有能力创造出这样的解决方案,但问题是它需要以非常快的速度完成。目前,在物联网安全与物联网普及的竞争中,后者正在胜出。