在舊金山舉行的2015 RSA大會上，似乎大家就一件事達成了共識，那就是物聯(lián)網(wǎng)是一個迫在眉睫的安全威脅，但是關(guān)于到底安全行業(yè)應該做些什么并沒有達成共識。

有解決方案提供商和安全專家表示，挑戰(zhàn)在于技術(shù)仍然很新，而技術(shù)威脅是真實存在的，沒有一個明確的地方開始阻止攻擊。

“目前者還處于生命周期的早期階段。……問題在于，大家都知道那里會有大量威脅，但是沒有人確切知道安全隱患將會是怎樣的。”總部在伊利諾伊州的Auryn Technology負責人和IT架構(gòu)師Erik Wilson這樣表示。“我不認為企業(yè)真的知道發(fā)生了什么事情。……我認為這是令人興奮的，但也有點可怕。”

周三一個安全專業(yè)人士進行的小組談論，探討了物聯(lián)網(wǎng)的未來，他們認為，由于缺乏對于未來技術(shù)發(fā)展方向的洞察，使得難以實施保護措施。

“我們甚至不知道最終的目標到底是什么。我向我們看到結(jié)果的好處之一，是調(diào)節(jié)和可組合性——我認為會有一個完全不同的挑戰(zhàn)，并且比我們現(xiàn)在的保護方式更嚴峻。我們甚至不知道未來是什么情況。”國家標準和技術(shù)研究所信息系統(tǒng)安全顧問Yan Pillitteri在小組討論中這樣表示。

另一方面，這些可能性的廣度正是讓市場感到興奮的地方，小組討論這樣表示。

Yan Pillitteri說：“你在會走之前學會必須爬行，在會跑之前必須學會走路?，F(xiàn)在我們看到，新的傳感器和新的設備正在不斷增加。……這將是一個緩慢的過程，而且我確實看到了政策和隱私性一些方面的革新。這些都將是具有革命性意義的事情。”

讓挑戰(zhàn)加劇的是攻擊范圍的不斷龐大，隨著越來越多設備連接到網(wǎng)絡，創(chuàng)建一個更大型的網(wǎng)絡進行保護，總部在弗吉尼亞州雷斯頓的解決方案提供商Leido網(wǎng)絡安全首席技術(shù)官Gib Sorebo在分組會議中探討了這個問題。

“隨著物聯(lián)網(wǎng)的崛起，這不只是一個‘我有這樣一個設備，我需要控制這個設備’的簡單問題了。……而是要與其他設備進行互動。”Sorebo這樣表示。

總部在挪威拉爾維克的Abax公司IT經(jīng)理Esoen Otterstad表示，他的公司幫助公司構(gòu)建GPS跟蹤設備等解決方案。因為該公司構(gòu)建的解決方案通常是圍繞著物聯(lián)網(wǎng)的，因此該公司在過去6個月中，在客戶提出需求和出現(xiàn)任何安全事故之前就圍繞著該技術(shù)加強了安全措施，Otterstad這樣表示。

他說，挑戰(zhàn)在于很難找出從哪開始著手，以及把重點放在哪，因為對于物聯(lián)網(wǎng)來說，這個威脅領(lǐng)域仍然是新興的。

Otterstad表示：“這仍然是一個學習的過程。在Web方面，我們正在做的事情是行業(yè)標準的。在物聯(lián)網(wǎng)方面，……我們正在開始和考慮從哪開始，這是目前最重要的事情了。”

總部在賓夕法尼亞州約翰斯敦的Concurrent Technologies Corp.公司IS安全總工程師Dom Glavach表示，物聯(lián)網(wǎng)的威脅環(huán)境有三個方面，主要受到人為因素、通常未打補丁的嵌入式設備、以及設備收集并且有可能暴露的信息。

總部在賓夕法尼亞州Blue Bell的Unisys CISO Dave Frymier表示，有一個挑戰(zhàn)是沒有像其他行業(yè)一樣存在一些標準，但是軟件行業(yè)是沒有標準的。Frymier表示，實施產(chǎn)品質(zhì)量標準的唯一現(xiàn)有實體就是政府。

“這是事物自然而然的一個進化過程。”Frymier表示。“物聯(lián)網(wǎng)已經(jīng)在這里了，它一直在這里……直到我們發(fā)現(xiàn)、意識到了 “物聯(lián)網(wǎng)”的概念，而這種向大型全局網(wǎng)絡增加軟件驅(qū)動設備的概念，不過是一場噩夢。”

在Leido的Sorebo演講中，他給出了一個風險模型，展示企業(yè)應該如何思考安全和物聯(lián)網(wǎng)。他說，首先，安全專家應該圍繞物聯(lián)網(wǎng)設備定義使用實例，并且盡可能具體。然后，他們應該確定所有相關(guān)的影響和未來可能出現(xiàn)的薄弱環(huán)節(jié)。最后，這些答案將會引導他們確定這些設備可能會存在哪些安全威脅。

Sorebo表示，為了減輕這個風險，安全行業(yè)有下面一些選擇：

首先，他們可以設計契合所需的設備，不過Sorebo表示這可能是不現(xiàn)實的，因為用途有可能會擴大。

其次，Sorebo表示，企業(yè)可以清楚地記錄一些假設情況，包括設備的用途和未來可能出現(xiàn)的一些責任義務。第三，企業(yè)或者監(jiān)管機構(gòu)可以對設備如何互動進行密切監(jiān)管，例如車輛與車輛之間互動。

第四，他說可以有一些授權(quán)和審核的協(xié)議與設備軟件庫。最后，還可以有針對不同使用情況的設備認證。