物聯網，有人稱之為下一代工業(yè)革命，也有人稱之為生活方式革命。連網汽車、連網機器、智慧城市、跟蹤人類行為的設備、可穿戴技術、個性化醫(yī)療設備——物聯網世界充滿了無數迷人的應用案例。Gartner的一份報告表明，到2020年底，將有多達208億臺設備成為全球物聯網生態(tài)系統(tǒng)的一部分。物聯網骨干網包括高級通信平臺和云計算解決方案，可實現設備、應用、服務、網絡和網關的無縫集成。然而，這種復雜性也加劇了物聯網帶來的安全挑戰(zhàn)。本指南旨在強調技術領導者面臨的物聯網設備安全挑戰(zhàn)，并幫助他們應對這些挑戰(zhàn)。

物聯網設備安全：更大的挑戰(zhàn)

物聯網設備安全比一般IT安全更具挑戰(zhàn)性，原因如下：

▲復雜的安全性需要計算能力。由于尺寸限制，物聯網設備并不總是具備承載此類電子組件的能力。

▲云數據是黑客實踐和堅持其邪惡計劃的真正游樂場。

▲中間人攻擊是物聯網的一種已知頑疾，但仍然很難擊敗。

▲物聯網的復雜性創(chuàng)造了一個由多個攻擊面和多個潛在漏洞組成的復雜網絡。

▲由于物聯網設備在市場上價格低廉且容易買到，因此，黑客很容易熟悉硬件。

▲大多數設備信息都存儲在云中，黑客很容易偽造設備身份。

無論物聯網實施的內容是什么，請注意這些數據的安全參數——機密性、真實性、可用性和完整性——將需要您能夠提供所有保護。

需要專用的物聯網設備安全策略

您認為現有的IT安全策略足以應對物聯網？這是個大錯誤。另一個常見的錯誤是——IT領導者開始尋找一個包羅萬象的物聯網安全解決方案。假設您的物聯網項目涵蓋了該技術的整個生態(tài)系統(tǒng)的所有層面，那么單一的解決方案根本就不適合您。

物聯網在安全的各個方面都需要最好的——物理、操作技術和網絡安全，因此，將物聯網安全視為生態(tài)系統(tǒng)的一部分是有意義的。由于物聯網生態(tài)系統(tǒng)中存在多個層級，而且都有可能爆發(fā)意想不到的挑戰(zhàn)，這就要求領導者啟動風險評估，以便能夠密切關注物聯網的特定漏洞。這有助于企業(yè)構建可靠的行動手冊，使企業(yè)能夠從容應對物聯網的安全挑戰(zhàn)。

物聯網設備安全性：了解設備生命周期

物聯網生態(tài)系統(tǒng)由數百種設備組成，每種設備都具有單一用途。這與諸如個人電腦之類的設備形成鮮明對比，單個電腦設備可以執(zhí)行多種功能?；驹O備生命周期包括以下步驟：

▲引導：加載固件，并按預期啟動。

▲初始化：讀取配置、建立連接和同步數據。

▲操作：長時間執(zhí)行指定的關鍵功能。

▲更新：新固件安裝，重新啟動。

保護生命周期的每一步

在每個步驟中，都需要實現特定的安全功能。其中一些內容包括：

安全引導

▲通過嵌入式密碼進行固件完整性檢查，以確保沒有進行任何篡改。

▲基于公共/私有證書的固件加密，使啟動完全安全。

初始化

▲用戶需要更改物聯網設備的默認密碼。

▲對設備之間、設備與網絡之間以及設備與用戶界面之間的通信進行加密。

▲使用密鑰管理系統(tǒng)來保護加密密鑰。

操作

▲刪除后門調試帳戶。研究表明，這種賬戶的存在增加了設備的風險。

▲在設備系統(tǒng)中突出顯示終端用戶的異常操作。

▲運行時進行完整性檢查確保設備在運行期間不會受到影響。

▲主機IPS和虛擬補丁可在固件無線升級（FOTA）觸發(fā)之前將風險降至最低。

更新

新固件也必須在FOTA觸發(fā)之前加密，以確保下次啟動是安全的，并重復生命周期。

物聯網設備安全的更多注意事項

除了我們在文中介紹的技術細節(jié)之外，還有其他關于物聯網設備安全的注意事項，可以讓您的整個物聯網環(huán)境變得更加強大。

當您購買物聯網設備時，請確保它具有足夠的內存和計算能力，以支持您打算為物聯網設備實施的安全級別。很快，您將會發(fā)現設備安全問題不斷增加，同時，制造商也會升級設備，以支持企業(yè)的安全目標。

您使用的設備必須是可修補的。如果您無法修補設備，這將是一個巨大的安全風險，隨著時間推移，這個風險將會越來越明顯。想想嬰兒監(jiān)視器和安全攝像頭因為Mirai僵尸網絡而受到的影響，這也意味著使用舊設備需要格外小心。

注意具有硬編碼密碼的設備——它們幾乎肯定會成為黑客的攻擊目標。此外，有些設備根本不支持加密，如果引入加密，它們的性能就會下降。無法通過無線更新（OTA）的設備也會使您的物聯網系統(tǒng)面臨不必要的風險，因此請避免使用它們。

“物” 是物聯網的超級明星，物聯網在企業(yè)中的采用速度令人印象深刻。如果您的企業(yè)也是這股巨大浪潮中的一部分，那么了解物聯網設備的安全核心是非常重要的。本指南中分享的提示、方法和技巧可以幫助IT領導者做出更好的購買和實施決策。