赛迪译丛
今年3月,德国莱茵集团正式发布《2020年网络安全趋势——面向数字化转型,对网络安全和隐私的新思考》报告,对全球范围内个人数据、供应链、智能设备、航运业、实时操作系统、可穿戴医疗设备以及车辆和交通等七大领域网络安全发展趋势进行了深入分析,探讨了数字化时代,企业和个人该如何应对网络安全风险,为工业、互联网、交通运输等领域加强网络安全保障能力提出了建议。赛迪智库网络安全研究所对该报告进行了编译,希望对我国有关部门制定网络安全政策有所帮助。
一、趋势1:对个人数据的无限制挖掘威胁数字社会的稳定。免费获取个人数据的时代即将结束,但取而代之的是什幺,尚未可知。
(一)数据过多,透明度过低。2017年,法国记者茱蒂丝·杜普托尔向一款约会应用软件索要她在该应用中被存储的个人数据,结果收到整整800页文档,仅此一款应用就在短短几年时间内收集了她如此多个人数据,这意味着个人隐私正面临着严峻挑战,也凸显了应用软件在使用个人数据建立用户画像时缺乏透明度的问题。
(二)数据滥用风险仍被低估。过去,机构感兴趣的只是个人姓名、地址、职业、消费能力等数据;如今,个人政治倾向、社会态度和投票意向等更深层次数据也成为了收集对象。如果没有强烈的数据道德意识,这些掌握个人活动、兴趣、态度等大规模数据的机构很容易就能利用这些数据,实现对个人甚至整个社会的操纵。只有当这些企业被曝光存在有意或无意地以不道德的方式使用个人数据时,他们才会变得“脆弱”。
(三)来自数据共享第三方的隐患。可以清楚地看到,近年来有些企业一直对如何与第三方共享个人数据,以及一旦数据被共享后第三方应如何使用这些数据的问题有所疏忽,引发了多起备受瞩目的数据共享丑闻。甚至在某些案例中,企业在未得到数据主体同意的情况下,就将个人数据进行商业销售,有的还将个人数据用于建立完整的选民心理档案等政治活动工具。这些数据共享丑闻经少数记者和“吹哨人”调查后被曝光。如果没有这样的调查,个人数据的收集规模和用途将一直不为人知。往好处想,这是以一种“粗暴”的方式实现对利用个人数据获益行为的监管;往坏处想,这种临时建立的管控机制缺乏透明度和问责制。
(四)一些政府开始对数据伦理感兴趣。2018年,欧盟《通用数据保护条例》(GDPR)颁布后,数据伦理正获得越来越多的关注。许多出台的政策措施已经超出了基本的数据保护范畴,开始关注数据伦理。GDPR列出了数据使用的一般合法目的清单,包括重大利益、法律义务、合同需要、合法商业利益、公共利益以及其他获得数据主体同意的目的。虽然这一做法在欧洲实施时看上去有些冒险,目前却正在被全世界效仿。美国加利福尼亚州2019年批准了类似的数据保护法案,并于2020年正式生效。但是,或许是有意为之,该法案中有些描述合法使用数据的条款具有强烈的主观性,给企业从事相关盈利活动留出了解释空间,防止被法案条款过度限制经营,影响企业活力。
(五)情况正在逐步好转。个人数据保护的重点正在向实现价值观和伦理原则转变,例如通过制度设计实现透明度、问责制、隐私保护。电气和电子工程师协会(IEEE)P7000工作组制定的伦理和人工智能系列标准,就是旨在通过设计人工智能发展的总体原则来推动伦理发展。欧盟通过的关于人工智能和机器人技术决议也提出一种基于价值观的技术设计方案。未来几年或将有越来越多的数据伦理准则被融入到强制执行的法律法规中。
二、趋势2:黑客将智慧供应链作为攻击目标并使其变“笨”。智慧供应链是全球商业的未来趋势,但人们尚未意识到智慧供应链的脆弱性。
(一)供应链数字化催生新安全风险。无论对企业自身还是外部供应商,供应链管理越来越多地使用物联网(IoT)、自动化、机器人以及大数据等技术来提高效率和降低成本。尽管与统供应链有相似之处,但智慧供应链越来越多地将仓库等元素虚拟化。在智慧供应链中,仓库不再是简单的物理建筑,而是产品或零部件在任何时刻可能出现的位置信息。在这种模式下,微小扰动便会引发巨大的安全风险。因此,智慧供应链不仅具备动态和高效的优点,同时也非常脆弱。
(二)重视成本的盲目性和复杂性。智慧供应链本质仍是实体供应链,制造商对影响供应链成本的物理扰动非常敏感。智慧供应链中使用的智能技术依赖于网络连接,因此需要将网络攻击的风险纳入供应链成本统计范畴。但因网络攻击风险难以量化 所以常常被忽视。这种情况同样适用于包含外部供应商的复杂供应链。此外,由于智慧供应链还涉及仓储机器人等新技术应用,这些新技术也带来了新的未知风险和漏洞。对企业而言,在建设智慧供应链的同时解决安全风险问题,仍需继续努力探索。
(三)机器人得到快速发展。仓储机器人可以形象地反映智慧供应链存在的网络安全挑战。当前,企业积极投入到第一代仓储机器人的研发和应用,并采用将控制系统隔离的方式以增强其安全性。但是,这些机器人的工作环境和维修环境依旧是联网状态,无法做到彻底隔离。在复杂的环境中使用机器人也可能会破坏其控制系统的安全性。解决此类问题的标准做法是将机器人使用的网络进行分区管理,但这一做法对网络架构不断变化、范围不断扩张的企业而言难以实现。网络安全漏洞等威胁可以通过联网的办公系统在企业内网快速传播,为网络攻击者提供攻击整个供应链的路径。
(四)除了增强韧性外,没有简单解决方法。智慧供应链运行环境存在大量隐患,任何微小的时延都可能造成严重后果,导致犯罪分子喜欢利用勒索软件对智慧供应链实施网络攻击。因此,企业必须想办法避免类似情况发生,在打造智慧供应链之初就需要考虑网络安全问题,并将建立韧性供应链融入企业运营管理任务。2019年初,铝业巨头挪威海德鲁公司遭到勒索软件攻击,它们采取的策略是将受感染设备进行隔离并采用手工操作替代。由此可见,在类似情况下,企业需将关键业务系统进行隔离。
(五)智慧供应链需要更智能的安全。智慧供应链的发展需要新一代智能网络安全技术保驾护航。当前,智能网络安全技术依旧建立在传统的网络安全架构之上。在此架构下,对特定系统或网络实现隔离或断开连接非常困难,需由人工智能等新兴技术辅助完成,但目前此类亟需的智能网络安全技术尚未问世。未来智能网络安全系统需要在攻击者试图发动攻击时,快速反应并解决问题。此外,制定标准和完善认证工作也将对保障智慧供应链安全产生积极影响,前提是必须为强制性标准和认证。
三、趋势3:智能消费设备增长速度远超其安全性提升速度。智能消费设备正在构建一个全新的、风险更高的千亿级设备互联网。
(一)无处不在的智能设备拥有强大功能。智能音箱、健身跟踪器、智能手表、智能恒温器、智能电表、家庭安全摄像头、智能门锁、智能电灯等都是常见的“万物互联”案例,这一趋势似乎势不可挡。随着个人智能设备不断融入日常生活的各个方面,它们的数量逐年增加、功能不断完善,未来的商业和社会将依赖于智能设备。它们不只是单纯的玩具或者“稀罕物”,有可能变成犯罪分子谋取个人利益或者制造社会混乱的工具,成为犯罪分子攻击的目标。目前,数十亿台联网服务器和个人计算机终端已经给网络安全带来极大挑战。随着智能设备的广泛应用,网络攻击的范围可能会迅速扩大到百倍或千倍以上。
(二)商业模式增长优先于安全性。一味追求联网智能设备数量和设备管理平台的增长引发了一系列问题,例如如何确保联网智能设备的安全性、如何对设备漏洞进行修补,以及何种情况下设备需要报废等。使用智能设备是为了满足新功能需求(如语音控制无线智能音箱),但这些智能设备仍属于微型联网计算机终端,同样容易遭到软件漏洞和滥用等带来的网络安全威胁。智能终端的网络安全防护大致可分为两类:一类是通过大型云平台(如谷歌、亚马逊、苹果等)收集用户数据、设备日志等信息,实现对设备的安全管理;另一类则采用独立模式,将智能设备的网络安全问题完全转嫁给用户,智能设备被设计成只会工作、几乎没有任务安全模块的“透明体”,无法提供用户安全检测或诊断程序以保证设备安全。
(三)网络攻击将从概念验证变成现实。目前,针对智能设备的网络攻击主要是利用设备中存在的安全漏洞,这些设备基本上均为非强制管理设备。先前发现的恶意代码Mirai就是通过对不安全的网络摄像头和家庭路由器发起分布式拒绝服务(DDoS)攻击,形成僵尸网络。小型智能设备一直是网络攻击的主要对象,包括白帽子(安全研究人员)也是利用小型设备未修补的软件漏洞进行概念验证实验。由于网络攻击对象是功能受限的第一代智能设备,这些探测攻击对现实世界的实际影响是有限的,仅对僵尸网络服务的部分产生间接影响。但是,新一代更智能的设备将嵌入更多复杂软件,收集更多数据,并具备协同工作模式以实现智能化管理的商业目标。因此,使用公共工具,诸如Shodan漏洞搜索引擎等,很容易就可以查找到易受攻击的智能设备。
(四)监管措施即将出台,但过程艰难而缓慢。尽管大型技术平台声称已经意识到智能设备存在的软件漏洞和隐私保护等方面的安全问题,但是他们通常采取的解决办法是等待网络攻击事件发生后,再从中汲取经验教训。这种模式对小范围使用的单个智能设备或许是可行的。当智能设备的数量和应用范围上升一个数量级后,这种模式将无法应对设备带来的网络安全挑战。短期来看,智能设备及其专用协议在一定程度上能起到安全保护作用。目前,政府正积极地参与,要求在建设“万物互联”网络时采用安全基线标准。但是,智能设备制造商迫切需要的是更清晰、更实用的标准,以便采用后在技术上实现设备安全,并能够对用户隐私保护起到作用,而非简单地让不满足条件者“淘汰出局”。
四、趋势4:航运业面临的网络安全威胁已从理论变成现实。航运业是众多现代产业供应链的基础,网络犯罪分子也已经 发现了这一关键点。
(一)航运业已经成为战略目标。2017年,全球航运贸易量约为 107 亿吨。尽管面临地缘政治和全球贸易紧张局势的挑战,这一数字预计仍将继续增长,并且越来越高效的港口服务将大大缩短船舶在港口装货、卸货、驶离的时间,助力全球航运业发展。目前,有证据表明某些国家正在试验通过对航运导航系统发动网络攻击影响航运安全,也曾有过关于船舶网络遭勒索软件攻击的报道,同时网络激进主义也开始对海事部门施加影响,航运物流成为又一个网络安全威胁的“重灾区”。由于航运业是日程驱动型行业,很难确定网络激进分子的威胁何时会变成航运业的重大安全风险。但是,重大环境变化以及地缘政治事件常常对此类事件起到催化作用,因此,监测并掌握此类事件成为确保现代航运业网络安全的重要部分。
(二)航运技术的复杂性引发新安全威胁。航运业的重要性不必多说,但应注意到,航运船舶正越来越依赖数字技术和操作技术控制和管理船载系统,以提升航运运行效率。目前,航运船载系统的复杂度相当高,以致某些系统的安全隐患被低估。例如船舶驾驶台系统包含了电子海图显示和信息系统(ECDIS)、全球导航卫星系统(美国GPS系统)、自动识别系统(AIS)、航行数据记录仪(VDR)和雷达/自动雷达绘图辅助系统(ARPA)等。船舶与滨岸系统进行连接也可能会增加其遭到拒绝服务攻击、服务中断等威胁的风险。卫星系统等不仅可以协助船舶导航,还能提供货物位置跟踪、工程系统精准授时等服务。其他潜在的攻击目标还包括推进、转向和动力控制系统,以及通过卫星、甚小孔 径终端(VSAT)、舰队宽带等进行语音和数据传输的通信系统。
(三)航运实际上是一个网络安全问题。如果不采取适当安全控制措施,网络故障可能会造成船舶系统中断,进而干扰船舶行驶。尽管多数对航行至关重要的系统(如导航系统)都具有故障保护装置,但处理这些扰动事件会影响船舶执行航行计划,降低船舶营收能力。随着人们对物流时效性要求的提高,即使是港口设施的微小故障,也会影响千里之外的货物生产和交付。航运公司和运营者可能管理着众多各式的航运船舶,但采取“一刀切”方式进行海上安全管理的做法是行不通的,需要建立一整套制度和控制措施,并根据船舶类型制定附录或实用的变通措施。2017年6月,国际海事组织(IMO)通过了 《安全管理系统之海上网络风险管理》,决定从2021年1月起强制执行海上网络安全风险管理,推动利用现有风险管理实践解决因日益依赖网络系统而产生的航运安全威胁。
五、趋势5:实时操作系统的超级漏洞或将开启后补丁时代。修补易受攻击的实时操作系统难度非常大,或预示着补丁时 代的结束。
(一)安装标准补丁不能完全解决嵌入式软件的安全问题。据估计,到2025年全球物联网(IoT)设备数量将超过750亿,每台设备都包含内置软件,部分还使用了外包的有潜在漏洞风险的组件。2019 年,物联网安全公司Armis的研究人员在VxWorks实时操作系统中发现了11个严重漏洞(称作URGENT/11)。嵌入式软件漏洞是巨大的网络安全挑战,它被广泛用于信息技术产品中,部分产品甚至可以追溯到十多年前,而当时企业可能根本没意识到软件漏洞的存在。面对这种局面,解决仍在使用的老旧产品中的嵌入式软件漏洞问题,安装补丁并不是最有效的解决办法。
(二)实时操作系统成为新的安全隐患。物联网(IoT)设备通常采用外包的实时操作系统(RTOS)组件,该组件是介于设备硬件层与应用层之间的基础组件,主要用于为设备应用程序提供实时数据处理。实时操作系统对系统处理的实时性要求较高,必须在规定时间内完成数据处理,否则系统会发生故障。随着jQuery4的普及,面向连接的传输服务(VxWorks)和开源实时操作系统(Free RTOS)等都有常用的简化产品供设备制造商使用,这或将导致一整类漏洞被植入数百万工业和商业物联网设备。
(三)数以百万计脆弱的物联网设备。URGENT/11漏洞存在于VxWorks的TCP/IP协议(IPnet)中,大约影响200万数据采集与监视控制(SCADA)、电梯和工业控制、病人监护仪、核磁共振成像(MRI)、网络防火墙、路由器、调制解调器、IP语音电话、打印机等设备系统。研究发现,使用相同IPnet TCP/IP协议的 其他6个实时操作系统也存在URGENT/11漏洞,意味着该漏洞已经扩散到数百万医疗、工业和企业设备。此外,VxWorks实时操作系统在工业物联网生态中有着深入的应用,包括西门子、艾默生、罗克韦尔、三菱、三星、理光、施乐、ABB、NEC和Arris等 公司生产的产品都使用了该系统。
(四)漏洞补丁的长尾效应问题。几乎可以肯定的是,实时操作系统漏洞将会在未来很长一段时间内困扰着企业。然而,修补这些物联网设备漏洞也并非易事。有些企业强制实施严格补丁修复计划,以确保其正常运营免受计划外的且代价高昂的停机影响。许多关键的生产控制系统不允许停机,因此需要对修复工作进行反复演练,避免因仓促、不完善的更新造成系统停机长达数日。企业网络安全团队也高度紧张,他们并非总是有足够的能力对实时操作系统漏洞进行修复。此外,由于该问题涉及数以亿计规模的设备,漏洞修复工作将带来前所未有的长尾效应,且有些问题永远无法得到解决。
(五)后补丁时代来临。虽然持续数十年的实时操作系统软件漏洞看上去是物联网出现之前的历史遗留问题,但问题仍然需要解决。目前,尚未发现解决该问题的完整有效方案,如果要解决该问题,最紧迫的是重新开发安全系统。此外,需要认清的一点是,由于各种现实原因的限制,许多应用了有缺陷的实时操作系统的设备无法安装补丁。在某种意义上,这个问题已经超出了漏洞修复的范畴,需要采取新的方式进行缓解。基于并非全部设备都能安装补丁程序的事实,特别是物联网设备,安全防护重点应转移到对设备的安全监测,并在发现异常时采取行动。由于设备漏洞修复往往滞后于网络安全事件发生,传统“打补丁”的方法将会越来越无效。
六、趋势6:可穿戴医疗设备是正在形成的互联网安全危机。网联医疗设备的漏洞属于物联网安全问题,该问题的扩展速度远超其可被管理的速度。
(一)联网设备越来越多,安全性却未随之提升。在过去十年,胰岛素泵、心脏和血糖监测器、心脏除颤器和心脏起搏器等个人医疗设备陆续接入互联网,称为“医疗物联网”(IoMT)。与此同时,研究人员在这些设备中发现了越来越多软件漏洞等安全隐患,可能会对用户及医疗设备造成针对性攻击。这些设备及其生成的数据作为受保护的用户健康信息(PHI)可能面临严峻的网络安全威胁。与当下众多物联网(IoT)设备一样,实现个人医疗设备联网的吸引力已超过其对网络安全的需求,而维护和修复设备的复杂工作却往往被弱化或忽视。
(二)软件漏洞普遍存在,或对生命构成威胁。设备联网便伴随着安全挑战,既要保证蓝牙等无线通信的安全性,还要确保与医疗设备供应商数据连接的网络安全。设备软件的复杂性带来大量的安全漏洞,研究人员很容易就能发现这些漏洞。2019年10月,针对软件漏洞对医疗设备的影响问题,美国食品和药物管理局(FDA)发出警告称,“任何人都有可能利用医疗设备中的漏洞远程控制该设备并更改其功能,造成拒绝服务、信息泄露、或者设备逻辑错误等问题,从而妨碍设备发挥其功能。”
(三)信息反馈渠道缺失。医疗设备行业的一个显着特点是采购联网医疗设备的客户并非患者本人,而是医疗服务提供者。这就导致患者无法将设备安全缺陷及时反馈设备制造商,切断了设备安全性反馈机制,同时也减少了患者及时了解设备安全问题的机会。在这种情况下,由于医疗设备供应链复杂,设备制造商没有设备使用者的联系方式,因此无法对设备进行修复或召回。对此,一个不完美的备选解决方案是在监管机构或设备制造商官方网站上发布建议信息,但可能导致许多建议内容不会被最终用户阅读。
(四)从理论到攻击。目前,针对医疗物联网设备的攻击还停留在概念验证阶段,完全依靠研究人员发现存在的安全漏洞。至今也未有任务漏洞被利用进行网络攻击的记录,这可能是因为许多攻击行为需要接近目标才能成功。但是,这并不意味着没有尝试过对个人医疗设备进行网络攻击,即使只是出于试验测试的目的。经验表明,如果针对医疗物联网设备的网络攻击是可以实现的,那幺此时最明智的应对方式是:假设任何瞬间都会有人进行尝试,需时刻保持谨慎、提前做好防范。
(五)保障医疗设备安全亟需立法和安全测试。美国食品和药物管理局(FDA)已经发布一系列针对医疗设备的安全建议,但目前尚不清楚包括美国以外的患者是否理解甚至看到过这些警告。尽管此类建议数量不断增加,但研究报告表明,许多医疗设备制造商并未对其产品中暴露的安全缺陷进行回应,也没有建立适当的报告机制以缩短安装补丁的时间。更糟糕的是,当设备被证实存在安全漏洞或用户隐私被泄露时,并没有相应的法律责任框架来规定“谁该对此承担责任”。2017年,FDA发布了一套针对设备制造商的指南文件《交互操作医疗器械的设计和上市前申请的建议》,旨在对医疗设备特别是有可能危及患者安全的设备或零部件,实施一套基本的网络安全标准规范。
七、趋势7:车辆和交通基础设施将成为网络攻击的新目标。随着车辆逐渐联网,处于概念验证阶段的攻击方法迅速暴露出可被网络攻击者利用的弱点。
(一)连通性越高,安全风险越大。借助专用软件和硬件平台,车辆和交通基础设施间逐渐互联互通,集成度越来越高。这些应用软件为驾驶员提供了更多的灵活性和功能,也有助于改善交通安全,而且随着自动驾驶汽车的出现,这一趋势似乎无可避免。但是,攻击者也可能会利用这些漏洞影响车辆和交通安全。令人担忧的是,交通基础设施属于关键信息基础设施范围,针对车辆和交通基础设施的大规模网络攻击不仅会影响个人安全,还会给交通安全甚至城市安全造成严重后果。
(二)数字化中的不安全技术。为满足互联互通需要,汽车制造商已经在汽车中增加通信和娱乐系统、车辆信息系统、车载Wi-Fi热点、智能手机控制车辆等数字化功能。未来,汽车制造商将继续推出有助于自动驾驶和安全驾驶的功能,以及售后服务等数字技术服务。这些功能的实现充分运用了大型科技公司参与研制的现有标准和技术,同时也给车辆带来了安全风险。车载系统复杂度的提升以及与车辆管理平台连接,导致针对车辆的可被利用的安全漏洞数量越来越多。采用标准化的互联网连接技术也将部分互联网中存在的漏洞引入到联网车辆中。
(三)攻击者可能会做什幺?概念验证研究证实,联网车辆的潜在安全威胁覆盖从中断车载娱乐系统到操纵车辆加速、刹车甚至方向控制等核心功能。2019年,车辆系统的相关安全漏洞信息被陆续公开,其中包括多个远程信息处理控制单元的零日漏洞。这给了攻击者远程利用此类漏洞、在理论上实现远程控制车辆的可能性。幸运的是,研究人员发布的汽车漏洞信息为制造商解决网络安全隐患争取了时间。但令人担心的是,研究人员发现漏洞的频率以及漏洞的严重程度,意味着在未来几年内攻击成功的可能性很高。
(四)发起网络攻击的手段。对车辆发动网络攻击的主要手段包括远程劫持和勒索病毒,特别是对运输高价值货物的车辆进行远程劫持。联网和加装软件给车辆带来的最大威胁是车辆很容易被实施针对性攻击和大规模网络攻击。由于统一标准化的软件包含相同的漏洞,导致使用该软件的不同型号的车辆也可能存在相同的漏洞,再通过各自的供应链,快速影响众多汽车制造商。此外,攻击者还可以利用已知漏洞或零日漏洞,同时对数百万台汽车发起网络攻击。
(五)ISO 21434标准出台。2020年2月,ISO 21434标准正式发布,为汽车行业在产品开发和全生命周期管理中做好网络安全工作提供了指引。短期建议包括加强安全漏洞和补丁管理,以及提高漏洞识别和基于风险的漏洞处置能力。对于修补时限要求严格的安全漏洞,车辆无法等待预约返厂维修,只能通过远程下载安全补丁进行快速修复。考虑到联网汽车会持续暴露在网络攻击下,无法一直采用实时方式对漏洞进行修复,必须采取折中方案妥善解决汽车网络安全问题。为此,需要对车辆进行持续威胁监测,并在发生安全事件时及时启动应急响应程序。目前,做好车辆网络安全工作的最大障碍是汽车制造商及其供应商只能修理汽车,而不能修复汽车漏洞。改善交通运输的网络安全仍将是一项长期艰巨的挑战。
