访问实时数据对商业智能具有重要价值。想象一下,如果装配线上的机械臂可以告诉您它使用了多少能量、完成一项工作需要多长时间或何时需要维护。从心脏起搏器到自动驾驶汽车,以前封闭的设备正在连接到互联网。这为用户提供了巨大的价值,甚至可以在医疗设备的情况下挽救生命。但随着相互联系的增加,风险也随之增加。从理论上讲,物联网基础设施甚至可能比服务器和工作站更安全,因为手动流程通常是基于云的基础设施中最脆弱的部分。但作为一项面临爆炸式增长的新技术,随着新技术、新法规、新用例和新威胁的出现,物联网设备安全可能成为一个不断变化的目标。由于医疗设备、军事设备、个人车辆或主要公共设施的数据泄露可能会危及生命,因此风险很高。物联网是传统IT和网络安全专业人士的新世界。他们目前的专业知识可以通过多种方式应用于这场新的物联网革命,但他们也必须面对一些新的挑战。挑战一:满足规模需求制造机械通常每周生产数十万台机器,每台机器都有自己的证书和身份。产品下线时必须颁发证书。简单地维护所有已颁发证书的清单是一项艰巨的任务,更不用说监控和更新它们了,尤其是对于短期证书。42%的组织仍在使用电子表格手动跟踪数字证书,57%的组织没有准确的SSH密钥清单。因此,多达40%的机器身份未被跟踪。挑战二:零信任汽车电子控制单元用于控制车载安全系统、传输系统和信息娱乐系统。生产过程是一个巨大的供应链,有多个入口,可能被威胁者利用。来自该供应链的产品被部署到可能采用数十年历史的安全控制的未知环境中。制造商不能让他们的产品安全依赖于最终用户,因为与产品相关的数据泄露可能会损害制造商的声誉,即使泄露最终是用户的错。物联网技术必须采用零信任方法来保护人和机器的身份。这种默认情况下拒绝访问并且仅根据严格标准授予访问权限的方法不仅使安全性成为一项功能,而且使其成为整个产品生命周期的设计元素。此外,该设备必须与大量相邻系统集成,其中一些可能不遵守同样严格的安全标准。物联网领域的法规和行业标准仍在制定中,因此制造商面临着这些系统之间工具差异的挑战。确保产品安全并使其具有互操作性可能是一项艰巨的任务。挑战三:平台限制安全几乎从来都不是物联网设备的卖点。在市场上,重要的是产品的性能、能效、成本等。物联网产品的卖家不能通过将安全作为价值主张来向客户收取更多费用。因此,制造商必须注意安全措施不会对可用性和效率产生负面影响。安全考虑必须贯穿产品开发和制造,这样它们就不会成为笨重的附加组件。如果安全从一开始就是工作流程的一部分,即“设计安全”,那么它将在产品发布周期中产生更少的摩擦,并减少对利润率的侵蚀。挑战四:平衡安全性和功能性在制造设备的设计过程中,安全性通常不是第一位的。客户主要关心的是产品的性能如何,是否具备他们需要的所有功能,以及产品的成本。授权企业领导者监督整个互联网的运营是一个巨大的价值驱动因素,但设备连接的一切都会带来新的风险。产品设计师必须考虑如何平衡安全性和连接性,以防止潜在的数据泄露可能对公司声誉造成的损害。这种平衡可能很困难,尤其是当设计阶段倾向于敏捷或DevOps模型时。设计师在变化和创新中茁壮成长,而安全人员在停滞和可预测性中找到稳定性,而安全主管可能不够灵活而无法妥协。挑战五:满足监管标准在未来几年,物联网将会有很大的增长。新的用例、技术和威胁将推动新的法规。但是,如果安全性不是物联网开发人员的首要任务,那么合规性将始终是一个问题。目前,围绕物联网安全的监管环境是脱节的。NIST通知美国的法规,但其他国家/地区有自己的制裁机构和标准。电动汽车法规包括PKI,但这些法规因地区而异。IEC62443等标准经常与其他安全标准进行比较。加利福尼亚州的SB:327法律是美国第一部专门针对物联网的法律。在全球推出产品的公司必须以安全的方式制造该产品,以符合多种监管环境,例如欧洲的GDPR,中国的PIPL,巴西的LGPD。这些隐私法规正在扩展到包括物联网设备,一些企业可能会受益于熟悉所有标准的专业顾问。事后考虑的物联网安全风险对于大多数物联网制造商而言,安全不是主要价值,但买家认为产品是安全的,设备级别的漏洞会降低客户对品牌的信心并导致声誉受损。例如,泄露的安全摄像头使黑客能够进入特斯拉工厂以及监狱、警察部门和医院的视频源。在更大范围内,Stuxnet病毒改变了伊朗核离心机的速度,其影响非常微妙,以至于人类无法察觉,从而使伊朗的核计划陷入瘫痪。但受影响的不仅仅是政府和企业。从在高速公路上行驶时遭到黑客攻击的车辆,到遭到破坏的家庭安全摄像头,再到物联网起搏器中的漏洞,对某些物联网设备的网络攻击可能是直接的。威胁生命并引发一些消费者的恐惧。因此,不安全的设备可能会被政府监管机构处以巨额罚款。2015年,美国卫生与公众服务部民权办公室宣布了首个涉及医院医疗设备数据泄露的和解协议。600条记录被曝光,乐熙医院和医疗中心以85万美元和解。有人可能会争辩说,OCR正在发送一个信息,即设备和系统正在被纳入HIPAA合规保护伞之下。市场正在扩大,物联网行业将在多个垂直领域呈爆炸式增长。数据显示,全球物联网市场在2021年增长了22%以上,预计到2027年将以同样的复合年增长率继续增长。在这个相对较新的行业中,有很多成长的烦恼,当涉及到安全时,公司不确定谁负责什么。当设计、运营和安全领导者认识到他们都与物联网设备安全息息相关时,就会实现最佳安全态势。最好的物联网产品将由从一开始就将安全性和合规性考虑因素纳入设备设计的制造商制造。
