从心脏起搏器到自动驾驶汽车,以前孤立运行的设备已经连接到互联网。这为用户提供了巨大的价值,甚至智能医疗设备也可以挽救患者的生命。但互联互通带来巨大价值的同时,也可能带来更大的风险。从理论上讲,物联网(IoT)基础设施甚至比服务器和工作站更安全,因为人工流程通常是基于云的基础设施中最脆弱的部分。但作为一项面临爆炸式增长的新技术,随着新技术、法规、用例和威胁的出现,物联网设备安全可能成为一个不断变化的目标。而且风险很高,因为危及医疗设备、军事设备、个人车辆或主要公共设施的数据泄露的潜在后果可能会危及人身安全。物联网是传统IT和网络安全专业人士的新世界。他们目前的专业知识可以通过多种方式应用于这场新的物联网革命,但也必须面对一些新的挑战。挑战1:满足规模需求机器制造厂通常每个月生产大量设备,每个设备都有自己的证书和身份。下线后要尽快出证。简单地维护所有已颁发证书的清单,更不用说监视和更新它们,是一项重大任务,尤其是对于短期证书。42%的组织仍在使用电子表格手动跟踪数字证书,57%的组织没有准确的SSH密钥清单。因此,多达40%的机器身份未被跟踪。挑战2:零信任控制车内安全、动力传动系统和信息娱乐系统的汽车电子控制单元(ECU)是在一个庞大的供应链中制造的,该供应链具有多个入口点,可以被威胁行为者利用。来自该供应链的产品被部署到可能采用数十年历史的安全控制的未知环境中。制造商不能让他们的产品安全依赖于最终用户,因为与产品相关的数据泄露会损害制造商的声誉,即使泄露最终是用户的错。物联网技术必须采用零信任方法来保护人和机器的身份。这种拒绝访问是默认设置并且仅根据严格标准授予访问权限的方法不仅将安全性作为一项功能锚定,而且将其作为设计元素嵌入到整个产品生命周期中。此外,该设备必须与范围广泛的相邻系统集成,其中一些可能不遵守同样严格的安全标准。物联网领域的法规和行业标准仍在形成中,因此制造商面临着这些系统之间工具差异的挑战。确保产品安全并使其具有互操作性可能是一项艰巨的任务。挑战3:平台限制安全从来都不是物联网设备的卖点。市场上重要的是产品的性能、能效、成本等。物联网产品的卖家不能通过将安全作为价值主张来向客户收取更高的产品费用。因此,制造商必须注意安全措施不会对可用性和效率产生不利影响。安全考虑必须贯穿产品开发和制造过程,以免它们成为笨重的附加组件。如果安全从一开始就是工作流程的一部分,即“设计安全”,它将减少产品发布周期中的摩擦并减少利润率的侵蚀。挑战4:平衡安全性和功能性在制造设备的设计过程中,安全性通常不是首要任务。客户主要关心的是产品的性能如何,是否具备他们需要的所有功能,以及产品的成本。让企业领导者能够通过互联网监督运营是一个巨大的价值驱动因素,但设备连接的一切都会带来新的风险。产品设计师必须考虑在安全性和互连性与可能损害企业声誉的潜在数据泄露之间取得平衡。这种平衡行为可能很困难,尤其是当设计阶段倾向于敏捷或DevOps模型时。设计师在变化和创新中茁壮成长,而安全人员在停滞和可预测性中找到稳定性。设计人员可能不希望安全人员参与其中,因为他们可能不够灵活以致无法妥协。挑战5:满足合规性标准物联网将在未来几年内发生巨大变化。新的用例、技术和威胁将推动新的法规。然而,如果安全性不是物联网开发人员的首要任务,那么合规性将永远是一场斗争。目前,围绕物联网安全的监管环境是脱节的。美国国家标准与技术研究院(NIST)发布了自己的法规,但其他国家/地区也有自己的制裁机构和标准。例如,电动汽车法规涵盖公钥基础设施(PKI),但这些法规因地区而异。与其他安全标准相比,IEC62443等标准经常被讨论。加利福尼亚州的SB:327法规是美国第一部针对物联网的法律。在全球推出产品的公司必须生产符合多种监管环境(例如欧洲的GDPR、中国的PIPL、巴西的LGPD)的安全产品。这些隐私法规正在扩展到包括物联网设备,一些组织可能会得到熟悉所有标准的专业顾问的协助。事后才想到的物联网安全风险对于大多数物联网制造商而言,安全不是主要价值,但客户认为产品是安全的,设备级漏洞会降低客户对品牌的信心,并导致备受瞩目的声誉损害。损害。例如,黑客入侵了美国一家赌场的水族箱温度计,泄露了10GB的未公开数据。受到破坏的安全摄像头使黑客能够访问特斯拉工厂以及监狱、警察部门和医院的视频源。此外,Stuxnet病毒使伊朗核离心机的速度发生细微变化,使工作人员无法检测到这种变化,从而使伊朗的核计划陷入瘫痪。但受影响的不仅仅是政府和企业:从高速公路上的被黑车辆,到被黑的家庭安全摄像头,再到心脏起搏器的漏洞,对某些物联网设备的网络攻击可能会直接危及患者的生命并引发一些消费者的恐惧。因此,不安全的设备可能会导致政府监管机构处以巨额罚款和处罚。2015年,美国卫生与公共服务部(HHS)民权办公室(OCR)宣布了第一个解决方案,涉及医院环境中医疗设备的数据泄露。市场规模不断扩大。物联网的应用正在多个垂直领域迅速兴起。根据IoTAnalytics发布的数据,全球物联网市场将在2021年增长22%以上,预计到2027年将继续以这种复合年增长率增长。这个相对较新的行业存在很多成长的烦恼,组织'不确定谁负责安全。当设计、运营和安全领导者认识到他们都与物联网设备安全息息相关时,就会实现最佳安全态势。最好的物联网产品将由从一开始就将安全性和合规性考虑因素纳入设备设计的制造商制造。
