市場(chǎng)規(guī)模年增長(zhǎng)超22% 物聯(lián)網(wǎng)正面臨五個(gè)方面的安全挑戰(zhàn)

極客網(wǎng)·企業(yè)級(jí)IT 9月13日 訪(fǎng)問(wèn)實(shí)時(shí)數(shù)據(jù)對(duì)于獲取商業(yè)智能具有巨大價(jià)值?？梢韵胂笠幌拢ぷ魅藛T能夠通過(guò)物聯(lián)網(wǎng)設(shè)備了解裝配生產(chǎn)線(xiàn)上的機(jī)械臂消耗多少能量，完成工作需要多長(zhǎng)時(shí)間，或者何時(shí)需要維護(hù)。 

從心臟起搏器到自動(dòng)駕駛汽車(chē)，以前孤立運(yùn)行的設(shè)備已經(jīng)連接到互聯(lián)網(wǎng)。這為用戶(hù)提供了巨大的價(jià)值，甚至智能醫(yī)療設(shè)備可以挽救患者的生命。但隨著互聯(lián)互通帶來(lái)巨大價(jià)值的同時(shí)，也可能會(huì)帶來(lái)更大的風(fēng)險(xiǎn)。

從理論上來(lái)說(shuō)，物聯(lián)網(wǎng)(IoT)基礎(chǔ)設(shè)施甚至比服務(wù)器和工作站更安全，因?yàn)槿斯ち鞒掏ǔＪ腔谠朴?jì)算的基礎(chǔ)設(shè)施中最脆弱的部分。 

但作為一項(xiàng)面臨爆炸性增長(zhǎng)的新技術(shù)，隨著新技術(shù)、法規(guī)、用例和威脅的出現(xiàn)，物聯(lián)網(wǎng)設(shè)備安全可能成為一個(gè)不斷變化的目標(biāo)。而且風(fēng)險(xiǎn)很高，因?yàn)獒t(yī)療設(shè)備、軍事設(shè)備、個(gè)人車(chē)輛或主要公共設(shè)施受到損害的數(shù)據(jù)泄露的潛在后果可能會(huì)危及人身安全。

物聯(lián)網(wǎng)是傳統(tǒng)IT和網(wǎng)絡(luò)安全人員的新世界。他們目前的專(zhuān)業(yè)知識(shí)可以通過(guò)多種方式應(yīng)用于這場(chǎng)新的物聯(lián)網(wǎng)革命，但也必須面對(duì)一些新的挑戰(zhàn)。 

挑戰(zhàn)1：滿(mǎn)足規(guī)模需求 

機(jī)械制造廠(chǎng)通常每月生產(chǎn)大量設(shè)備，每臺(tái)設(shè)備都有自己的證書(shū)和身份。必須在下線(xiàn)后盡快頒發(fā)證書(shū)。 

簡(jiǎn)單地維護(hù)所有已頒發(fā)證書(shū)的清單，更不用說(shuō)監(jiān)控和更新它們，這是一項(xiàng)重大任務(wù)，尤其是對(duì)于生命周期較短的證書(shū)。 

42%的企業(yè)仍然使用電子表格人工跟蹤數(shù)字證書(shū)，57%的企業(yè)沒(méi)有準(zhǔn)確的SSH密鑰清單。因此，多達(dá)40%的機(jī)器身份沒(méi)有被跟蹤。 

挑戰(zhàn)2：零信任 

控制車(chē)載安全、傳動(dòng)系統(tǒng)和信息娛樂(lè)系統(tǒng)的汽車(chē)電子控制單元(ECU)是在一個(gè)龐大的供應(yīng)鏈中制造的，具有多個(gè)可能被威脅者利用的入口點(diǎn)。 

該供應(yīng)鏈的產(chǎn)品被部署到可能采用數(shù)十年歷史的安全控制的未知環(huán)境中。制造商不能讓其產(chǎn)品的安全性依賴(lài)于最終用戶(hù)，因?yàn)榕c產(chǎn)品相關(guān)的數(shù)據(jù)泄露可能會(huì)損害制造商的聲譽(yù)，即使這一泄露最終是用戶(hù)造成的錯(cuò)誤。 

物聯(lián)網(wǎng)技術(shù)必須采取零信任方法來(lái)保護(hù)人類(lèi)和機(jī)器身份的安全。這種方法，其中拒絕訪(fǎng)問(wèn)是默認(rèn)設(shè)置，并且僅根據(jù)嚴(yán)格的標(biāo)準(zhǔn)授予訪(fǎng)問(wèn)權(quán)限，它不僅將安全性作為一項(xiàng)功能加以固定，還將其作為整個(gè)產(chǎn)品生命周期的設(shè)計(jì)元素融入其中。 

此外，該設(shè)備必須與廣泛的相鄰系統(tǒng)集成，其中一些系統(tǒng)可能不遵守同樣嚴(yán)格的安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)領(lǐng)域的法規(guī)和行業(yè)標(biāo)準(zhǔn)仍在形成，因此制造商面臨這些系統(tǒng)之間工具差異的挑戰(zhàn)。保護(hù)產(chǎn)品同時(shí)使其具有互操作性可能是一項(xiàng)艱巨的任務(wù)。 

挑戰(zhàn)3：平臺(tái)限制

安全性從來(lái)不是物聯(lián)網(wǎng)設(shè)備的賣(mài)點(diǎn)。市場(chǎng)上重要的是產(chǎn)品的性能、能源效率、成本等。物聯(lián)網(wǎng)產(chǎn)品銷(xiāo)售商不能通過(guò)將安全性作為價(jià)值主張向客戶(hù)收取更高的產(chǎn)品費(fèi)用。因此，制造商必須注意安全措施不會(huì)對(duì)可用性和效率產(chǎn)生不利影響。 

安全考慮必須貫穿整個(gè)產(chǎn)品開(kāi)發(fā)和制造過(guò)程，以免它們成為笨重的附加組件。如果安全性從一開(kāi)始就是工作流程的一部分，即“設(shè)計(jì)安全”，它將在產(chǎn)品發(fā)布周期中產(chǎn)生更少的摩擦，并減少對(duì)利潤(rùn)率的侵蝕。 

挑戰(zhàn)4：平衡安全性和功能性 

在制造設(shè)備的設(shè)計(jì)過(guò)程中，安全通常不是首要事項(xiàng)?？蛻?hù)主要關(guān)心產(chǎn)品的性能如何，是否具備他們需要的所有功能，以及成本是多少。讓商業(yè)領(lǐng)袖能夠監(jiān)督整個(gè)互聯(lián)網(wǎng)的運(yùn)營(yíng)是一個(gè)巨大的價(jià)值驅(qū)動(dòng)因素，但設(shè)備連接的所有東西都會(huì)帶來(lái)新的風(fēng)險(xiǎn)。產(chǎn)品設(shè)計(jì)師必須考慮平衡安全性和互連性，以防止?jié)撛诘臄?shù)據(jù)泄露可能對(duì)企業(yè)聲譽(yù)造成損害。 

這種平衡行為可能很困難，尤其是在設(shè)計(jì)階段傾向于敏捷或DevOps模型的情況下。設(shè)計(jì)師在變化和創(chuàng)新中茁壯成長(zhǎng)，而安全人員則在停滯和可預(yù)測(cè)性中找到穩(wěn)定性。設(shè)計(jì)師可能不希望安全人員參與，因?yàn)檎呖赡懿粔蜢`活，無(wú)法妥協(xié)。 

挑戰(zhàn)5：滿(mǎn)足合規(guī)標(biāo)準(zhǔn) 

物聯(lián)網(wǎng)將在未來(lái)幾年內(nèi)發(fā)生大量演變。新的用例、技術(shù)和威脅將催生新的法規(guī)。但是，如果安全性不是物聯(lián)網(wǎng)開(kāi)發(fā)人員的首要任務(wù)，那么合規(guī)性將永遠(yuǎn)是一場(chǎng)斗爭(zhēng)。 

目前，圍繞物聯(lián)網(wǎng)安全的監(jiān)管環(huán)境是脫節(jié)的。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布本國(guó)的法規(guī)，但其他國(guó)家/地區(qū)有自己的制裁機(jī)構(gòu)和標(biāo)準(zhǔn)。例如電動(dòng)汽車(chē)法規(guī)涵蓋公鑰基礎(chǔ)設(shè)施(PKI)，但這些法規(guī)因地區(qū)而異。與其他安全標(biāo)準(zhǔn)相比，IEC62443等標(biāo)準(zhǔn)經(jīng)常被討論。加利福尼亞州的SB：327法規(guī)是美國(guó)第一部針對(duì)物聯(lián)網(wǎng)的法律。 

在全球發(fā)布產(chǎn)品的企業(yè)必須制造符合多個(gè)監(jiān)管環(huán)境（例如歐洲的GDPR、中國(guó)的PIPL、巴西的LGPD）的安全性產(chǎn)品。這些隱私法規(guī)正在擴(kuò)展到包括物聯(lián)網(wǎng)設(shè)備，一些組織可能得到熟悉所有標(biāo)準(zhǔn)的專(zhuān)業(yè)顧問(wèn)的幫助。 

事后考慮物聯(lián)網(wǎng)安全的風(fēng)險(xiǎn) 

對(duì)于大多數(shù)物聯(lián)網(wǎng)制造商來(lái)說(shuō)，安全并不是首要價(jià)值，但客戶(hù)認(rèn)為產(chǎn)品是安全的，設(shè)備級(jí)別的漏洞可能會(huì)降低客戶(hù)對(duì)品牌的信心，并導(dǎo)致高調(diào)的聲譽(yù)受損。例如黑客入侵美國(guó)一家賭場(chǎng)中的水族館溫度計(jì)，將10GB的未公開(kāi)數(shù)據(jù)對(duì)外泄露。而被入侵的安全攝像頭使黑客可以訪(fǎng)問(wèn)特斯拉工廠(chǎng)以及監(jiān)獄、警察部門(mén)和醫(yī)院的視頻源。  

此外，Stuxnet病毒對(duì)伊朗核離心機(jī)的運(yùn)行速度進(jìn)行了細(xì)微的改變，以至于工作人員無(wú)法察覺(jué)到這種變化，從而使伊朗核計(jì)劃陷入癱瘓。 

但受到影響的不僅僅是政府和企業(yè)：從在高速公路上行駛的車(chē)輛被黑客入侵，到家庭安全攝像頭被入侵，再到心臟起搏器的漏洞，對(duì)一些物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊可能直接危及患者生命，并引發(fā)一些消費(fèi)者的恐懼。 

因此，不安全的設(shè)備可能會(huì)導(dǎo)致政府監(jiān)管機(jī)構(gòu)的巨額罰款和處罰。2015年，美國(guó)衛(wèi)生和公共服務(wù)部(HHS)民權(quán)辦公室(OCR)宣布了其第一個(gè)涉及通過(guò)醫(yī)院環(huán)境中的醫(yī)療設(shè)備泄露數(shù)據(jù)的解決方案。

市場(chǎng)規(guī)模正在擴(kuò)大 

物聯(lián)網(wǎng)的應(yīng)用在多個(gè)垂直領(lǐng)域得以快速興起。根據(jù)IoT Analytics發(fā)布的數(shù)據(jù)，2021年全球物聯(lián)網(wǎng)市場(chǎng)增長(zhǎng)超過(guò)22%，預(yù)計(jì)到2027年將繼續(xù)以這一復(fù)合年增長(zhǎng)率增長(zhǎng)。 

在這個(gè)相對(duì)較新的行業(yè)有很多成長(zhǎng)的煩惱，組織不確定誰(shuí)在負(fù)責(zé)安全方面的工作。當(dāng)設(shè)計(jì)、運(yùn)營(yíng)和安全領(lǐng)導(dǎo)者認(rèn)識(shí)到他們都與物聯(lián)網(wǎng)設(shè)備安全息息相關(guān)時(shí)，將實(shí)現(xiàn)最佳安全態(tài)勢(shì)。最好的物聯(lián)網(wǎng)產(chǎn)品將由從一開(kāi)始就將安全性和合規(guī)性考慮納入設(shè)備設(shè)計(jì)的制造商制造。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。