物聯(lián)網(wǎng)(IoT) 安全性是指不僅保護(hù) IoT 設(shè)備而且保護(hù)這些設(shè)備使用的網(wǎng)絡(luò)的做法。物聯(lián)網(wǎng)安全旨在保護(hù)數(shù)據(jù)機(jī)密，并維護(hù)用戶隱私以及物聯(lián)網(wǎng)設(shè)備和支持技術(shù)的政策合規(guī)性。

　　物聯(lián)網(wǎng)之前已被證明是威脅參與者的一個(gè)有吸引力的目標(biāo)，因?yàn)樗鼣?shù)據(jù)豐富，而且不斷擴(kuò)大的攻擊面為黑客提供了更大的破壞機(jī)會(huì)。

　　物聯(lián)網(wǎng)安全趨勢(shì)

　　日益復(fù)雜的物聯(lián)網(wǎng)環(huán)境

　　2020 年，美國(guó)大多數(shù)家庭可使用的連接設(shè)備的平均數(shù)量為 10 臺(tái)。復(fù)雜的物聯(lián)網(wǎng)環(huán)境正逐漸成為常態(tài)。由于互連功能的網(wǎng)絡(luò)日益復(fù)雜，這些環(huán)境變得越來(lái)越難以控制和管理。

　　操作技術(shù) (OT) 已在工業(yè)環(huán)境中廣泛實(shí)施。但是，此類解決方案需要更多數(shù)據(jù)才能做出更明智的決策。為了實(shí)現(xiàn)這一點(diǎn)，需要使用更多的儀表和傳感器。

　　因此，被動(dòng)物聯(lián)網(wǎng)和 OT 之間的界限變得更加模糊，并使 OT 環(huán)境面臨更多風(fēng)險(xiǎn)。物聯(lián)網(wǎng)實(shí)施復(fù)雜性不斷增加所帶來(lái)的安全風(fēng)險(xiǎn)是為威脅參與者引入了大量新的攻擊向量。

　　規(guī)定

　　由于缺乏全球監(jiān)管一致性，物聯(lián)網(wǎng)市場(chǎng)經(jīng)常面臨市場(chǎng)摩擦和物聯(lián)網(wǎng)安全策略的稀釋。除了蜂窩連接等行業(yè)已經(jīng)受到嚴(yán)格監(jiān)管之外，聯(lián)合國(guó)關(guān)于智能汽車的法規(guī)等進(jìn)一步的法規(guī)也在不斷涌現(xiàn)。

　　美國(guó)和歐洲正在制定立法，旨在規(guī)范到 2024 年提供物聯(lián)網(wǎng)的能力。目前的監(jiān)管軌跡表明，監(jiān)管將很快影響所有物聯(lián)網(wǎng)制造商、供應(yīng)商和消費(fèi)者。

　　美國(guó)和歐洲正在制定符合ETSI EN 303 645標(biāo)準(zhǔn)的計(jì)劃。歐盟委員會(huì)通過(guò)了聯(lián)網(wǎng)無(wú)線電設(shè)備和可穿戴無(wú)線電設(shè)備計(jì)劃，通過(guò)確定物聯(lián)網(wǎng)設(shè)備的基準(zhǔn)標(biāo)準(zhǔn)來(lái)加強(qiáng)聯(lián)網(wǎng)設(shè)備的安全性。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 發(fā)布了一份名為《消費(fèi)物聯(lián)網(wǎng)設(shè)備基線安全標(biāo)準(zhǔn)》的白皮書。這兩個(gè)實(shí)例突出了對(duì)消費(fèi)者標(biāo)簽的需求以及需要進(jìn)行的網(wǎng)絡(luò)安全強(qiáng)化和測(cè)試。

　　歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)ETSI(European Telecommunications Standards Institute)在2020年發(fā)布了物聯(lián)網(wǎng)產(chǎn)品安全/消費(fèi)者隱私保護(hù)標(biāo)準(zhǔn)

　　隨著消費(fèi)者開始要求更高的安全性以及違規(guī)數(shù)量不斷增加，政府和監(jiān)管機(jī)構(gòu)也將采取更大的行動(dòng)來(lái)規(guī)范物聯(lián)網(wǎng)安全。

　　協(xié)作與合作

　　物聯(lián)網(wǎng)生態(tài)系統(tǒng)的特點(diǎn)是異構(gòu)設(shè)備、連接性、實(shí)施和基礎(chǔ)。因此，有效的物聯(lián)網(wǎng)服務(wù)交付將通過(guò)所涉及的大量技術(shù)和學(xué)科專家之間的合作得到促進(jìn)。這不僅會(huì)產(chǎn)生更復(fù)雜和多方面的解決方案，而且有助于應(yīng)對(duì)新興的物聯(lián)網(wǎng)安全挑戰(zhàn)。

　　更多技術(shù)決策者將對(duì)改善行業(yè)協(xié)作以及有關(guān)物聯(lián)網(wǎng)安全的跨市場(chǎng)知識(shí)共享感興趣。隨著新技術(shù)創(chuàng)新帶來(lái)的新挑戰(zhàn)的影響越來(lái)越大，加強(qiáng)協(xié)作與合作的需求將繼續(xù)增加。

　　更多數(shù)據(jù)

　　物聯(lián)網(wǎng)設(shè)備的增加意味著生成的數(shù)據(jù)量正在增加，圍繞這些數(shù)據(jù)的問(wèn)題圍繞其駐留和隱私。然而，即使數(shù)據(jù)位于云端、邊緣或數(shù)據(jù)中心，所有這些數(shù)據(jù)也需要得到保護(hù)。此外，邊緣設(shè)備的增加意味著它們也必須受到管理和保護(hù)。

　　物聯(lián)網(wǎng)設(shè)備增長(zhǎng)帶來(lái)的風(fēng)險(xiǎn)敞口

　　由于企業(yè)在各種應(yīng)用中采用了多種物聯(lián)網(wǎng)解決方案和實(shí)施，物聯(lián)網(wǎng)設(shè)備的數(shù)量迅速增加。

　　隨著組織繼續(xù)嘗試在其所有運(yùn)營(yíng)中建立物聯(lián)網(wǎng)計(jì)劃以提高業(yè)務(wù)績(jī)效和協(xié)作，他們最終可能會(huì)無(wú)意中將連接的設(shè)備引入其網(wǎng)絡(luò)。隨著制造商繼續(xù)在更大范圍的設(shè)備中建立連接，員工將他們的設(shè)備連接到這些企業(yè)網(wǎng)絡(luò)。

　　讓所有這些連接的設(shè)備都可以訪問(wèn)企業(yè)網(wǎng)絡(luò)會(huì)引發(fā)更大風(fēng)險(xiǎn)的擔(dān)憂。這些設(shè)備最有可能將漏洞引入網(wǎng)絡(luò)，因?yàn)樗鼈內(nèi)狈m當(dāng)和充分的安全控制。

　　為了防止物理?yè)p壞、數(shù)據(jù)被盜以及數(shù)據(jù)和收入損失等風(fēng)險(xiǎn)，組織可以采取措施，例如評(píng)估和清點(diǎn)其物聯(lián)網(wǎng)設(shè)備以及進(jìn)行設(shè)備分類和保護(hù)。

　　盤點(diǎn)企業(yè)物聯(lián)網(wǎng)設(shè)備可確保企業(yè)了解連接到其網(wǎng)絡(luò)的所有設(shè)備。這使企業(yè)能夠在制定和實(shí)施政策和控制措施時(shí)充分了解情況，以降低意外數(shù)據(jù)泄露的風(fēng)險(xiǎn)。設(shè)備分類和保護(hù)可以指導(dǎo)企業(yè)建立正確的控制。

　　使用物聯(lián)網(wǎng)設(shè)備清單，企業(yè)可以了解設(shè)備的使用方式、它們的業(yè)務(wù)影響、漏洞以及確保安全策略得到有效應(yīng)用的更多指標(biāo)。

　　缺乏加密

　　物聯(lián)網(wǎng)安全最明顯的挑戰(zhàn)之一是常規(guī)傳輸缺乏加密。未能對(duì)流量進(jìn)行加密會(huì)使物聯(lián)網(wǎng)設(shè)備面臨各種類型的中間人攻擊 (MITM)，攻擊者經(jīng)常使用這些攻擊來(lái)攔截憑據(jù)，并最終用于破壞企業(yè)網(wǎng)絡(luò)。部分加密和錯(cuò)誤配置的數(shù)據(jù)也涉及風(fēng)險(xiǎn)。

　　組織應(yīng)確保易受 MITM 攻擊的數(shù)據(jù)在存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備上時(shí)通過(guò)正確的加密進(jìn)行密封。他們應(yīng)該評(píng)估和解決設(shè)備的弱點(diǎn)，以及解決設(shè)備加密不佳和密碼算法薄弱的問(wèn)題，以減少被攔截的可能性。

　　組織還可以使用傳輸加密并采用TLS(傳輸層安全性)等標(biāo)準(zhǔn)。此外，他們可以使用隔離網(wǎng)絡(luò)來(lái)保持設(shè)備隔離并建立私密和安全的通信。

　　管理設(shè)備更新

　　對(duì)物聯(lián)網(wǎng)網(wǎng)關(guān)和設(shè)備上的軟件或固件進(jìn)行更新和安全補(bǔ)丁并不是一個(gè)簡(jiǎn)單的過(guò)程。它涉及跟蹤可用更新并在由使用不同網(wǎng)絡(luò)協(xié)議進(jìn)行通信的不同設(shè)備定義的分布式環(huán)境中同時(shí)應(yīng)用它們。

　　此外，許多設(shè)備可能不支持無(wú)線更新，或者某些設(shè)備可能會(huì)在停機(jī)期間執(zhí)行更新。舊設(shè)備可能缺少更新，或者最終可能不受其制造商的支持。

　　為了解決這些問(wèn)題，企業(yè)制定了設(shè)備管理策略或使用設(shè)備管理系統(tǒng)來(lái)自動(dòng)跟蹤這些設(shè)備并推出所需的更新。這些系統(tǒng)還應(yīng)該突出顯示哪些設(shè)備不受支持和易受攻擊，以及哪些設(shè)備應(yīng)該退役。企業(yè)還應(yīng)確保他們使用的設(shè)備向后兼容。

　　投資不足

　　隨著企業(yè)安全專業(yè)人員繼續(xù)意識(shí)到物聯(lián)網(wǎng)設(shè)備導(dǎo)致的安全風(fēng)險(xiǎn)范圍不斷擴(kuò)大，他們意識(shí)到他們可能沒(méi)有足夠的投資在企業(yè)物聯(lián)網(wǎng)實(shí)踐和解決方案上，以有效應(yīng)對(duì)日益增加的安全挑戰(zhàn)。

　　企業(yè)將需要大幅更新其安全預(yù)算，以資助諸如部署無(wú)代理解決方案以及數(shù)據(jù)分類和加密實(shí)踐等計(jì)劃。他們還需要與解決方案提供商建立合作伙伴關(guān)系，以幫助克服應(yīng)對(duì)復(fù)雜且不斷變化的 IT 環(huán)境和威脅的挑戰(zhàn)。

　　處理能力低

　　由于大多數(shù)物聯(lián)網(wǎng)應(yīng)用使用的數(shù)據(jù)很少，因此它們的電池壽命得到了延長(zhǎng)，同時(shí)成本也降低了。然而，這些物聯(lián)網(wǎng)設(shè)備中的大多數(shù)可能難以進(jìn)行無(wú)線更新，導(dǎo)致它們無(wú)法實(shí)施端到端加密、防火墻和惡意軟件掃描程序等網(wǎng)絡(luò)安全功能。因此，這些設(shè)備更容易被黑客入侵。

　　保護(hù)此類 IoT 應(yīng)用的有效方法是確保網(wǎng)絡(luò)具有內(nèi)置且不斷更新的安全功能。

　　物聯(lián)網(wǎng)安全的未來(lái)趨勢(shì)

　　由于全球芯片短缺預(yù)計(jì)將持續(xù)到 2022 年之后，其對(duì)幾乎所有行業(yè)的影響引發(fā)了人們的擔(dān)憂，即制造商可能會(huì)從使用基于基礎(chǔ)信任根 (RoT) 構(gòu)建的組件轉(zhuǎn)向非標(biāo)準(zhǔn)來(lái)源。這可能會(huì)導(dǎo)致制造商使用帶有安全漏洞的假冒芯片。它們還可能包含后門，使客戶資產(chǎn)面臨被利用的巨大風(fēng)險(xiǎn)。

　　向設(shè)備制造商展示組件安全證書的認(rèn)證措施的增加將使這些制造商能夠采購(gòu)受信任的組件，從而減輕非標(biāo)準(zhǔn)芯片帶來(lái)的安全風(fēng)險(xiǎn)。由于許多半導(dǎo)體公司已表示要提高生產(chǎn)能力，因此對(duì)現(xiàn)場(chǎng)認(rèn)證的需求將會(huì)增加，以確保這些生產(chǎn)設(shè)施滿足安全要求。

　　此外，這些認(rèn)證需要可重復(fù)使用，以確保它們不會(huì)阻礙物聯(lián)網(wǎng)的部署和開發(fā)。此類認(rèn)證將降低涉及第三方評(píng)估的成本，并有助于整理物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。

　　隨著全球芯片短缺導(dǎo)致的負(fù)面因素、消費(fèi)者意識(shí)的提高以及政府和監(jiān)管機(jī)構(gòu)采取更有影響力的行動(dòng)來(lái)觸發(fā)這種增長(zhǎng)，物聯(lián)網(wǎng)安全的采用率將會(huì)上升。監(jiān)管和消費(fèi)者對(duì)更高物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的行動(dòng)最終將推動(dòng)組織對(duì)物聯(lián)網(wǎng)安全采取更積極主動(dòng)的方法。