《 IoT 物聯網安全趨勢 》面對萬物聯網所帶來的風險與效益 (上篇)

近來,似乎所有主要大廠都在密切關注物聯網(IoT ,Internet of Things)的議題。IoT 有時亦稱為萬物聯網 (Internet of Everything),只不過概念上或許有些微差異。隨著智慧型手機、平板和超輕薄筆電革命性改變了人們上網的方式、時機和地點,一些感應器及網路端點裝置製造商正試圖發展出一套更複雜的裝置生態體系來將這場革命帶向另一個高峰。

解讀 IoT:基本概念與技術
最近在舊金山舉行的 Cisco Live U.S. 2014 大會上,Cisco 副總裁 Mala Anand 表示 IoE 是「企業大規模轉型」的典範,並指出該公司預測 IoE 相關技術最終將創造出一個 19 兆美元的市場

IOE

然而,IoE 到底是什麼?儘管它或許和今日數十億 IP 連網裝置遍布全球的情況沒有太大差異,但望文生義,它通常意味著更大的規模以及裝置和人之間更密切的互動。IoE 涵蓋的一些核心領域包括:

  • 裝置對裝置:智慧型感應器、機器人與伺服器之間可彼此通訊,實現流程的簡化與自動化,如:庫存管理、即時監控基礎建設與工廠生產線。
  • 裝置對人:有時亦稱為「機器對機器對人」,此領域包括一些越來越熱門的裝置和服務,如醫療監控。Jawbone Up 和 Fitbit Flex 等穿戴式裝置已經將資料蒐集與 IP 連網功能拓展到 PC 和其他具備螢幕的裝置之外。讓我們來感受一下這件事的規模:去年 Jawbone 表示,他們每晚可蒐集到 60 年的睡眠資料。
  • 人對人:這聽起來有點怪,但這對許多入來說已稀鬆平常,那就是社群網路。全球網路規模的基礎架構與高效率演算法,是這類平台背後運作的基礎,但人與人之間的連結才是關鍵。

在一個較為技術的層次上,物聯網(IoT ,Internet of Things)涵蓋了各式各樣的連網裝置。可連上網際網路的牙刷和冰箱或許還在剛問市的階段,仍未成為大眾接受的主流,但 Nest Labs 之類的公司卻已引起不少關注。Google 今年稍早即以超過 3 兆美元的天價併購了這家智慧型可程式化恆溫控制系統與煙霧感應器製造商。

物聯網(IoT ,Internet of Things)的潛在效益無窮。某些產業提倡者 (如 Salesforce.com 的 JP Rangaswami) 指出,IoE 將為科技領域帶來的效應,就如同全面電氣化對於電力的影響一樣,它將成為日常生活當中無所不在、看不見卻隨時存在的重要元素。

《eWeek》引述 Rangaswami 的話表示:「[萬物聯網]的最終效益將是全面減少浪費:就實體物流來說為人員與商品的移動,在邏輯物流方面則是創意與資訊的移動。決策將變得更快、更好,擁有更準確的資訊為基礎。並且可更有效消除先前假設和規劃上的錯誤。」

萬物聯網存在著什麼風險?
物聯網(IoT ,Internet of Things)的商業效益同樣令人關注的是 IoE 衍生出來的網路安全與隱私權問題。一些以網際網路為命脈的知名廠商,從 eBay 到 Adobe,在保管使用者私人資訊方面已經捉襟見肘,因而導致一些大規模的資料外洩事件,進一步讓網路犯罪更加猖狂,因為駭客取得了入侵其他帳戶所需的資訊。未來一旦連網變得更加普及,情況將變得如何?

Pew Research 與 Elon University 的 Imagining the Internet Center 所做的研究報告「物聯網將在 2025 年蓬勃發展」(The Internet of Things Will Thrive by 2025) 一文,深入探討了IoE 全面普及的風險與潛在效益。在負面影響方面,作者預料 IoE 的演進,就像電腦運算能力的進步一樣,將帶來一場資訊安全廠商與網路犯罪者之間的軍備競賽。

毫無疑問,當大量的端點裝置具備 Wi-Fi、藍牙和/或行動電話網路功能時,將有助於改善某些情況,如:監控設備故障情形並將狀況回報給伺服器。但問題是,這些新增加的資料傳輸應該如何 (以及由誰負責) 保障安全。

負起 IoE 安全的責任
一般個人和企業之所以擔心誰該負起物聯網(IoT ,Internet of Things)的安全責任不是沒有原因的。正如Heartbleed心淌血漏洞告訴我們,即使是一些關鍵的技術,例如用來保障網路銀行交易及付款安全的加密技術,也可能出現漏洞,因此那些受益的眾多廠商應該投入更多的經費來支持其研發。有鑑於 IoE 的規模龐大,網路安全的重要性只會越來越高。

《The Inquirer》引述 Intel 企業行銷總長 Stuart Dommet 的話指出:「您將必須保護裝置或感應器,您將必須保護資料,而且您將必須在一個開放的網路上做好這些保護,這的確是一項超大規模的變革。取得個人資料很可能是未來最大的一項改變,而光這一點就能摧毀您的企業。很重要的一點是,我們必須了解資訊安全將變成什麼樣貌,因為我們沒有架設私人網路的成本。」

隨傳輸的資料類型而定,企業與資訊安全專家或許必須考慮採取鎖定或存取控管措施。在這方面,IoE 安全可能會參雜在許多傳統網路安全措施當中,只不過規模更勝以往。在善盡安全義務時必須注意更廣泛的裝置,並且認識更多可能成為資料外洩管道的潛在攻擊面。

這並非意味著消費者現在就必須開始擔心自己的烤麵包機或冷凍櫃未來是否可能遭到駭客入侵,但 IoE 本身確實有些值得探討的取捨。無時無刻、隨時隨地連上網路,意味著安全與隱私權必須成為優先的核心議題。我們將在本文的下篇當中詳細探討我們該如何管理萬物聯網。

更多中文報導,請看這裡

 

◎原文來源:

Dealing with the risks and rewards of the Internet of Everything, part 1

 

851 215 FB Cover promotion812

萬物聯網時代,企業必要掌握的資安四大面向

萬物聯網資訊安全中心  多層次的資訊安全中心控管
萬物聯網駭客攻防手法  深度分析APT攻擊,建立完整的防禦架構
萬物聯網雲端防護架構  私有雲 、公有雲、混合雲的資訊安全
萬物聯網行動安全機制  企業行動裝置安全策略

當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】