M2M和物聯(lián)網(wǎng):指南

物聯(lián)網(wǎng)將主要由相互通信的機(jī)器組成，與電腦相連的人類將對(duì)由此產(chǎn)生的“大數(shù)據(jù)”爆炸進(jìn)行觀察、分析和行動(dòng)。這就是下一場(chǎng)互聯(lián)網(wǎng)革命的形成過程。和操作系統(tǒng)的爭(zhēng)論一樣，雖然大多數(shù)專家認(rèn)為在使用特定于m2m的標(biāo)準(zhǔn)方面應(yīng)該發(fā)揮作用，但是它們的有效性還有待觀察。Ian Yip是NetIQ的身份、安全和業(yè)務(wù)經(jīng)理他表示，他確信，在認(rèn)識(shí)到安全正成為一個(gè)熱門問題后，許多業(yè)內(nèi)人士，尤其是學(xué)術(shù)領(lǐng)域的人士，正在努力制定可以用于管理M2M通信的標(biāo)準(zhǔn)。“有工作組，有各種各樣的協(xié)議，有一個(gè)輕量級(jí)的IPv6版本，你可以在M2M類型的通信中使用，但它不是完整的IPv6，”Yip說。

隨著人們對(duì)“物聯(lián)網(wǎng)”現(xiàn)象越來越感興趣——即幾乎所有東西都將連接到互聯(lián)網(wǎng)，并將提供數(shù)據(jù)或控制——企業(yè)對(duì)機(jī)器對(duì)機(jī)器(M2M)技術(shù)和通信的關(guān)注也在增長(zhǎng)。然而，與任何新興技術(shù)一樣，M2M也有許多企業(yè)必須應(yīng)對(duì)的安全問題。

為了強(qiáng)調(diào)未來的安全挑戰(zhàn)，ZDNet與來自O(shè)racle、NetIQ、Check Point Australia、Palo Alto Networks和Verizon Business的代表進(jìn)行了交談。盡管專家們對(duì)連接到互聯(lián)網(wǎng)的“東西”的確切數(shù)量存在分歧，但有一個(gè)事實(shí)是明確的:它將是巨大的。思科堅(jiān)信，到2020年，將有500億臺(tái)設(shè)備接入互聯(lián)網(wǎng)。Gartner指出，這個(gè)數(shù)字接近300億美元，但這并沒有阻止該公司將其列為2012年十大戰(zhàn)略技術(shù)趨勢(shì)之一。Verizon還將其列為2013年五大商業(yè)技術(shù)趨勢(shì)之一，并通過最近收購Hughes Telematics，押注亞太地區(qū)將成為領(lǐng)頭羊。然而，所有這些設(shè)備都需要某種形式的連接，從而導(dǎo)致企業(yè)需要考慮的重大安全問題。

在以下幾頁，我們看看:目前采用M2M的進(jìn)展情況，以及即將發(fā)布的標(biāo)準(zhǔn)是否解決了安全性問題;M2M將給企業(yè)帶來新的攻擊和挑戰(zhàn);這些安全壁壘可能會(huì)導(dǎo)致200萬兒童的入學(xué)率大幅下降。;M2M通信的基本原理并不是特別新，因?yàn)轭愃频募夹g(shù)已經(jīng)在電站、水務(wù)設(shè)施、建筑控制和管理系統(tǒng)等領(lǐng)域使用了幾十年，通常是更容易識(shí)別的監(jiān)視控制和數(shù)據(jù)采集(SCADA)系統(tǒng)。然而，根據(jù)來自Check Point的工程經(jīng)理Aviv Abramovich，這些系統(tǒng)通常是自定義的實(shí)現(xiàn)，通常運(yùn)行私有操作系統(tǒng)，沒有任何特定的標(biāo)準(zhǔn)可以遵循。

“如果你在網(wǎng)上或出版物中尋找這個(gè)領(lǐng)域的東西和討論，很多信息來自大學(xué)或研究小組。企業(yè)開始考慮這個(gè)問題，但前提是它們有商業(yè)理由這么做。”Yip說，這些標(biāo)準(zhǔn)現(xiàn)在更加關(guān)注安全，許多人希望在可能的時(shí)候把事情做對(duì)，而不是重復(fù)之前公用事業(yè)的錯(cuò)誤。“安全是討論的一部分，因?yàn)槊總€(gè)做過相關(guān)研究的人都受過足夠的教育，能夠理解不將安全構(gòu)建到M2M協(xié)議、M2M標(biāo)準(zhǔn)和M2M通信中的含義。我們?cè)诨ヂ?lián)網(wǎng)上犯了錯(cuò)誤，現(xiàn)在我們不得不改進(jìn)安全措施，而M2M會(huì)讓你暴露得更厲害。所以，值得慶幸的是，他們正努力提前解決這個(gè)問題?！?/p>

“從來沒有一個(gè)標(biāo)準(zhǔn)可以排除所有的安全顧慮?！彪m然金對(duì)從一開始就著手解決安全問題的倡議表示贊賞，但他也對(duì)這些標(biāo)準(zhǔn)的有效性表示懷疑，他說理論上可行的標(biāo)準(zhǔn)不一定實(shí)際可行?！皝碜詷?biāo)準(zhǔn)組織的兩件事之一——我在這里一點(diǎn)也不貶低標(biāo)準(zhǔn)的努力——但通常來說，它們要么太強(qiáng)大而難以采用，要么太弱而不完整。也就是說，它總是歸結(jié)于執(zhí)行。根據(jù)我的經(jīng)驗(yàn)，從來沒有一個(gè)標(biāo)準(zhǔn)可以排除所有的安全問題。

同樣，甲骨文公司戰(zhàn)略計(jì)劃、產(chǎn)業(yè)和副總裁Exalogic Michael Counsel說，就安全標(biāo)準(zhǔn)而言，現(xiàn)在挑選“贏家”還為時(shí)過早?！霸谖覀冋嬲紤]我們是否滿足了消費(fèi)者或使用它的客戶組織的風(fēng)險(xiǎn)要求之前，我們需要看到整體情況?！边€需要一段時(shí)間，才會(huì)有足夠的工具、足夠的標(biāo)準(zhǔn)化，讓你覆蓋所有的基礎(chǔ)，”律師說。

“我們正處在創(chuàng)意曲線上，人們希望利用這個(gè)機(jī)會(huì)?！薄八鼈?cè)谠O(shè)計(jì)時(shí)沒有考慮到安全性。設(shè)計(jì)者并不期望它們一定要連接到互聯(lián)網(wǎng)或公共接入網(wǎng)。他們可能更期待他們會(huì)在一個(gè)安全的網(wǎng)絡(luò)后面，他們對(duì)網(wǎng)絡(luò)的工作原理做了一些假設(shè)，”阿布拉莫維奇說。帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Network)全球產(chǎn)品營(yíng)銷主管克里斯?金(Chris King)也以醫(yī)療設(shè)備為例加入了討論。

“你看看CT掃描儀，核磁共振掃描儀，透析機(jī)，所有這些醫(yī)療設(shè)備:它們都在互聯(lián)網(wǎng)上。他們談?wù)揑P，他們有大量易受攻擊的操作系統(tǒng)。他們運(yùn)行的是嵌入式Windows系統(tǒng)?！逼婀值氖?，雖然King認(rèn)為像Windows這樣的現(xiàn)成操作系統(tǒng)會(huì)使設(shè)備更容易受到攻擊，但Abramovich認(rèn)為情況恰恰相反，因?yàn)橛懈嗟墓?yīng)商提供支持，而且比那些曾經(jīng)編寫過但很久以前就被遺忘的系統(tǒng)有更頻繁的補(bǔ)丁。阿布拉莫維奇說:“在智能電表、自動(dòng)取款機(jī)和SCADA系統(tǒng)的幫助下，補(bǔ)丁和更新的速度往往比你的家庭電腦要慢，因?yàn)榧彝ル娔X每周或每月都會(huì)進(jìn)行一次正常的更新?！?/p>

M2M和大數(shù)據(jù)如何結(jié)合起來產(chǎn)生日常效益

福特(Ford)的邁克爾?卡瓦雷塔(Michael Cavaretta)解釋了機(jī)器對(duì)機(jī)器通信和物聯(lián)網(wǎng)將如何與大數(shù)據(jù)結(jié)合起來，為企業(yè)帶來一些巨大的好處。

對(duì)他來說，整個(gè)圖景包括那些發(fā)明者和有遠(yuǎn)見的工程師，他們正在為技術(shù)想出新的用途，以便判斷這些標(biāo)準(zhǔn)中真正需要的安全是什么?！拔覀冋幵趧?chuàng)意曲線上，人們希望利用這個(gè)機(jī)會(huì)，而那些客戶和偉大的發(fā)明家將尋找利用它的方法。”他們將著眼于解決他們的問題，而事實(shí)上任何潛在的標(biāo)準(zhǔn)實(shí)際上仍然會(huì)落后于他們實(shí)驗(yàn)室目前正在進(jìn)行的創(chuàng)造過程?！?/p>

根據(jù)Yip的說法，完全有可能的是，如果有一家足夠強(qiáng)大的公司站出來，盡管研究小組做了這些工作，但標(biāo)準(zhǔn)和安全可能會(huì)完全被規(guī)避?！拔蚁氲搅艘粋€(gè)很大的水果形狀。如果他們?cè)敢獾脑?，他們有可能這么做，他們有足夠的資金來這么做，但是這樣做有過快的風(fēng)險(xiǎn)，特別是當(dāng)標(biāo)準(zhǔn)還沒有完全確定，安全機(jī)制還沒有完全制定出來的時(shí)候。”“它要么需要一個(gè)行業(yè)標(biāo)準(zhǔn)來達(dá)成一致，要么需要一個(gè)非常強(qiáng)大的供應(yīng)商來讓事情運(yùn)轉(zhuǎn)起來，這樣每個(gè)人都會(huì)說，‘好吧，那是可行的，所以我要把它用在純粹的易用性上?！彼赡苁峭耆珜Ｓ械?，但不幸的是，我們真正關(guān)心的是這些東西是否能正常工作，是否安全。”

隨著新設(shè)備和技術(shù)的引入，企業(yè)將經(jīng)歷的攻擊類型也將改變。企業(yè)將不得不面對(duì)的新挑戰(zhàn)之一是，有必要加大對(duì)設(shè)備(如遠(yuǎn)程設(shè)備)的物理攻擊的關(guān)注?！叭绻疽呀?jīng)把安全排除在外，我真的會(huì)質(zhì)疑這些組織的成熟度?！甭蓭煴硎?，企業(yè)將不得不考慮實(shí)體安全，以防止未經(jīng)授權(quán)的設(shè)備進(jìn)入該領(lǐng)域，但如果實(shí)體措施也失敗了，訪問方面的考慮仍然需要加以考慮。他說:“你不想讓那臺(tái)機(jī)器受到危害，讓一大堆虛假信息進(jìn)來?！彼麖?qiáng)調(diào)，這些考慮需要提前考慮，而不是在安全受到危害之后。“我所見過的每一個(gè)架構(gòu)，安全性都必須預(yù)先設(shè)計(jì)并加以考慮。如果企業(yè)已經(jīng)將安全排除在外，我真的會(huì)質(zhì)疑這些組織的成熟度，以及它們是否準(zhǔn)備好迎接M2M的故事。

“這是一個(gè)完全的風(fēng)險(xiǎn)視角。它將是處理辦公室事務(wù)的遠(yuǎn)程位置管理公司。我可以看到認(rèn)證、GPS技術(shù)和M2M的融合。下一個(gè)進(jìn)化?！眰鹘y(tǒng)的破壞性攻擊如拒絕服務(wù)(DoS)可能會(huì)產(chǎn)生新的后果，Yip說。許多基于現(xiàn)場(chǎng)的設(shè)備將由電池供電。“當(dāng)權(quán)力處于溢價(jià)狀態(tài)時(shí)，情況甚至?xí)悖驗(yàn)橛行〇|西需要對(duì)一個(gè)請(qǐng)求做出響應(yīng)，不管這個(gè)請(qǐng)求是否合法，(而這)需要權(quán)力?！?/p>

M2M能做的5件你以前不知道的事

從在奶牛場(chǎng)里擠奶的好處，到讓緊身衣上的燈光與音樂同步，機(jī)器對(duì)機(jī)器(M2M)通信在幕后的作用一直在增長(zhǎng)。其他的進(jìn)入壁壘將較少技術(shù)性，更多的是關(guān)于M2M技術(shù)的應(yīng)用。根據(jù)Yip的說法，一些行業(yè)采用M2M技術(shù)的速度會(huì)比其他行業(yè)慢。他表示，首先使用這類技術(shù)的仍將是公用事業(yè)企業(yè)，而白色家電制造商可能會(huì)緊隨其后。但他強(qiáng)調(diào)，任何進(jìn)入這一市場(chǎng)的供應(yīng)商都需要有很強(qiáng)的商業(yè)理由?！叭绻憧梢詼y(cè)量一個(gè)業(yè)務(wù)案例或業(yè)務(wù)儲(chǔ)蓄在把這些東西,那就是管理將注冊(cè)并說,“當(dāng)然,”但是,如果只是為了我們,作為消費(fèi)者,有一個(gè)更簡(jiǎn)單的方法來檢查,那么它可能很難基金”。

另一個(gè)可能使M2M陷入停頓的安全問題是，在推出M2M設(shè)備時(shí)，缺乏熟練、有經(jīng)驗(yàn)的實(shí)現(xiàn)者。金說，因?yàn)閷?duì)某些企業(yè)來說，這是一個(gè)相對(duì)較新的領(lǐng)域，所以那些目前正在做這件事的企業(yè)還沒有從公用事業(yè)領(lǐng)域SCADA系統(tǒng)的失敗中吸取重要的教訓(xùn)。他說:“如果你允許這樣類比的話，他們并不是在網(wǎng)絡(luò)安全領(lǐng)域留下傷疤的人。”顧問同意了。“真正重要的是讓那些曾經(jīng)經(jīng)歷過，看到過問題，(并)體驗(yàn)過自己背上的傷疤的人。如果你找一個(gè)在這方面沒有經(jīng)驗(yàn)的人，一個(gè)沒有在這方面的背景的公司工作過的人，我認(rèn)為你會(huì)遇到同樣的問題，重復(fù)同樣的問題?！睆年P(guān)注相關(guān)領(lǐng)域的組織獲得建議可能是成功的關(guān)鍵。

從房子到島嶼:M2M如何減少電力使用

家庭自動(dòng)化工具與智能電網(wǎng)相結(jié)合，為公用事業(yè)、企業(yè)和消費(fèi)者提供了一系列強(qiáng)有力的技術(shù)，幫助他們減少電力消耗。英國懷特島(Isle of Wight)的一個(gè)例子展示了可以實(shí)現(xiàn)的目標(biāo)。Yip說，DoS攻擊可以被設(shè)計(jì)成增加處理器的使用，從而提前耗盡設(shè)備的電池，并確保它保持離線或失去聯(lián)系。在此之前，攻擊者需要繼續(xù)攻擊，限制可以同時(shí)迫使離線的目標(biāo)數(shù)量，或者找到可能導(dǎo)致特定服務(wù)崩潰的漏洞。但當(dāng)設(shè)備電量耗盡時(shí)，攻擊者不需要做任何特別的技術(shù)工作，就可以獲得迫使設(shè)備上的所有服務(wù)離線的額外好處。

加密信息也往往是一項(xiàng)處理器密集型任務(wù)，這意味著設(shè)備可能需要有選擇性地選擇加密內(nèi)容，而不是像web那樣傾向于完全端到端加密?！澳惚仨毐M量減少電力消耗，這也意味著你不能在加密上浪費(fèi)太多電力。這實(shí)際上是主要的挑戰(zhàn)之一。如果你的處理器和電池一直在進(jìn)行所有這些加密活動(dòng)，很快你的設(shè)備將沒有能力做任何事情，”他說?！俺羌{米技術(shù)和電池制造業(yè)按照摩爾定律增長(zhǎng)，否則這將是一個(gè)巨大的問題?！?/p>

律師強(qiáng)調(diào)，“自帶設(shè)備”(BYOD)和資產(chǎn)管理領(lǐng)域存在的問題——遠(yuǎn)程清除丟失或被盜的硬件——也會(huì)在M2M設(shè)備受到物理危害時(shí)繼續(xù)存在。這可能會(huì)導(dǎo)致某些企業(yè)采用“不可能完成的任務(wù)”策略，即設(shè)備完成任務(wù)后，可能需要銷毀其包含的數(shù)據(jù)。“除非納米技術(shù)和電池制造業(yè)按照摩爾定律增長(zhǎng)，否則這將是一個(gè)巨大的問題?！薄澳悴幌胱屓魏螏в猩矸葑R(shí)別的設(shè)備到處亂放，所以你需要在這些協(xié)議中內(nèi)置有效的處理或自我處理過程?！币坏┧鼈?cè)谝欢螘r(shí)間內(nèi)關(guān)閉或通電，實(shí)際上它們需要遠(yuǎn)程有效地保障自身的安全?！边@可能包括M2M設(shè)備，它們使用傳感器作為判斷何時(shí)被盜的一種方法，假設(shè)虛假數(shù)據(jù)沒有反饋給所有者。

“可能是設(shè)備一開始就說，‘我知道我被配置成在位置上非常北、東部和高度。它被鎖在和配置,當(dāng)它第一次啟動(dòng)或改變位置,它發(fā)送一個(gè)警報(bào)通過相同的機(jī)制如果身體變化位置,除非它被配置為,它實(shí)際上廣播GPS定位,加上M2M診斷過程,”律師說。預(yù)計(jì)2020年將有300億到500億臺(tái)設(shè)備，其中很大一部分問題將是對(duì)每個(gè)終端的管理，以及隨之而來的復(fù)雜性?！靶枰碌纳虡I(yè)模式，新的管理方式?！盫erizon負(fù)責(zé)亞太地區(qū)戰(zhàn)略和發(fā)展的副總裁Robert Le Busque指出，無論什么東西連接到網(wǎng)絡(luò)，政策仍然是至關(guān)重要的。

“如果它有一個(gè)IP地址，不管它是固定的、移動(dòng)的還是設(shè)備的，它都需要一個(gè)安全協(xié)議，這個(gè)安全策略應(yīng)該與企業(yè)的完全成熟的策略一致，”Le Busque說。他還指出，降低管理大量設(shè)備的復(fù)雜性是該行業(yè)需要解決的一個(gè)問題?！白鳛橐粋€(gè)企業(yè)，或者作為一個(gè)尋求利用M2M的組織，你如何適當(dāng)?shù)財(cái)U(kuò)大規(guī)模，以便能夠管理好M2M ?”在這種管理下，不僅僅是安全;而是如何管理生命周期，以及如何管理診斷?！拔覀冃枰碌纳虡I(yè)模式，全新的管理方式。最終，我們要努力讓協(xié)議和技術(shù)變得更簡(jiǎn)單、更可重復(fù)?！?/p>

然而，金有不同的看法，他在保護(hù)每一個(gè)設(shè)備的戰(zhàn)斗中做出了讓步。他說，雖然保護(hù)終端的方法在桌面時(shí)代可能行得通，但要對(duì)數(shù)百萬臺(tái)可能需要管理的設(shè)備做到這一點(diǎn)幾乎是不可能的?！霸谶^去，你可以做基于設(shè)備的安全，因?yàn)樗羞@些設(shè)備都是一樣的。移動(dòng)設(shè)備上有iOS，安卓，微軟。你可以在臺(tái)式機(jī)或筆記本電腦上安裝蘋果(Apple)、Linux、微軟(Microsoft)。這種設(shè)備的大量使用凸顯了這樣一個(gè)事實(shí):如果你是一個(gè)企業(yè)實(shí)體，在設(shè)備上做這些事情是極其困難的。”

King說，這些設(shè)備的一個(gè)共同點(diǎn)是它們所處的網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)將成為阻止M2M廣泛使用的瓶頸，除非它被用作實(shí)現(xiàn)安全性的地方?！霸谖锫?lián)網(wǎng)中實(shí)施安全的地方是在互聯(lián)網(wǎng)上，而不是在物聯(lián)網(wǎng)上。這可能是你唯一能控制的事情?！比欢?，網(wǎng)絡(luò)仍然被描述為安全弱點(diǎn)，阿布拉莫維奇指出，從IPv4網(wǎng)絡(luò)到IPv6的緩慢過渡可能會(huì)損害M2M的接收。

隨著IPv4地址接近用盡，網(wǎng)絡(luò)將沒有足夠的地址分配給爆炸的設(shè)備，除非它們過渡到IPv6。阿布拉莫維奇說，在某些情況下，這種限制可以通過使用私有IPv4地址空間來繞過，但是在試圖將私有網(wǎng)絡(luò)連接到internet的其余部分并隨后路由流量時(shí)，會(huì)產(chǎn)生更復(fù)雜的問題。

阿布拉莫維奇還表示，與IPv4相比，IPv6的使用有限，這意味著它可能有更多尚未被發(fā)現(xiàn)的漏洞，而IPv4對(duì)抗黑客的時(shí)間要長(zhǎng)得多?！霸谖锫?lián)網(wǎng)中實(shí)施安全的地方是在互聯(lián)網(wǎng)上，而不是在物聯(lián)網(wǎng)上?！薄爱?dāng)IPv6第一次被引入時(shí)，我們已經(jīng)看到了一些案例，其中的漏洞和問題已經(jīng)消失很久了，從基于ipv4的網(wǎng)絡(luò)中消失了，在IPv6中重新引入。大多數(shù)現(xiàn)代設(shè)備[和]現(xiàn)代操作系統(tǒng)中的IPv4 IP堆棧相當(dāng)強(qiáng)大。隨著時(shí)間的推移，IPv6仍然有很多漏洞，黑客們會(huì)發(fā)現(xiàn)，一旦他們開始研究IPv6，他們可能會(huì)發(fā)現(xiàn)更多潛在的問題?！卑⒉祭S奇說。

Yip還強(qiáng)調(diào)，試圖保護(hù)每個(gè)端點(diǎn)的問題是，隨著證書的更新或撤銷，證書管理將成為一個(gè)嚴(yán)重的問題?！鞍踩ぷ鞯暮诵牟糠?，特別是保密工作，以確保安全通信……這些都是基于加密證書之類的東西。當(dāng)涉及到這么多設(shè)備時(shí)，證書的管理將成為一個(gè)問題，因?yàn)樽C書到期后，你必須恢復(fù)或刷新它們，而且你必須重新建立各種信任關(guān)系，”Yip說?！斑@是什么新東西。任何試圖在(公鑰基礎(chǔ)設(shè)施)類型的環(huán)境中管理證書的人都知道問題是什么，但如果我們討論的是M2M，那么這些問題不會(huì)很快消失。”