物聯(lián)網(wǎng)技術(shù)領(lǐng)導(dǎo)者該如何應(yīng)對物聯(lián)網(wǎng)設(shè)備的安全挑戰(zhàn)

物聯(lián)網(wǎng)，有人稱之為下一代工業(yè)革命，也有人稱之為生活方式革命。連網(wǎng)汽車、連網(wǎng)機器、智慧城市、跟蹤人類行為的設(shè)備、可穿戴技術(shù)、個性化醫(yī)療設(shè)備——物聯(lián)網(wǎng)世界充滿了無數(shù)迷人的應(yīng)用案例。Gartner的一份報告表明，到2020年底，將有多達208億臺設(shè)備成為全球物聯(lián)網(wǎng)生態(tài)系統(tǒng)的一部分。物聯(lián)網(wǎng)骨干網(wǎng)包括高級通信平臺和云計算解決方案，可實現(xiàn)設(shè)備、應(yīng)用、服務(wù)、網(wǎng)絡(luò)和網(wǎng)關(guān)的無縫集成。然而，這種復(fù)雜性也加劇了物聯(lián)網(wǎng)帶來的安全挑戰(zhàn)。本指南旨在強調(diào)技術(shù)領(lǐng)導(dǎo)者面臨的物聯(lián)網(wǎng)設(shè)備安全挑戰(zhàn)，并幫助他們應(yīng)對這些挑戰(zhàn)。

物聯(lián)網(wǎng)設(shè)備安全：更大的挑戰(zhàn)

物聯(lián)網(wǎng)設(shè)備安全比一般IT安全更具挑戰(zhàn)性，原因如下：

▲復(fù)雜的安全性需要計算能力。由于尺寸限制，物聯(lián)網(wǎng)設(shè)備并不總是具備承載此類電子組件的能力。

▲云數(shù)據(jù)是黑客實踐和堅持其邪惡計劃的真正游樂場。

▲中間人攻擊是物聯(lián)網(wǎng)的一種已知頑疾，但仍然很難擊敗。

▲物聯(lián)網(wǎng)的復(fù)雜性創(chuàng)造了一個由多個攻擊面和多個潛在漏洞組成的復(fù)雜網(wǎng)絡(luò)。

▲由于物聯(lián)網(wǎng)設(shè)備在市場上價格低廉且容易買到，因此，黑客很容易熟悉硬件。

▲大多數(shù)設(shè)備信息都存儲在云中，黑客很容易偽造設(shè)備身份。

無論物聯(lián)網(wǎng)實施的內(nèi)容是什么，請注意這些數(shù)據(jù)的安全參數(shù)——機密性、真實性、可用性和完整性——將需要您能夠提供所有保護。

需要專用的物聯(lián)網(wǎng)設(shè)備安全策略

您認為現(xiàn)有的IT安全策略足以應(yīng)對物聯(lián)網(wǎng)？這是個大錯誤。另一個常見的錯誤是——IT領(lǐng)導(dǎo)者開始尋找一個包羅萬象的物聯(lián)網(wǎng)安全解決方案。假設(shè)您的物聯(lián)網(wǎng)項目涵蓋了該技術(shù)的整個生態(tài)系統(tǒng)的所有層面，那么單一的解決方案根本就不適合您。

物聯(lián)網(wǎng)在安全的各個方面都需要最好的——物理、操作技術(shù)和網(wǎng)絡(luò)安全，因此，將物聯(lián)網(wǎng)安全視為生態(tài)系統(tǒng)的一部分是有意義的。由于物聯(lián)網(wǎng)生態(tài)系統(tǒng)中存在多個層級，而且都有可能爆發(fā)意想不到的挑戰(zhàn)，這就要求領(lǐng)導(dǎo)者啟動風險評估，以便能夠密切關(guān)注物聯(lián)網(wǎng)的特定漏洞。這有助于企業(yè)構(gòu)建可靠的行動手冊，使企業(yè)能夠從容應(yīng)對物聯(lián)網(wǎng)的安全挑戰(zhàn)。

物聯(lián)網(wǎng)設(shè)備安全性：了解設(shè)備生命周期

物聯(lián)網(wǎng)生態(tài)系統(tǒng)由數(shù)百種設(shè)備組成，每種設(shè)備都具有單一用途。這與諸如個人電腦之類的設(shè)備形成鮮明對比，單個電腦設(shè)備可以執(zhí)行多種功能?；驹O(shè)備生命周期包括以下步驟：

▲引導(dǎo)：加載固件，并按預(yù)期啟動。

▲初始化：讀取配置、建立連接和同步數(shù)據(jù)。

▲操作：長時間執(zhí)行指定的關(guān)鍵功能。

▲更新：新固件安裝，重新啟動。

保護生命周期的每一步

在每個步驟中，都需要實現(xiàn)特定的安全功能。其中一些內(nèi)容包括：

安全引導(dǎo)

▲通過嵌入式密碼進行固件完整性檢查，以確保沒有進行任何篡改。

▲基于公共/私有證書的固件加密，使啟動完全安全。

初始化

▲用戶需要更改物聯(lián)網(wǎng)設(shè)備的默認密碼。

▲對設(shè)備之間、設(shè)備與網(wǎng)絡(luò)之間以及設(shè)備與用戶界面之間的通信進行加密。

▲使用密鑰管理系統(tǒng)來保護加密密鑰。

操作

▲刪除后門調(diào)試帳戶。研究表明，這種賬戶的存在增加了設(shè)備的風險。

▲在設(shè)備系統(tǒng)中突出顯示終端用戶的異常操作。

▲運行時進行完整性檢查確保設(shè)備在運行期間不會受到影響。

▲主機IPS和虛擬補丁可在固件無線升級（FOTA）觸發(fā)之前將風險降至最低。

更新

新固件也必須在FOTA觸發(fā)之前加密，以確保下次啟動是安全的，并重復(fù)生命周期。

物聯(lián)網(wǎng)設(shè)備安全的更多注意事項

除了我們在文中介紹的技術(shù)細節(jié)之外，還有其他關(guān)于物聯(lián)網(wǎng)設(shè)備安全的注意事項，可以讓您的整個物聯(lián)網(wǎng)環(huán)境變得更加強大。

當您購買物聯(lián)網(wǎng)設(shè)備時，請確保它具有足夠的內(nèi)存和計算能力，以支持您打算為物聯(lián)網(wǎng)設(shè)備實施的安全級別。很快，您將會發(fā)現(xiàn)設(shè)備安全問題不斷增加，同時，制造商也會升級設(shè)備，以支持企業(yè)的安全目標。

您使用的設(shè)備必須是可修補的。如果您無法修補設(shè)備，這將是一個巨大的安全風險，隨著時間推移，這個風險將會越來越明顯。想想嬰兒監(jiān)視器和安全攝像頭因為Mirai僵尸網(wǎng)絡(luò)而受到的影響，這也意味著使用舊設(shè)備需要格外小心。

注意具有硬編碼密碼的設(shè)備——它們幾乎肯定會成為黑客的攻擊目標。此外，有些設(shè)備根本不支持加密，如果引入加密，它們的性能就會下降。無法通過無線更新（OTA）的設(shè)備也會使您的物聯(lián)網(wǎng)系統(tǒng)面臨不必要的風險，因此請避免使用它們。

“物” 是物聯(lián)網(wǎng)的超級明星，物聯(lián)網(wǎng)在企業(yè)中的采用速度令人印象深刻。如果您的企業(yè)也是這股巨大浪潮中的一部分，那么了解物聯(lián)網(wǎng)設(shè)備的安全核心是非常重要的。本指南中分享的提示、方法和技巧可以幫助IT領(lǐng)導(dǎo)者做出更好的購買和實施決策。