有效的物联网安全需要协作和清晰

有效的物联网安全需要协作和清晰-51CTO.COM

物联网为企业、政府和消费者带来好处。但这些功能不应该以牺牲用户的安全或减少隐私为代价。

当消防员到达燃烧的建筑物时，他们必须控制火势，营救居民，并在压力下保持冷静。随着物联网设备越来越多地部署在各个城市，消防人员可以获得更多信息，通过使用影响有需要的人的环境实时数据，拯救更多的生命，减少财产损失。

在有物联网设备的紧急情况下，救援人员可以使用收集的数据进行更有效、且更成功的响应。救援人员可以通过占用传感器了解建筑物的占用情况，通过公用设施和交通信号灯传感器了解周围的基础设施，通过可穿戴活动设备了解受害者的健康状况。这些以前无法获得的实时见解可以帮助救援人员更好地应对情况，挽救更多生命。

诸如此类的救生应用程序可以改变灾难的处理方式，尤其是在大规模部署的情况下，但公共安全保护不应该以牺牲企业、政府机构和公民的安全和隐私为代价。

物联网设备正以指数级速度部署，预计到2025年，物联网连接将达到270亿次。然而，物联网安全并没有跟上创新的迅猛步伐。随着物联网设备带来的生活便利和潜在的救生效益越来越多，发生激烈网络安全攻击的规模也在增长。

为了避免安全漏洞，制造这些设备的公司有责任迅速解决其产品中的漏洞。广泛采用物联网的风险不应超过其带来的社会效益。

黑客可以轻松访问

当在城市和家庭中实施新的智能设备时，人们通常会假设这些设备至少具备基本的网络安全水平。虽然行业联盟和政府机构已经发布了各种建立最低级别的安全的指南和网络安全标准，但许多物联网设备制造商和供应商尚未采用或实施其中任何一项。

许多以前孤立的设备，如冰箱、煤气表、汽车和医疗设备，现在都联网了，但通常没有严格考虑安全框架。这些设备从未打算与远程的、未经授权的用户进行交互，因此访问控制和适当的凭证管理可能很弱，甚至根本不存在。黑客可以毫不费力地利用这些简单的安全漏洞，轻松访问。这样做会违反用户私人数据的机密性和完整性，并影响设备可用性。

例如，消防员可以使用物联网设备和传感器获取建筑状态和居民的数据，但如果设备被黑客攻击，收集的数据可能不准确或可能具有误导性。消防员可能会花费宝贵的时间和精力来定位人员，而错误的数据会将他们指向错误的区域。这些被设计为有用的设备可能会成为一种损害，阻碍消防人员救援建筑内居民的努力。

网络安全人人有责

对物联网设备安全的攻击可能发生在生产的所有阶段——从规范和设计阶段;制造、封装和测试;最终用户产品的分销和集成。芯片制造商、设备制造商和消费者在物联网设备安全方面都扮演着重要的角色。

设备存在的许多安全缺陷是由谁负责安全决策的指导方针不明确造成的。在物联网设备开发期间，一家公司可能会设计设备，而另一家公司提供软件、运营支持设备的网络并部署设备。

这种混乱导致了各方的不作为，特别是因为没有足够的动力来充分保障产品安全。行业领导者采用物联网安全标准并共同努力解决关键领域的改进是非常重要的。

多年来，物联网行业在很大程度上对自我监管缺乏热情，因此，现在联邦和州出台了一些政策来指导该行业的安全监管，包括以下几点:

• IoT设备只能运行经过身份验证的代码。
• 仅使用安全接口进行调试和通信。
• 必须具备安全的远程软件更新能力。
• 所有设备必须具有唯一的标识符。
• 合并漏洞披露程序和产品事件响应。

这些要求只涵盖基本需求，但它们要求设备制造商和应用程序开发人员从根本上提高产品开发的安全级别。

消费者还必须维护他们的设备，并使设备在使用时能够更新。他们也应该警惕网络钓鱼和社会工程黑客的企图。

解决物联网安全的新政策

在美国，新政策将要求对在美国销售的设备设置网络安全保护基线。2021年5月，乔·拜登总统发布了《关于改善国家网络安全的行政命令》，呼吁各机构加强整个软件和硬件供应链的网络安全指导方针。

制造商现在可以开始实施安全标准，并与他人合作创建一个通用的行业标准——在立法规定所有要求之前。NIST正在与物联网行业合作，设计、标准化、测试并促进采用通用方法，以保护物联网设备免受网络安全破坏。

国土安全部(DHS)正在利用NIST的工作，为在美国销售的所有设备创建最佳实践和要求，这只能在一定程度上推动私营部门的行业行动，行业领导者共同努力创造采用国内销售设备标准。

在欧盟，欧盟网络安全机构定义了整个欧洲网络安全能力的通用级别标准。他们定义的最佳实践自2017年开始实施，并在物联网安全基础上指导欧洲行业。

虽然政府和监管机构可以制定安全标准的基线，但它们的主要作用是建立正确的激励机制，并鼓励开发必要的工具和资源，以便企业和消费者能够做出明智的决定。一旦政策制定，物联网行业的领导者应该已经有了一个网络安全标准，可以有效保护消费者的数据，并使物联网技术蓬勃发展。