市場規(guī)模年增長超22% 物聯(lián)網(wǎng)正面臨五個方面的安全挑戰(zhàn)

極客網(wǎng)·企業(yè)級IT 9月13日 訪問實時數(shù)據(jù)對于獲取商業(yè)智能具有巨大價值?？梢韵胂笠幌拢ぷ魅藛T能夠通過物聯(lián)網(wǎng)設備了解裝配生產(chǎn)線上的機械臂消耗多少能量，完成工作需要多長時間，或者何時需要維護。 

從心臟起搏器到自動駕駛汽車，以前孤立運行的設備已經(jīng)連接到互聯(lián)網(wǎng)。這為用戶提供了巨大的價值，甚至智能醫(yī)療設備可以挽救患者的生命。但隨著互聯(lián)互通帶來巨大價值的同時，也可能會帶來更大的風險。

從理論上來說，物聯(lián)網(wǎng)(IoT)基礎設施甚至比服務器和工作站更安全，因為人工流程通常是基于云計算的基礎設施中最脆弱的部分。 

但作為一項面臨爆炸性增長的新技術，隨著新技術、法規(guī)、用例和威脅的出現(xiàn)，物聯(lián)網(wǎng)設備安全可能成為一個不斷變化的目標。而且風險很高，因為醫(yī)療設備、軍事設備、個人車輛或主要公共設施受到損害的數(shù)據(jù)泄露的潛在后果可能會危及人身安全。

物聯(lián)網(wǎng)是傳統(tǒng)IT和網(wǎng)絡安全人員的新世界。他們目前的專業(yè)知識可以通過多種方式應用于這場新的物聯(lián)網(wǎng)革命，但也必須面對一些新的挑戰(zhàn)。 

挑戰(zhàn)1：滿足規(guī)模需求 

機械制造廠通常每月生產(chǎn)大量設備，每臺設備都有自己的證書和身份。必須在下線后盡快頒發(fā)證書。 

簡單地維護所有已頒發(fā)證書的清單，更不用說監(jiān)控和更新它們，這是一項重大任務，尤其是對于生命周期較短的證書。 

42%的企業(yè)仍然使用電子表格人工跟蹤數(shù)字證書，57%的企業(yè)沒有準確的SSH密鑰清單。因此，多達40%的機器身份沒有被跟蹤。 

挑戰(zhàn)2：零信任 

控制車載安全、傳動系統(tǒng)和信息娛樂系統(tǒng)的汽車電子控制單元(ECU)是在一個龐大的供應鏈中制造的，具有多個可能被威脅者利用的入口點。 

該供應鏈的產(chǎn)品被部署到可能采用數(shù)十年歷史的安全控制的未知環(huán)境中。制造商不能讓其產(chǎn)品的安全性依賴于最終用戶，因為與產(chǎn)品相關的數(shù)據(jù)泄露可能會損害制造商的聲譽，即使這一泄露最終是用戶造成的錯誤。 

物聯(lián)網(wǎng)技術必須采取零信任方法來保護人類和機器身份的安全。這種方法，其中拒絕訪問是默認設置，并且僅根據(jù)嚴格的標準授予訪問權限，它不僅將安全性作為一項功能加以固定，還將其作為整個產(chǎn)品生命周期的設計元素融入其中。 

此外，該設備必須與廣泛的相鄰系統(tǒng)集成，其中一些系統(tǒng)可能不遵守同樣嚴格的安全標準。物聯(lián)網(wǎng)領域的法規(guī)和行業(yè)標準仍在形成，因此制造商面臨這些系統(tǒng)之間工具差異的挑戰(zhàn)。保護產(chǎn)品同時使其具有互操作性可能是一項艱巨的任務。 

挑戰(zhàn)3：平臺限制

安全性從來不是物聯(lián)網(wǎng)設備的賣點。市場上重要的是產(chǎn)品的性能、能源效率、成本等。物聯(lián)網(wǎng)產(chǎn)品銷售商不能通過將安全性作為價值主張向客戶收取更高的產(chǎn)品費用。因此，制造商必須注意安全措施不會對可用性和效率產(chǎn)生不利影響。 

安全考慮必須貫穿整個產(chǎn)品開發(fā)和制造過程，以免它們成為笨重的附加組件。如果安全性從一開始就是工作流程的一部分，即“設計安全”，它將在產(chǎn)品發(fā)布周期中產(chǎn)生更少的摩擦，并減少對利潤率的侵蝕。 

挑戰(zhàn)4：平衡安全性和功能性 

在制造設備的設計過程中，安全通常不是首要事項。客戶主要關心產(chǎn)品的性能如何，是否具備他們需要的所有功能，以及成本是多少。讓商業(yè)領袖能夠監(jiān)督整個互聯(lián)網(wǎng)的運營是一個巨大的價值驅動因素，但設備連接的所有東西都會帶來新的風險。產(chǎn)品設計師必須考慮平衡安全性和互連性，以防止?jié)撛诘臄?shù)據(jù)泄露可能對企業(yè)聲譽造成損害。 

這種平衡行為可能很困難，尤其是在設計階段傾向于敏捷或DevOps模型的情況下。設計師在變化和創(chuàng)新中茁壯成長，而安全人員則在停滯和可預測性中找到穩(wěn)定性。設計師可能不希望安全人員參與，因為者可能不夠靈活，無法妥協(xié)。 

挑戰(zhàn)5：滿足合規(guī)標準 

物聯(lián)網(wǎng)將在未來幾年內發(fā)生大量演變。新的用例、技術和威脅將催生新的法規(guī)。但是，如果安全性不是物聯(lián)網(wǎng)開發(fā)人員的首要任務，那么合規(guī)性將永遠是一場斗爭。 

目前，圍繞物聯(lián)網(wǎng)安全的監(jiān)管環(huán)境是脫節(jié)的。美國國家標準與技術研究院（NIST）發(fā)布本國的法規(guī)，但其他國家/地區(qū)有自己的制裁機構和標準。例如電動汽車法規(guī)涵蓋公鑰基礎設施(PKI)，但這些法規(guī)因地區(qū)而異。與其他安全標準相比，IEC62443等標準經(jīng)常被討論。加利福尼亞州的SB：327法規(guī)是美國第一部針對物聯(lián)網(wǎng)的法律。 

在全球發(fā)布產(chǎn)品的企業(yè)必須制造符合多個監(jiān)管環(huán)境（例如歐洲的GDPR、中國的PIPL、巴西的LGPD）的安全性產(chǎn)品。這些隱私法規(guī)正在擴展到包括物聯(lián)網(wǎng)設備，一些組織可能得到熟悉所有標準的專業(yè)顧問的幫助。 

事后考慮物聯(lián)網(wǎng)安全的風險 

對于大多數(shù)物聯(lián)網(wǎng)制造商來說，安全并不是首要價值，但客戶認為產(chǎn)品是安全的，設備級別的漏洞可能會降低客戶對品牌的信心，并導致高調的聲譽受損。例如黑客入侵美國一家賭場中的水族館溫度計，將10GB的未公開數(shù)據(jù)對外泄露。而被入侵的安全攝像頭使黑客可以訪問特斯拉工廠以及監(jiān)獄、警察部門和醫(yī)院的視頻源。  

此外，Stuxnet病毒對伊朗核離心機的運行速度進行了細微的改變，以至于工作人員無法察覺到這種變化，從而使伊朗核計劃陷入癱瘓。 

但受到影響的不僅僅是政府和企業(yè)：從在高速公路上行駛的車輛被黑客入侵，到家庭安全攝像頭被入侵，再到心臟起搏器的漏洞，對一些物聯(lián)網(wǎng)設備的網(wǎng)絡攻擊可能直接危及患者生命，并引發(fā)一些消費者的恐懼。 

因此，不安全的設備可能會導致政府監(jiān)管機構的巨額罰款和處罰。2015年，美國衛(wèi)生和公共服務部(HHS)民權辦公室(OCR)宣布了其第一個涉及通過醫(yī)院環(huán)境中的醫(yī)療設備泄露數(shù)據(jù)的解決方案。

市場規(guī)模正在擴大 

物聯(lián)網(wǎng)的應用在多個垂直領域得以快速興起。根據(jù)IoT Analytics發(fā)布的數(shù)據(jù)，2021年全球物聯(lián)網(wǎng)市場增長超過22%，預計到2027年將繼續(xù)以這一復合年增長率增長。 

在這個相對較新的行業(yè)有很多成長的煩惱，組織不確定誰在負責安全方面的工作。當設計、運營和安全領導者認識到他們都與物聯(lián)網(wǎng)設備安全息息相關時，將實現(xiàn)最佳安全態(tài)勢。最好的物聯(lián)網(wǎng)產(chǎn)品將由從一開始就將安全性和合規(guī)性考慮納入設備設計的制造商制造。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。