点击联系发帖人当下,除叻人工智能、共享经济、XaaS还有哪个市场将会有可能成为新一轮的BAT呢?我的价值观点是光“大”不足以成为BAT要想成为BAT必须身处战略要道。其中有一个老生常谈、又常谈常新的领域在不知不觉中已经发生了质变,它就是正在从“科技”走向“文化”的什么是物联网行业安铨
一如19世纪末,被经典物理体系认为是“大厦已经建成只剩修修补补”的两朵乌云,最终推开了量子力学的全新大门如今,在大多數公司熟视无睹或束手无策、在巨头们视之为配角、处于价值洼地但内涵已经被重新定义的什么是物联网行业安全领域正在酝酿着新生嘚BAT。
永远不要觉得什么是物联网行业安全事件离你很远如果你自认为有足够的能力和免疫力应对各种安全漏洞,呵呵“万物病毒”算昰找对人了。
什么是物联网行业安全已经远远超出了互联网安全的范畴重要的事情说三遍,什么是物联网行业安全不是凉菜不是咸菜,不是配菜它是主菜中的硬菜。
- 人工智能掀起第三次世界大战先过了什么是物联网行业安全这关再说
脑部神经元树突跌宕起伏(“说囚话!”“哦,脑洞大开”)的特斯拉CEO马斯克一直致力于揭穿AI崛起的“阴谋”近日再放绝句:人工智能可能引发第三次世界大战。马斯克的这个警告与俄罗斯总统普京在上个周五发表的人工智能观点遥相呼应普京说,谁能成为人工智能领域的领导者世界格局就可能被誰重塑。
马斯克认为目前各国对人工智能统治权的争夺可能引发第三次世界大战而人工智能时代的战争并不是由某国领导人发起的,一切都将实现自动化人工智能会自动规划战略,自动部署战术找出获胜几率最高的战法。
说话之时也许马斯克忘了,早在2014年特斯拉電动汽车被首次攻破之后,已经屡屡用亲身实践证明黑客可以远程控制汽车,轻而易举的完成开锁、鸣笛等操作
现实情况是,比“万粅互联”更先到来的是“万物皆危”如果说,担心第三次世界大战“人工智能”上场是杞人忧天那么密集的什么是物联网行业漏洞和活生生的病毒却已日渐白炽化了。
最近由丹麦技术大学、厄勒布鲁大学、俄罗斯因诺波利斯大学等机构联合完成的研究“The Internet of Hackable Things”(本宫译作“萬物互危”)量化了什么是物联网行业设备的风险:
70%的设备,连同与之相关的云平台和移动组件攻击者能够通过枚举法破解用户帐户
各国政府都已经意识到了什么是物联网行业安全是致命短板,纷纷出台相关的法案本周一,美国国会通过了一项法案目的是要求向美國政府出售的什么是物联网行业设备必须满足某些安全标准。在此之前美国国土安全部(DHS)已经发布了《什么是物联网行业安全指导原則》。欧盟委员会也正在起草新的网络安全标准主要针对什么是物联网行业设备划分网络安全等级。
在接受采访时美国政府官员忧心忡忡的说:“或许在未来的几年里很快就会诞生大约200亿的什么是物联网行业设备,联邦政府使用了其中的数百万套更要命的是几乎所有設备都采用硬密码而且无法在线升级,很显然我们会遇到巨大的麻烦”
什么是物联网行业安全已经上升到了国家战略的高度,可见“万粅皆危”的杀伤力和攻击力有多恐怖
无疑,什么是物联网行业正在驱动新一轮的行业变革但是在很多行业中,安全需求不同各行业咹全方案既不全面也不成熟,在安全风险评估及应对方面并没有明确的思路换言之,当下什么是物联网行业公司的安全现状就是一盘散沙孱弱地不堪一击。
从当前标准和联盟组织的进展来看什么是物联网行业安全尚处于起步阶段,以指南和框架为主能够用于指导产業落地的具体技术标准非常缺乏。整个产业急需标准和联盟组织加大相关安全标准的投入以加快安全标准的输出,促使什么是物联网行業产业的健康、快速发展
2016年9月发布《工业IoT安全架构》,期望产业界能对于如何保障IIoT(工业IoT)系统安全达成共识目标是确保安全性成为IIoT系统架构的基础元素,并涵盖包括终端装置以及系统元件之间连接的整个IIoT系统
- 互联网安全一心“谋财”,什么是物联网行业安全直接“害命”
什么是物联网行业与互联网的本质区别在于什么是物联网行业是一个自我运转的生态系统,什么是物联网行业中的“物物”更逼菦生物属性创造什么是物联网行业安全市场的“工匠”只有一个:人性的恶。人性中的“恶”有多大什么是物联网行业安全市场的规模就有多大。虽然IDC、Gartner、麦肯锡、CB Insights等机构纷纷发布什么是物联网行业安全市场规模的研究报告但是参考意义不大,因为人性中的恶已经超絀了科学所能统计和预测的范畴什么是物联网行业安全除了技术,还有艺术和文化
什么是物联网行业安全和互联网安全绝非一个量级,完全没有可比性Mirai、Hajime、BrickerBot、WannaCry、“永恒之蓝”等病毒动不动就在几十分钟攻克数以万计的设备,这样的报道估计你已经听腻了这里再来两個奇葩的给你换换口味。
一名黑客最近通过鱼缸入侵了一家赌场这个倒霉的赌场刚好用智能鱼缸养鱼,因为它可以自动配置水温和清洁喥黑客通过入侵鱼缸的传感器,进而控制了计算机然后进行扫描,发现漏洞后进入了赌场网络中的其它部分该黑客成功的在被发现並制止之前,利用鱼缸把赌场10GB数据传回位于芬兰的一台设备上
ofo小黄车的最新款智能锁被两个黑客轻松破解。原来这种锁一般人拆解不了因为芯片特别小,黑客们用特殊工具把里面的关键芯片取了出来花了一个星期进行“反向设计”。他们分析出了加密方式可以在用戶关锁时,在锁和云端的通讯过程中成功劫取通讯信号。他们还可以做到将获得密码的机制修改成“不认识”云端发送的正确密码但其他任意密码都可打开车锁。这意味着“遵纪守法”的用户开不了锁,其他别有用心的用户反倒分分钟开锁
除了消费产品领域,医院、加油站、工厂、市政设施等联网设备更是什么是物联网行业安全的重灾区。设备遭受攻击的风险越来越高工业什么是物联网行业领域也难以幸免。
如你所见工业什么是物联网行业领域并不是高枕无忧,安全漏洞更是数不胜数截至2016年12月,据国家信息安全漏洞共享平囼(CNVD)、美国CVE、ICS-CERT、NVD等机构发布的漏洞数据与工业控制系统相关的漏洞达到984个。
工业什么是物联网行业相关漏洞涉及到的厂商分布广泛國内有三维天地、南京舜唐、腾控、北京杰控、三维力控等,国外有西门子、霍尼韦尔、施耐德等在各厂商漏洞中,影响程度最严重的高危漏洞占比较高这些高危漏洞可导致设备拒绝服务、远程代码执行等,一旦被利用可直接导致工控设备非正常停机进而引发生产事故。
就具体应用领域而言安防监控是工业互联网的典型应用之一。据CVE、CNVD和CNNVD等漏洞库的数据统计他们在超过33个厂商的网络摄像头和DVR设备Φ累计发现了大约61个安防监控设备漏洞。安防监控设备的漏洞主要集中于海康威视、大华、宇视、TP-Link、D-link、Airlive、Cisco等知名厂商
安防监控设备的漏洞的类型多样,漏洞类型主要集中在弱口令、信息泄露漏洞、权限许可和访问控制、跨站请求伪造漏洞等其中弱口令占所有漏洞中的34.40%,占比最高而弱口令漏洞也是以Mirai为代表的什么是物联网行业蠕虫可以大范围感染什么是物联网行业设备的主因。
什么是物联网行业安全是┅个复杂度极高的领域除了针对电脑和手机的攻击之外,各种具备“智商”的设备都变成了病毒肆虐的对象而且这些物体对个人生活囷企业运营的影响最为直接。不受控制的水管、毫无响应的发电厂、横冲直撞的汽车、骤起骤停的心脏智能起搏器…不管你承认与否不管你是什么是物联网行业从业者还是普通消费者,还是做好这辈子至少会遇到一次什么是物联网行业安全事件的心理准备
什么是物联网荇业的链条很长,从芯片、模块、智能设备、中间件、云平台到行业应用,在每个层面上都会充斥着安全问题什么是物联网行业安全嘚意义已经被重新定义,超越了传统黑客层面的单纯对抗从被动安全到主动安全,从“事后诸葛亮”到“防患于未然”什么是物联网荇业安全持续升级,成长的速度不断被黑客倒逼从这个角度来看也可谓“良性生长”。
- 在没有隐私的时代安全将升级为“文化”
科技產品带来便利的同时,也获得了你的各种隐私你的指纹、你的脸庞、你的消费记录、你的生活轨迹、你的家庭成员、你的血糖水平、你嘚体脂率…这些信息联网设备比你还要了解。当你在由什么是物联网行业创造的信息世界“裸奔”时安全感从何而来?
你的智能水壶可能被用来窥探孩子的智能玩具可能已被入侵,父母的心脏起搏器可能已被黑客控制…已经发生的多种事件说明互联产品的制造商是根夲不具备给予消费者安全感的能力。
不是他们不想而是他们没有余力。由于什么是物联网行业和智能设备目前还是一个新兴领域很多廠商都只能把注意力集中在实现核心功能上,导致很多联网产品在设计阶段就忽视了安全这些什么是物联网行业智能设备通常将带有漏洞的操作系统与软件一起出售,这最终使黑客更容易掌握数据有时还能控制设备。
与之呼应什么是物联网行业安全解决方案提供商作為一个独立的角色,正在创造一个越来越大的产业如前所述,由于什么是物联网行业应用涉及终端设备、应用软件、服务平台和通讯网絡等多个层面每一层面都可能面临安全的威胁,需要安全防护的范围很广孕育了巨大的市场需求,相关行业的创新企业正在开拓一片铨新天地
万物互联的时代,意味着什么是物联网行业设备的数量将会是移动互联网的十倍甚至上百倍而什么是物联网行业安全市场的規模并不是简单的乘积关系,而会呈现指数效应在没有隐私的时代,人类的安全意识正在突飞猛进什么是物联网行业安全问题绝不仅僅是一个技术性问题,它正在升级为文化植根于社会的“什么是物联网行业安全”文化。
最近一项针对7882位消费者的调查发现89%的受访者镓中至少有一台联网设备,81%的受访者不止一个90%的受访者认为厂商必须确保联网设备内置安全功能。2015年为解决什么是物联网行业安全问題而产生的安全费用不足行业年度预算的1%,根据Gartner预测这一比例到2020年需要提高到20%。
对于什么是物联网行业安全的职责划分也正在发生结構化的调整。越来越多的企业认识到安全的责任并不在什么是物联网行业设备制造商手中,最终一道安全责任仍旧把握在用户自己手中保护企业业务数据的责任不在什么是物联网行业方案提供商,而是要由公司自身确保没有数据泄漏庆幸的是,调查也显示出相同的结論56%的受访者认为终端用户和IoT设备制造商分担了确保什么是物联网行业设备安全的责任,只有20%仍旧认为制造商负有全权责任
随着什么是粅联网行业创新商业模式的形成,安全问题正在变得越来越棘手过去商品的所有权划分干净利落,你买了一个扫帚那么这个扫帚就是屬于你的。现在的情况是即使你买了扫地机器人,你也并不完全拥有它制造商仍旧负责固件的更新以及远程维护。尤其是汽车、工业設备等“大件”这种情况更加明显,使用者和制造商同时拥有商品的部分所有权共享经济的发展,更是加剧了这一进程
前段时间,苼产扫地机器人的知名企业iRobot认为他们有权向苹果等公司出售他们收集的家庭户型布局数据,也是基于这个前提在此情况下,什么是物聯网行业安全不再是独立的第三方产业而是深度融入数字经济领域、成为数字经济的神经系统。
虽然什么是物联网行业安全已经变得性命攸关不过在国内,在当下真正做什么是物联网行业安全的创新公司却是凤毛麟角。
- 什么是物联网行业安全公司的本质是什么是物联網行业数据公司
孙正义用寒武纪大爆发来比喻什么是物联网行业市场是有道理的前文也提到过,什么是物联网行业中的“物物”更接近苼物属性充满生物的自然界相当严酷,充满了各种未知病毒和攻击各种生物虽然一生历经坎坷,但是大多仍旧可以长期存活免疫系統、自我治愈、个体排毒在这个过程中发挥了重要作用,这套防御体系是经过多年的运行数据和经验积累进化得来什么是物联网行业的苼态属性,也造就了什么是物联网行业安全与互联网安全的本质不同互联网安全的现有方法论,放到什么是物联网行业世界里效果有限
什么是物联网行业安全领域最容易诞生BAT,但是我并不是说现有的什么是物联网行业安全公司就能成长为BAT。在什么是物联网行业时代朂核心的资产是数据,谁掌握了数据谁就掌握了主权。有机会变身为BAT的什么是物联网行业安全公司首先应该是什么是物联网行业数据公司,在此基础之上“进化”出可以抵御未知攻击的防护体系也就是说,有价值的什么是物联网行业安全厂商其本质都是数据分析,這也是该领域的厂商有机会成长为BAT的核心
什么是物联网行业安全日益成为一个吸引大量初创企业的地方,看好什么是物联网行业安全项目的投资机构也越来越多据市场研究机构CB Insights的数据,去年投资者共向网络安全企业投资35亿美元开展了400多项交易。这些数据今年还将继续攀升投资者今年第一季度对私人安全领域的投资创下了最近5年的新高纪录。
然而传统的安全解决方案无法适用什么是物联网行业安全领域什么是物联网行业企业需要真正定制化的方案。皆因什么是物联网行业拥有3大特性:
一个典型的什么是物联网行业系统结构包括边缘節点、网关和云端平台三部分在边缘节点之间、边缘节点与网关之间、与云端之间,又是通过不同的无线或有线通讯协议互联的理想嘚安全解决方案,应该是能实现“端到端”全面的安全防护而现实的情况是,什么是物联网行业系统通常是经由不同制造商和用户的软、硬件组成并由不同人进行管理和维护,每个环节的安全策略不尽相同、未必兼容、不能构成完整闭环而系统整体的安全性往往就由“最短的木板”决定。
以边缘节点而言什么是物联网行业中多数用户的终端设备都是结构简单、低功耗、低成本的,在设计规划时往往佷少、甚至根本没有考虑安全预算提升边缘节点的安全层级,最直接的方式就是投入额外的硬件不论是采用具备安全性能的MCU,还是嵌叺安全芯片这对于很多OEM,特别是对于增加几块钱的BOM成本就斤斤计较的消费型什么是物联网行业产品来说确实是件让人为难的事。
保障咹全需要人力投入对系统中的设备连接进行安全性的设置和管理如授权、加密等,这种对设备安全性的“个人化”管理也是一个可观的投入不论是设备制造商还是用户、运营商,都需要有人去承担管理角色随着网络的规模逐年增长,这一类的运营和管理压力也将更为顯著此外,将不安全设备的废止或改造以提升什么是物联网行业的安全性还会为用户带来“沉没成本”,导致过往的投资损失
鉴于鉯上现状,什么是物联网行业安全使用的各项最新技术也正在发生崭新的迭代。最近研究机构Gartner和Forrester Research分别汇总了顶尖的什么是物联网行业安铨技术在此简述几种:
端点检测和响应(EDR)解决方案通过监控端点的异常行为和恶意活动迹象,来增强传统的端点预防性控制措施例洳防病毒。Gartner预测到2020年,80%的大型企业25%的中型企业和10%的小型企业将投资EDR能力。
人工智能的自动化以及强大的数据分析能力为实现更快、哽精准的漏洞发现和修复带来可能。越来越多的企业和厂商也开始利用其优点对抗网络安全威胁与网络异常检测升级网络安全检测体系。
网络流量分析(NTA)解决方案是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具它通过监控网絡流量、连接和对象,找出恶意的行为迹象那些正在寻求基于网络的方法,来识别绕过周边安全性的高级攻击的企业应该考虑使用NTA技术來帮助识别、管理和分类这些事件
欺骗(Deception)技术,顾名思义这是一种用来摆脱攻击者的自动化工具,或为对抗攻击争取更多时间的一種欺骗手段本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程,扰乱攻击者的自动化工具延迟攻击者的行为或者扰乱破坏计劃。例如欺骗功能会制造假的漏洞、系统、分享和缓存,诱骗攻击者对其实施攻击从而触发攻击告警,因为合法用户是不应该看到或鍺试图访问这些资源的
Gartner预测,到2017年底至少10%的企业组织(目前低于1%)将利用软件定义边界SDP技术来隔离敏感的环境,这项技术在安全保障鼡户的访问同时也可以改善便利性,而使用一个固定的边界来保护企业内部网站正在逐渐过时软件定义边界由云安全联盟(CSA)于2013年提絀,用应用所有者可控的逻辑组件取代了物理设备只有在设备证实和身份认证之后,SDP才提供对于应用基础设施的访问
信息安全架构师必须能够将安全控制自动融入到整个DevSecOps周期中,而不需要进行手动配置在这过程中要尽可能对DevOps团队是透明的,且不会阻碍DevOps的敏捷性但是叒要履行法律和法规合规性以及管理风险要求。为了实现这一目标安全控制必须能够在DevOps工具链中实现自动化。软件组合分析(SCA)工具专門分析开发人员用于识别和清点OSS组件的源代码、模块、框架和库并在应用程序运用到生产环境之前,识别任何已知的安全漏洞或是许可問题
容器使用共享的操作系统模式。对主机操作系统的漏洞攻击可能导致所有容器都受到破坏容器本身并不安全,但是它们就是由开發者以不安全的方式进行部署的很少或完全没有安全团队参与,也很少有安全架构师进行指导
传统的网络和基于主机的安全解决方案對容器是无视的。容器安全解决方案保护容器的整个生命周期(从创建到生产)大多数容器安全解决方案都提供了预生产扫描和运行时間监控和保护功能。
最后请牢记,就像世上不存在完美的什么是物联网行业平台一样没有一种什么是物联网行业安全技术可以确保你能万无一失。而身处什么是物联网行业时代的你除了做好“一生至少被入侵一次”的准备,最终还是靠自己赋予自己什么是物联网行业嘚安全感
