报告 2020-06-30 08:06

美国大西洋理事会:反向级联——加强全球物联网供应链的安全性

郭道平 摘自 美国大西洋理事会网站

2020年6月15日,美国大西洋理事会网站发布报告,题为《The reverse cascade: Enforcing security on the global IoT supply chain》,作者是纳撒尼尔·金(美国卫生与公共服务部科学与数据政策办公室总统事务管理研究员,乔治敦大学法学院即将到来的技术法律与政策学者)、特雷·赫尔博士(美国大西洋理事会斯考克罗夫特战略与安全中心“赛博治理倡议”主任)和布鲁斯·施耐尔(国际知名安全技术专家,被《经济学人》称为“安全大师”)。报告指出,现在即使是最平凡的家用物品,网络安全也成为一个相关问题——智能电水壶可以设置成爆炸物,而改造了的智能玩具可能会偷听私人谈话。问题在于许多物联网(IoT)设备是在国外制造的,其中许多产品成本极低,并且很少考虑安全性。

物联网是指物理世界和数字世界的日益融合。数以百计的“事物”正在互联网上相互连接,到2030年,预计将会连接超过500亿个设备。这些装置从互联网连接的发电设备到可穿戴的健康跟踪器和智能家用电器,以及通常为用户提供新功能、更大便利性或节省成本的某种组合。

与所有益处一样,物联网也带来严重的风险,其影响范围从个人消费者安全到国家安全。物联网使计算机能够直接影响物理世界:玩具、小型和大型电器、家用恒温器、医疗设备、汽车、交通信号灯和发电厂。它将传统的计算机风险转移给了这些装置。现在,即使是最平凡的家用物品,网络安全也成为一个重要的问题——智能电水壶可以设置为爆炸物,而遭到入侵的智能玩具可能会偷听私人谈话。黑客入侵恒温器会导致财产损失。黑客入侵发电机可能会导致停电。黑客入侵汽车、交通信号灯和医疗设备可能导致死亡。总体上接管物联网设备可用于分布式拒绝服务(DDoS)攻击,使关键的互联网资源和大流量的公司站点瘫痪。2020年4月,一家安全公司观察到一个僵尸网络,该僵尸网络使用SSH暴力技术针对物联网设备散发了一种名为“Kaiji”的Linux恶意软件。这样的例子表明,犯罪分子和各国政府试图利用不安全的物联网设备漏洞的尝试只会增加。这些不安全所导致的后果是正在出现的国家安全威胁,而这种威胁在没有采取实质性反击行动的情况下只会进一步加剧。

这些攻击是用计算技术连接所有事物、再将各种事物联接到互联网所带来的副产品。在许多物联网制造和设计中,由于安全实践状况不佳,使得这些攻击变得更加频繁且更具影响力。尽管物联网在整个生态系统中需要可靠的安全性,但构成该生态系统数十亿个节点的不安全设备却是重要问题所在。为了应对竞争压力以及缺乏明确的安全开发标准,许多供应商将不安全或配置不正确的产品推向市场。已经提出了各种政策和最佳实践,但它们都是自愿的且未能阻止不安全的物联网潮流。

问题在于,许多物联网设备是在国外制造的,其中许多产品的成本极低,并且很少考虑安全性。

物联网经济学偏向于低成本产品。与计算机和智能手机不同,在物联网产品的开发过程中,安全性没有获得优先考虑。它们通常是根据合同设计的,公司品牌在成品上。设计团队在设计过程中是临时组建的,它们不会在产品的整个生命周期中都在一起。

本报告建议向国内技术经销商施加监管压力,以推动在其整个供应链中采用安全标准。这种反向级联通过阻止不符合安全标准的产品在国内销售或分销,转而强制国外制造商执行安全标准。当这些供应链异常集中于单一或少数几家公司时,反向级联的有效性就会增强。这种方法解决了美国监管机构在外国管辖范围内影响力有限的问题,并且无需直接监视数百(甚至数千)个海外制造商。

本报告将

• 简要总结以往的物联网安全方法;

• 概述在全球化供应链上执行国内标准的挑战;

• 开发反向级联并将其应用于Wi-Fi家庭路由器;

• 为美国和欧盟提出具体建议。

(欢迎转载,转载请标明引自“航空工业信息网”)

阅读 收藏

相关专题: