从消费转向产业领域,互联网的下半场有哪些安全议题值得探讨?
5G、人工智能、大数据、云计算等技术正在与实体经济加速深度融合,一直居安思危的互联网巨头们也逐步开始在产业互联网领域布局。腾讯董事会主席兼首席执行官马化腾曾在今年两会期间表示,“互联网的下半场属于产业互联网”。
互联网正在从提供资讯、购物、社交等服务的消费领域转向与实体经济深度融合的产业领域。那么在产业互联网时代,有哪些安全问题值得人们探讨?
7月30日至31日,第五届互联网安全领袖峰会(CSS 2019)在北京举行。会上,腾讯安全联合实验室掌门人及腾讯安全业务负责人,联合发布了首份聚焦于产业互联网安全的行业报告——《CSS视角下的2019年产业互联网安全十大议题》(下称“十大议题”)。
腾讯安全联合实验室掌门人及腾讯安全业务负责人发布报告。主办方供图。
此报告试图从产业政策、技术应用、业务场景等方面对产业互联网时代的安全变化和技术趋势进行盘点和解读,隐私护卫队选取了其中一些大众关注度较高的议题。(以下内容摘自“十大议题”报告)
《CSS视角下的2019年产业互联网安全十大议题》报告。主办方供图。
万物互联设备暴露更多 安全自动化检测是挑战
近年来,物联网发展迅猛。原本独立、隔离、安全的传统设备通过网络连接成为万物互联中的终端。而随着智能化、网络化程度越来越高,汽车也在这样的发展趋势下成为了智能终端设备之一。
设备本身拥有更多的入口和控制方式,这在为用户带来操作便利性的同时,也形成了更多暴露面。2018 年英特尔 CPU 芯片漏洞、亚马逊物联网操作系统漏洞,以及汽车安全漏洞等事件的曝光,揭示着并没有绝对的安全。
一方面,物联网设备的严重碎片化现象以及开发人员安全意识薄弱,导致出厂的固件中存在着各种各样的漏洞;另一方面,由于物联网本身使用的操作系统数量多,使用的架构不统一,固件格式更是因厂商而异,给安全自动化检测带来了挑战。
新型威胁攻击模型催生 软件和芯片重塑世界
软件和芯片对我们的世界渗透越来越深,我们周围的信息系统越来越多。这些大大小小的系统之间通过各种通信方式又形成了复杂的互动关系。这就催生出一些更复杂的安全威胁形态。
比如,我们使用的智能手机与智能手表,单独来看,这两种硬件设备都会有安全措施保障用户的使用安全以及隐私问题。但是,两者在通信时,或许因为兼容性,以对协议的实现不完全一致等问题,造成信息在传输过程中可能被人盗取。
在以物联网为基础构建的智慧生活场景中,各类设备都需要不断采集使用者的各种生活甚至生理信息。这些信息一旦被人窃取、利用而实施诈骗、敲诈等,后果就会很严重。
对于这类威胁,可能看起来谁都没有犯错,似乎每个设备自身都是安全的,但当它们结合在一起之后,就会变成我们面临的新的安全问题。
常态化网络攻防对抗 企业安全防御新标尺
在产业互联网时代,企业面临的网络安全威胁更复杂,且危害更大。不仅传统的漏洞攻击方式愈演愈烈,APT 攻击(高级可持续威胁攻击)等具有极强隐蔽性和针对性的攻击活动也层出不穷。
从单个企业层面而言,由于安全事故发生频率较低,且在业务层面极少有直接感知。在尚未发生安全事故,或者说攻击未直接造成损失时,很可能让企业产生自身安全防护足够完善、业务数据足够安全的错觉。
事实上,自动化扫描做得再强大,也无法发现所有的漏洞,而且也不能对网络防御纵深能力做出评估。而一次攻防演练往往能让各方更加直观的感受到攻击现场,强化业务的安全意识。因此,在常态网络环境下,用接近真实攻击的方式,进行网络攻防对抗演习,成为了检验企业安全防御的新标尺,以弥补企业现有防御体系的不足。
政府监管面临新挑战 技术助力打破监管孤岛
由于新的互联网经济具有跨领域、跨区域、传播快、交叉性等多样特点,政府监管部门也面临着新的挑战。
例如,借天价保健鞋垫和负离子卫生巾起家的天津权健公司,在令人瞠目的 7000多家加盟火疗店的掩护下,花了 14 年,在中国构建起一个年销售额接近 200 亿的保健帝国。
类似事件的发生,暴露了新时代监管部门的一些不足。比如,市场主体数量迅速增长,导致监管工作任务更加繁重,使监管任务增长与执法力量不足的矛盾日益突出;互联网经济等新业态蓬勃发展,对联合监管、协同监管提出了新的挑战;新经济、新业务带来的挑战,让监管工作的预见性不高,提前发现风险问题的能力薄弱;而基于企业信用分级、企业分类、企业风险的随机抽查监管,很难做到精准监管。
利用大数据、人工智能等技术,建设“互联网+监管”的平台,可以为政府监管部门提供技术支持。
云计算带来联动和整合 也变成黑产攻击武器
作为数字时代的重要基础设施和产业互联网的核心产业之一,云计算已成为数字化和产业互联网的重要推力。
然而,随着业务云端化的变革,联网设备的激增,在释放生产潜能的同时,也因为安全边界模糊、数据管理混杂、业务风险难防、防御技术失衡,以及安全投入产出比的压力,让企业传统的单点防御措施,在面对各类新型攻击手段和威胁态势时应接不暇。
事实上,日益繁荣的网络黑产已将云服务和其他相关技术变成攻击武器;而万物互联的趋势,更是给了攻击者更多的攻击渠道和安全漏洞。
在新形势下,不同于以往的单点防御,未来的企业安全将更强化业务纵深闭环和数据流全生命周期防控,以此构建云、管、端协同的智慧安全体系。