領(lǐng)導(dǎo)者和用戶(hù)如何去守護(hù)物聯(lián)網(wǎng)設(shè)備的安全

物聯(lián)網(wǎng)，有人稱(chēng)之為下一代工業(yè)革命，也有人稱(chēng)之為生活方式革命。連網(wǎng)汽車(chē)、連網(wǎng)機(jī)器、智慧城市、跟蹤人類(lèi)行為的設(shè)備、可穿戴技術(shù)、個(gè)性化醫(yī)療設(shè)備——物聯(lián)網(wǎng)世界充滿(mǎn)了無(wú)數(shù)迷人的應(yīng)用案例。Gartner的一份報(bào)告表明，到2020年底，將有多達(dá)208億臺(tái)設(shè)備成為全球物聯(lián)網(wǎng)生態(tài)系統(tǒng)的一部分。物聯(lián)網(wǎng)骨干網(wǎng)包括高級(jí)通信平臺(tái)和云計(jì)算解決方案，可實(shí)現(xiàn)設(shè)備、應(yīng)用、服務(wù)、網(wǎng)絡(luò)和網(wǎng)關(guān)的無(wú)縫集成。然而，這種復(fù)雜性也加劇了物聯(lián)網(wǎng)帶來(lái)的安全挑戰(zhàn)。本指南旨在強(qiáng)調(diào)技術(shù)領(lǐng)導(dǎo)者面臨的物聯(lián)網(wǎng)設(shè)備安全挑戰(zhàn)，并幫助他們應(yīng)對(duì)這些挑戰(zhàn)。

物聯(lián)網(wǎng)設(shè)備安全：更大的挑戰(zhàn)

物聯(lián)網(wǎng)設(shè)備安全比一般IT安全更具挑戰(zhàn)性，原因如下：

▲復(fù)雜的安全性需要計(jì)算能力。由于尺寸限制，物聯(lián)網(wǎng)設(shè)備并不總是具備承載此類(lèi)電子組件的能力。

▲云數(shù)據(jù)是黑客實(shí)踐和堅(jiān)持其邪惡計(jì)劃的真正游樂(lè)場(chǎng)。

▲中間人攻擊是物聯(lián)網(wǎng)的一種已知頑疾，但仍然很難擊敗。

▲物聯(lián)網(wǎng)的復(fù)雜性創(chuàng)造了一個(gè)由多個(gè)攻擊面和多個(gè)潛在漏洞組成的復(fù)雜網(wǎng)絡(luò)。

▲由于物聯(lián)網(wǎng)設(shè)備在市場(chǎng)上價(jià)格低廉且容易買(mǎi)到，因此，黑客很容易熟悉硬件。

▲大多數(shù)設(shè)備信息都存儲(chǔ)在云中，黑客很容易偽造設(shè)備身份。

無(wú)論物聯(lián)網(wǎng)實(shí)施的內(nèi)容是什么，請(qǐng)注意這些數(shù)據(jù)的安全參數(shù)——機(jī)密性、真實(shí)性、可用性和完整性——將需要您能夠提供所有保護(hù)。

需要專(zhuān)用的物聯(lián)網(wǎng)設(shè)備安全策略

您認(rèn)為現(xiàn)有的IT安全策略足以應(yīng)對(duì)物聯(lián)網(wǎng)？這是個(gè)大錯(cuò)誤。另一個(gè)常見(jiàn)的錯(cuò)誤是——IT領(lǐng)導(dǎo)者開(kāi)始尋找一個(gè)包羅萬(wàn)象的物聯(lián)網(wǎng)安全解決方案。假設(shè)您的物聯(lián)網(wǎng)項(xiàng)目涵蓋了該技術(shù)的整個(gè)生態(tài)系統(tǒng)的所有層面，那么單一的解決方案根本就不適合您。

物聯(lián)網(wǎng)在安全的各個(gè)方面都需要最好的——物理、操作技術(shù)和網(wǎng)絡(luò)安全，因此，將物聯(lián)網(wǎng)安全視為生態(tài)系統(tǒng)的一部分是有意義的。由于物聯(lián)網(wǎng)生態(tài)系統(tǒng)中存在多個(gè)層級(jí)，而且都有可能爆發(fā)意想不到的挑戰(zhàn)，這就要求領(lǐng)導(dǎo)者啟動(dòng)風(fēng)險(xiǎn)評(píng)估，以便能夠密切關(guān)注物聯(lián)網(wǎng)的特定漏洞。這有助于企業(yè)構(gòu)建可靠的行動(dòng)手冊(cè)，使企業(yè)能夠從容應(yīng)對(duì)物聯(lián)網(wǎng)的安全挑戰(zhàn)。

物聯(lián)網(wǎng)設(shè)備安全性：了解設(shè)備生命周期

物聯(lián)網(wǎng)生態(tài)系統(tǒng)由數(shù)百種設(shè)備組成，每種設(shè)備都具有單一用途。這與諸如個(gè)人電腦之類(lèi)的設(shè)備形成鮮明對(duì)比，單個(gè)電腦設(shè)備可以執(zhí)行多種功能?；驹O(shè)備生命周期包括以下步驟：

▲引導(dǎo)：加載固件，并按預(yù)期啟動(dòng)。

▲初始化：讀取配置、建立連接和同步數(shù)據(jù)。

▲操作：長(zhǎng)時(shí)間執(zhí)行指定的關(guān)鍵功能。

▲更新：新固件安裝，重新啟動(dòng)。

保護(hù)生命周期的每一步

在每個(gè)步驟中，都需要實(shí)現(xiàn)特定的安全功能。其中一些內(nèi)容包括：

安全引導(dǎo)

▲通過(guò)嵌入式密碼進(jìn)行固件完整性檢查，以確保沒(méi)有進(jìn)行任何篡改。

▲基于公共/私有證書(shū)的固件加密，使啟動(dòng)完全安全。

初始化

▲用戶(hù)需要更改物聯(lián)網(wǎng)設(shè)備的默認(rèn)密碼。

▲對(duì)設(shè)備之間、設(shè)備與網(wǎng)絡(luò)之間以及設(shè)備與用戶(hù)界面之間的通信進(jìn)行加密。

▲使用密鑰管理系統(tǒng)來(lái)保護(hù)加密密鑰。

操作

▲刪除后門(mén)調(diào)試帳戶(hù)。研究表明，這種賬戶(hù)的存在增加了設(shè)備的風(fēng)險(xiǎn)。

▲在設(shè)備系統(tǒng)中突出顯示終端用戶(hù)的異常操作。

▲運(yùn)行時(shí)進(jìn)行完整性檢查確保設(shè)備在運(yùn)行期間不會(huì)受到影響。

▲主機(jī)IPS和虛擬補(bǔ)丁可在固件無(wú)線(xiàn)升級(jí)（FOTA）觸發(fā)之前將風(fēng)險(xiǎn)降至最低。

更新

新固件也必須在FOTA觸發(fā)之前加密，以確保下次啟動(dòng)是安全的，并重復(fù)生命周期。

物聯(lián)網(wǎng)設(shè)備安全的更多注意事項(xiàng)

除了我們?cè)谖闹薪榻B的技術(shù)細(xì)節(jié)之外，還有其他關(guān)于物聯(lián)網(wǎng)設(shè)備安全的注意事項(xiàng)，可以讓您的整個(gè)物聯(lián)網(wǎng)環(huán)境變得更加強(qiáng)大。

當(dāng)您購(gòu)買(mǎi)物聯(lián)網(wǎng)設(shè)備時(shí)，請(qǐng)確保它具有足夠的內(nèi)存和計(jì)算能力，以支持您打算為物聯(lián)網(wǎng)設(shè)備實(shí)施的安全級(jí)別。很快，您將會(huì)發(fā)現(xiàn)設(shè)備安全問(wèn)題不斷增加，同時(shí)，制造商也會(huì)升級(jí)設(shè)備，以支持企業(yè)的安全目標(biāo)。

您使用的設(shè)備必須是可修補(bǔ)的。如果您無(wú)法修補(bǔ)設(shè)備，這將是一個(gè)巨大的安全風(fēng)險(xiǎn)，隨著時(shí)間推移，這個(gè)風(fēng)險(xiǎn)將會(huì)越來(lái)越明顯。想想嬰兒監(jiān)視器和安全攝像頭因?yàn)?u>Mirai僵尸網(wǎng)絡(luò)而受到的影響，這也意味著使用舊設(shè)備需要格外小心。

注意具有硬編碼密碼的設(shè)備——它們幾乎肯定會(huì)成為黑客的攻擊目標(biāo)。此外，有些設(shè)備根本不支持加密，如果引入加密，它們的性能就會(huì)下降。無(wú)法通過(guò)無(wú)線(xiàn)更新（OTA）的設(shè)備也會(huì)使您的物聯(lián)網(wǎng)系統(tǒng)面臨不必要的風(fēng)險(xiǎn)，因此請(qǐng)避免使用它們。

“物” 是物聯(lián)網(wǎng)的超級(jí)明星，物聯(lián)網(wǎng)在企業(yè)中的采用速度令人印象深刻。如果您的企業(yè)也是這股巨大浪潮中的一部分，那么了解物聯(lián)網(wǎng)設(shè)備的安全核心是非常重要的。本指南中分享的提示、方法和技巧可以幫助IT領(lǐng)導(dǎo)者做出更好的購(gòu)買(mǎi)和實(shí)施決策。