保護物聯網安全已成為關鍵業務

Zeus Kerravala 陳琳華

DigiCert最近的一項調查發現，對物聯網安全的投資可能會產生積極的重大業務影響。

物聯網時代已經到來。83%的公司表示目前物聯網（IoT）對于業務非常重要，92%的公司表示物聯網將在兩年內對公司的業務非常重要。

數據是根據DigiCert委托市場調研機構ReRez Research對全球700家公司進行調查后所得出的結論，目的是為了更好地了解物聯網和物聯網安全。

我一直認為當人們不再對某個事物大驚小怪之時就表明這個市場已經成熟了。例如，我們在幾年前還很難在傳統的機器對機器行業（如制造業、石油和天然氣）之外找到的物聯網部署。如今，互連設備已無處不在。一個很好的例子是，我最近采訪了一名IT總監，他帶領我參觀了所有的互連設備，期間一句話也沒有提到“物聯網”。這家公司正在嘗試著將更多的設備連接起來以改善客戶體驗，而這一努力并沒有被視為什么了不起的工作。

物聯網正帶來新的安全風險

近乎無處不在的物聯網確實存在安全風險，因為它們成為了黑客攻擊中的一個重要威脅向量。DigiCert的調查目的是為了掌握物聯網的部署情況，了解安全隱患，并量化評估物聯網安全投資的好處。該調查重點關注物聯網最為成熟的四個垂直領域——工業、消費者產品、醫療保健和運輸，并對各種規模的企業進行抽樣（中型公司標準為員工數量達到3000名）。

在調查中，當問及這些企業想通過物聯網實現哪些目標時，回答最多的是運營效率、客戶體驗、增加收入和業務敏捷性。根據我的經驗，在物聯網部署的早期階段，企業的目標是希望通過自動化降低成本、提高效率，但他們會很快將目標轉為客戶體驗，并希望以此創造新的收入來源。

該調查還問及了企業在物聯網方面最關注的問題。回答最多的是安全性。這一結果并不在意料之外，因為物聯網設備創造了新的切入點。

根據物聯網安全水平，DigiCert將用戶分為三部分。

● 頂層——問題最少且不太可能報告存在物聯網安全問題的企業

● 中層——在物聯網安全方面存在一些問題的企業

● 底層——存在大量物聯網安全問題的企業

為了構建良好的分布以分析他們之間的差異，上述三個部分中的每個部分均占調查的三分之一。

底層企業面臨更多的安全挑戰

DigiCert對頂層和底層進行了比較，以量化投資物聯網安全的好處。對于底層企業，他們發現具有以下特點：

● 與頂層企業相比，底層企業在“內部缺乏適當的物聯網安全技能”方面的比率要高出38%，這也是最嚴重一個問題。

● 存在隱私問題的比率要高出27%

● 存在可擴展性問題的比率要高出26%

●? 存在安全問題的比率要高出17%

● 缺乏物聯網安全標準的比率要高出17%

● 存在監管問題的比率要高出13%

頂層企業較少發生安全事件

該調查對實際發生的安全事件展開了深入研究。一個有意思的數據是，只有不到三分之一的頂層企業發生過安全事件。而在底層企業中所有的企業至少都發生過一次安全事件。將兩個數據對比，我們能夠清楚地看到安全投資可產生有很大的回報。

這些底層企業還存在以下特點：

● 遭到物聯網拒絕服務攻擊的數量是頂層企業的六倍以上

● 物聯網設備遭到未經授權訪問的數量是頂層企業的六倍以上

● 發生物聯網數據泄露事件數量幾乎是頂層企業的六倍

● 遭到物聯網惡意軟件或勒索軟件攻擊的次數是頂層企業的五倍

目前，專注于物聯網設備的攻擊者數量還相對較少。不過，隨著物聯網的增長，預計專門針對物聯網的攻擊在數量上也將會增加。在這一波浪潮出現后，底層企業可能會發現他們遭到攻擊的數量將出現大幅增加。

物聯網安全事件將使底層企業蒙受重大損失

該調查對過去兩年中發生的安全事件所造成的實際損失進行了深入研究。如果說在物聯網安全的重要性方面有什么驚人發現的話，那就是我們發現25%的底層企業在過去兩年內與物聯網安全有關的損失至少達到了3400萬美元。 對于底層企業，以下領域損失最為慘重：

● 財務損失（59%）

● 生產力下降（59%）

● 法律與合規處罰（43%）

● 名譽受損（40%）

● 股價下跌（31%）

我不希望給讀者造成頂層企業就沒有安全問題的錯誤印象，只是因為他們采取了適當的措施，安全事件沒有給他們造成重大損失而已。

加密和完整性是頂層企業常用的最佳實踐

由于我們發現頂層企業比中層和底層企業有著明顯的優勢，因此了解這些頂層企業的最佳實踐具有重要意義。

● 加密敏感數據

● 確保數據在設備之間傳輸的完整性

● 全面規劃安全措施

● 確保可通過無線下載（OTA）方式及時更新

● 確保基于軟件的密鑰存儲的安全

5個關鍵的物聯網安全最佳實踐

未來五年將有數百億臺物聯網設備被部署，IT領導者需要為此做好準備。為了解決這個問題，DigiCert就如何在推進物聯網部署的同時將安全風險降至最低給出了一些建議：

1. 審查風險：執行滲透測試以評估連接設備的風險。評估風險并建立優先級列表，以解決主要的安全問題，例如身份驗證和加密。扎實的風險評估有助于確保相互連接的部分在安全等級上沒有差距。

2. 加密所有內容：連接設備時，所有數據無論處于靜止狀態還是傳輸狀態都應當加密。讓端到端加密成為產品的必備功能，從而確保所有的物聯網端點上都可有這一關鍵的安全功能。

3. 每次操作都驗證身份：檢查所有與物聯網設備（包括設備和用戶）的連接，確保身份驗證方案僅允許可信任的連接。通過將身份與加密協議綁定，數字證書可實現無縫身份驗證。

4. 全面落實完整性：詳細介紹設備和數據完整性的基礎知識（包括每次設備啟動時的安全引導），確保無線更新的安全，使用代碼簽名以確保設備上運行的代碼的完整性。

5. 針對規模擴展制定相應戰略：開發一個可縮放的安全框架和體系結構，以支持所有的物聯網部署。制定相應的規劃并與可幫助自己實現業務目標的第三方展開合作。