物联网哪个市场有可能诞生新一轮BAT?
- 来源:物联网智库 作者:彭昭
- 2017/9/14 13:38:1440143
光“大”不足以成为BAT,想要成为BAT必须身处战略要道。除了时下火热的人工智能、共享经济、XaaS,还有一个老生常谈、又常谈常新的领域,在不知不觉中已经发生了质变,它就是正在从“科技”走向“文化”的物联网安全。
一如19世纪末,被经典物理体系认为是“大厦已经建成,只剩修修补补”的两朵乌云,终推开了量子力学的全新大门。如今,在大多数公司熟视无睹或束手无策、在巨头们视之为配角、处于但内涵已经被重新定义的物联网安全领域,正在酝酿着新生的BAT。
永远不要觉得物联网安全事件离你很远,如果你自认为有足够的能力和免疫力应对各种安全漏洞,呵呵,“万物病毒”算是找对人了。
物联网安全已经远远超出了互联网安全的范畴,重要的事情说三遍,物联网安全不是凉菜,不是咸菜,不是配菜,它是主菜中的硬菜。
人工智能掀起第三次世界大战?先过了物联网安全这关再说
脑部神经元树突跌宕起伏(“说人话!”“哦,脑洞大开”)的特斯拉CEO马斯克一直致力于揭穿AI崛起的“阴谋”,本周再放绝句:人工智能可能引发第三次世界大战。马斯克的这个警告与俄罗斯总统普京在上个周五发表的人工智能观点遥相呼应。普京说,谁能成为人工智能领域的,世界格局就可能被谁重塑。
马斯克认为目前各国对人工智能统治权的争夺可能引发第三次世界大战,而人工智能时代的战争并不是由某国领导人发起的,一切都将实现自动化。人工智能会自动规划战略,自动部署战术,找出获胜几率高的战法。
说话之时,也许马斯克忘了,早在2014年,特斯拉电动汽车被攻破之后,已经屡屡用亲身实践证明,黑客可以远程控制汽车,轻而易举的完成开锁、鸣笛等操作。
现实情况是,比“万物互联”更先到来的是“万物皆危”,如果说,担心第三次世界大战“人工智能”上场是杞人忧天,那么密集的物联网漏洞和活生生的病毒却已日渐白炽化了。
近由丹麦技术大学、厄勒布鲁大学、俄罗斯因诺波利斯大学等机构联合完成的研究“The Internet of Hackable Things”(本宫译作“万物互危”),量化了物联网设备的风险:
各国政府都已经意识到了物联网安全是致命短板,纷纷出台相关的法案。本周一,美国国会通过了一项法案,目的是要求向美国政府出售的物联网设备必须满足某些安全标准。在此之前,美国国土安全部(DHS)已经发布了《物联网安全指导原则》。欧盟委员会也正在起草新的网络安全标准,主要针对物联网设备划分网络安全等级。
在接受采访时,美国政府官员忧心忡忡的说:“或许在未来的几年里很快就会诞生大约200亿的物联网设备,联邦政府使用了其中的数百万套。更要命的是几乎所有设备都采用硬密码而且无法在线升级,很显然我们会遇到巨大的麻烦。”
物联网安全已经上升到了国家战略的高度,可见“万物皆危”的杀伤力和攻击力有多恐怖。
无疑,物联网正在驱动新一轮的行业变革,但是在很多行业中,安全需求不同,各行业安全方案既不全面也不成熟,在安全风险评估及应对方面并没有明确的思路,换言之,当下物联网公司的安全现状就是一盘散沙,孱弱地不堪一击。
从当前标准和联盟组织的进展来看,物联网安全尚处于起步阶段,以指南和框架为主,能够用于指导产业落地的具体技术标准非常缺乏。整个产业急需标准和联盟组织加大相关安全标准的投入,以加快安全标准的输出,促使物联网产业的健康、快速发展。
互联网安全一心“谋财”,物联网安全直接“害命”
物联网与互联网的本质区别在于,物联网是一个自我运转的生态系统,物联网中的“物物”更逼近生物属性。创造物联网安全市场的“工匠”只有一个:人性的恶。人性中的“恶”有多大,物联网安全市场的规模就有多大。虽然IDC、Gartner、麦肯锡、CB Insights等机构纷纷发布物联网安全市场规模的研究报告,但是参考意义不大,因为人性中的恶已经超出了科学所能统计和预测的范畴,物联网安全除了技术,还有艺术和文化。
物联网安全和互联网安全绝非一个量级,完全没有可比性。Mirai、Hajime、BrickerBot、WannaCry、“永恒之蓝”等病毒动不动就在几十分钟攻克数以万计的设备,这样的报道估计你已经听腻了,这里再来两个奇葩的给你换换口味。
一名黑客近通过鱼缸入侵了一家赌场。这个倒霉的赌场刚好用智能鱼缸养鱼,因为它可以自动配置水温和清洁度。黑客通过入侵鱼缸的传感器,进而控制了计算机,然后进行扫描,发现漏洞后进入了赌场网络中的其它部分。该黑客成功的在被发现并制止之前,利用鱼缸把赌场10GB数据传回位于芬兰的一台设备上。
OfO小黄车的新款智能锁被两个黑客轻松破解。原来这种锁一般人拆解不了,因为芯片特别小,黑客们用特殊工具把里面的关键芯片取了出来,花了一个星期进行“反向设计”。他们分析出了加密方式,可以在用户关锁时,在锁和云端的通讯过程中,成功劫取通讯信号。他们还可以做到将获得密码的机制修改成“不认识”云端发送的正确密码,但其他任意密码都可打开车锁。这意味着,“遵纪守法”的用户开不了锁,其他别有用心的用户反倒分分钟开锁。
除了消费产品领域,医院、加油站、工厂、市政设施等联网设备,更是物联网安全的重灾区。设备遭受攻击的风险越来越高,工业物联网领域也难以幸免。
如你所见,工业物联网领域并不是,安全漏洞更是数不胜数。截至2016年12月,据国家信息安全漏洞共享平台(CNVD)、美国CVE、ICS-CERT、NVD等机构发布的漏洞数据,与工业控制系统相关的漏洞达到984个。
工业物联网相关漏洞涉及到的厂商分布广泛,国内有三维天地、南京舜唐、腾控、北京杰控、三维力控等,国外有西门子、霍尼韦尔、施耐德等。在各厂商漏洞中,影响程度严重的高危漏洞占比较高。这些高危漏洞可导致设备拒绝服务、远程代码执行等,一旦被利用可直接导致工控设备非正常停机,进而引发生产事故。
就具体应用领域而言,安防监控是工业互联网的典型应用之一。据CVE、CNVD和CNNVD等漏洞库的数据统计,他们在超过33个厂商的网络摄像头和DVR设备中累计发现了大约61个安防监控设备漏洞。安防监控设备的漏洞主要集中于海康威视、大华、宇视、TP-Link、D-link、Airlive、Cisco等厂商。
安防监控设备的漏洞的类型多样,漏洞类型主要集中在弱口令、信息泄露漏洞、权限许可和访问控制、跨站请求伪造漏洞等。其中弱口令占所有漏洞中的34.40%,占比高,而弱口令漏洞也是以Mirai为代表的物联网蠕虫可以大范围感染物联网设备的主因。
物联网安全是一个复杂度极高的领域,除了针对电脑和手机的攻击之外,各种具备“智商”的设备都变成了病毒肆虐的对象,而且这些物体对个人生活和企业运营的影响为直接。不受控制的水管、毫无响应的发电厂、横冲直撞的汽车、骤起骤停的心脏智能起搏器…不管你承认与否,不管你是物联网从业者还是普通消费者,还是做好这辈子至少会遇到一次物联网安全事件的心理准备。