9月28日,加州州長簽署了加州SB327法令,這是美國第一部授權物聯網(IoT)裝置製造安全條款的法律(有一部類似的、但範圍更廣的聯邦法案叫做《物聯網2017年網路安全改進法案》),由國土安全和政府事務委員會負責,我沒有看到該委員會最近有什麼動向。新的加州法律規定,連線裝置必須具有合理的安全特性。這意味著物聯網裝置製造商可能需要開始提供唯一的預程式設計裝置密碼(而不是預設密碼),或者在首次授予裝置訪問許可權之前增加強制使用者進行身份驗證的功能。加州現有的法律已經迫使企業實施和維持與收集資料的性質相適應的合理的網路安全程式,但新的法律專門適用於事務。我看到新法律的批評者指出,這些要求含糊不清,忽視了加密,也沒有解決助長這一問題的潛在不良做法。但幾乎每個人都認同現在存在的問題。安全狀況不佳的物聯網裝置的使用助長了Mirai殭屍網路(Botnet 是指採用一種或多種傳播手段,將大量主機感染bot程式病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網路)。在2016年破壞性的網路攻擊,造成了無數其他網路安全的噩夢。在過去的幾周裡,據報道一個新的Hakai物聯網殭屍網路正在發展成為一種迫在眉睫的威脅,甚至產生了兩個不同的基於Hakai的變種,這些惡意軟體正在網上傳播。這些小程式主要由被劫持的物聯網裝置提供動力。加州這部將於2020年生效的法律是否會對遏制這一問題產生任何影響仍有待觀察,但它表明,資訊保安部門以外的人現在也在關注事務的安全,以及生活在智慧和互聯世界中的影響。雖然像Mirai這樣的殭屍網路很大程度上是由被徵用的消費者物聯網裝置驅動的,並被用於拒絕服務(DoS)網路攻擊,但工業物聯網(IIoT)網路威脅背後的動機可能對企業的利潤構成更大的威脅。我看到了IIoT支援的製造業的特殊弱點,例如,Industry4.0鼓勵了供應鏈中資訊科技系統、裝置和雲資源的大規模整合。而現在,運營能力和智慧財產權都受到威脅。最近的Vectra《2018年工業專題報告》指出,工業遭受了大量的惡意內部網路活動、橫向移動和偵察活動(儘管他們是一家網路安全公司);Deloitte在最近的一篇文章中也談到了這些漏洞。這表明攻擊者已經滲透到這些網路中,正在窺探關鍵資產或試圖破壞基礎設施。攻擊者可以利用持有者不小心部署下的不安全的IIoT裝置和薄弱(或不存在)內部網路控制,輕鬆進入這些網路。廣泛執行更好的裝置安全最佳做法的法律可能是解決這一問題的一種辦法,但援助也可能來自更具創新性的方面。區塊鏈技術作為一個分散式資料庫,以加密和不變的方式記錄在系統中移動的每一個資料塊,它可能為我們連線的裝置指明一個更安全的未來。很難被欺騙。從理論上講,它的對等結構、去中心化結構和對共識的依賴使其更難破解。根據我的觀察,基本上沒有中央控制可以進入,也沒有驗證者來愚弄。例如,攻擊者可能會以數字方式強行進入一家公司的一個安全性較差的IIoT路由器。但是,試圖使用該入口點操作或與網路中的其他節點進行互動的嘗試可能會在區塊鏈模型中受到阻礙。在這種情況下,被攻擊路由器的雜湊活動記錄將不再與網路中的其他活動相匹配,並且無法實現一致驗證。目前正在進行許多規模較小的初步研究,包括對物聯網安全問題進行一次2018年的審查(需要註冊),以及對智慧家居的區塊鏈安全進行2017年的案例研究(需要註冊),並且已經成立了聯盟,試圖將區塊鏈安全應用於物聯網和IIoT網路。但可行性分析的狀況不太樂觀。希望進一步深入研究環境的科技領袖和創新者最好能探索Hyperledger或以太坊社羣,以瞭解新出現的能力和概念證明。區塊鏈仍然是一項相對較年輕的技術,目前它在規模和速度上面臨著限制,這在現代IIoT的部署中是必不可少的,但它的模式顯示出了希望。我相信,無論是誰發現瞭解決這些限制的辦法,都會賺到一大筆錢,並得到一百萬IT經理的感激。而遵循類似邏輯的解決方案值得我們考慮。從傳統的客戶端-伺服器模式轉向新興技術的想法可能是未來的唯一選擇。同時,我認為減輕安全問題的最好方法是實際實施網路安全(就像美國計算機應急準備計劃所概述的那樣),定期進行審計、管理和監控訪問、利用分層防禦等等。實際上,我們中很少有人這樣做,攻擊者也知道這一點。有一件事是肯定的:我們現在做事情的方式太冒險了。無論立法者在裝置安全方面做了什麼或不做什麼,物聯網工業都必須加強應對這一威脅。
更多區塊鏈資訊:www.qukuaiwang.com.cn/news