如何將安全集成到物聯網項目中

李匯

物聯網正以驚人的速度發展。Gartner預測，2020年全球物聯網終端數量將增長至58億臺，比2019年增長21 %。從制造業、公用事業、交通運輸和零售等眾多工商業的幕后應用，到健身跟蹤器和健康可穿戴設備等面向消費者的應用，物聯網幾乎正在觸及地球上的每一個領域。

隨著連網終端數量的增加，網絡攻擊的風險也隨之增加。物聯網設備為網絡罪犯分子提供了大量潛在的漏洞，無論是直接竊取數據、獲得對更廣泛組織網絡的訪問權，還是僅僅是造成廣泛的破壞和中斷。《福布斯》估計，數據泄露在2019年前6個月就暴露了41億條記錄，這是一個非同尋常的數字，而且F-Secure的安全研究人員發現，在此期間，網絡攻擊流量的大幅增加主要與物聯網有關。

所有這一切意味著，如果您正在開展一個新的物聯網項目———無論是在開發新的物聯網產品或服務，還是在組織中部署物聯網系統———從頭開始集成強大的安全性是絕對必要的。

物聯網安全：趨勢與預測

首先，讓我們來深入了解物聯網安全的更廣泛的概念，并考慮一些讓安全管理員們憂心的主要趨勢。

5G是一個有力的例子。隨著部署持續，2020年很可能會出現專門針對5G網絡的攻擊。該協議越主流，通過該協議連接的傳感器和設備的數量就越多，尤其是在智慧城市生態系統方面。這能為網絡罪犯分子提供癱瘓整個街區或城市服務的手段嗎？時間會證明一切，但需要強調的是，與其他無線連接協議一樣，5G尤其容易受到分布式拒絕服務（DDoS）攻擊的影響。

物聯網安全關注的另一個重要領域是智能建筑。鑒于智能建筑在整個物聯網終端中占有相當大的比例，它們成為網絡罪犯分子的誘人目標也就不足為奇了。此外，典型智能建筑中涉及大量不同的供應商和制造商，這可能會在確保第三方供應商的安全方面帶來特定挑戰。2013年，由于針對其制冷承包商的網絡攻擊，Target有4 000萬張信用卡信息被泄漏———在智能建筑時代，此類事件可能會變得更加普遍。

物聯網安全原則

那么，將安全性集成到物聯網項目中的核心原則是什么？

設計安全

這是物聯網世界之外的公認原則，但值得在此再次強調。可能與您的期望相反，安全的設計方法并不總是物聯網開發人員和設計師的首要任務。觀念正在發生改變，尤其是考慮到物聯網設備和傳感器的整個生命周期，以及提供可使用的版本更新。無論是在開發還是部署物聯網產品，安全的設計方法都應該是首要任務。

可信身份

物聯網網絡安全始于可信身份。也就是說，首先要能夠識別物聯網中的每一臺設備、服務和用戶，并確保它們的身份準確無誤。這聽起來可能顯而易見，但鑒于典型物聯網部署的規模和復雜性，這是一個具有挑戰性的命題。像Device Authority這樣的組織正在重新考慮身份在物聯網時代的工作方式，并構建解決方案，以實現大規模物聯網設備的安全注冊和配置。

傳輸和存儲中的數據加密

正如我們之前討論的那樣，物聯網從根本上講就是關于數據的———生成數據、分析數據和將數據轉化為有形的見解并加以利用。這意味著，在整個典型的物聯網生態系統中，無論是在端點設備之間，還是往返于集中式分析平臺之間，都傳輸了大量數據。

因此，在整個流程中，使用行業標準、經過同行認可的加密功能對這些數據進行加密至關重要。從創建的那一刻開始，在每一個流程以及在存儲的任何位置，都必須使用強大的加密措施來保護數據。

無線自動修復設備

任何IT安全要素的一個關鍵方面是，當發現新的漏洞或不良行為者開發的新工具和技術時，都需要對硬件和軟件進行升級或修復。在物聯網時代之前，打補丁已經是一項運維挑戰———物聯網引入的終端設備數量大幅增加意味著需要采取一種完全不同的方法。

一旦物聯網設備部署到位，就必須有一個安全的更新機制。也就是說，設備必須在升級時從供應商處收到經過加密簽名的更新，并且必須檢查更新的簽名，以確保該更新是有效的，且確實來自該供應商。此外，更新還必須通過無線網絡自動進行，最終用戶不需要手動操作。

管理和更新開源軟件

與上面相關的一點是管理和更新任何用于支持物聯網項目的開源軟件。假設所述項目的每一個元素都不是自定義編寫的，則需要跟上其開源組件中發現漏洞的速度，并確保有人負責每次發布漏洞時更新軟件、測試集成和重新評估風險。

注意Web應用程序

大多數物聯網設備是使用Web應用程序進行管理的，這意味著與這些應用程序相關的所有安全漏洞都將轉移到物聯網部署中。您的開發人員應該在所有的Web開發中使用經過審查的框架。

從一開始就整合物聯網安全

最重要的是，物聯網項目，無論是全新的設計和開發項目，還是現有技術的部署，都需要從頭開始考慮安全性。物聯網安全不能在項目結束時添加，也不能外包給完全獨立的個人或團隊。從第一天起就需要將其徹底整合到項目中，并在最后進行評估，然后再不斷進行重新考量。

圍繞物聯網的威脅形勢異常動態。網絡犯罪分子和破壞分子很快就能認識到，全球范圍內連網設備數量的巨大增長，以及典型組織基礎設施中涉及的第三方數量的增加，為他們提供了大量破壞、盜竊、滲透和勒索的新機會。無論組織涉及物聯網的哪一部分，無論是向市場提供新的連網產品和服務，還是使用其他企業的物聯網產品來提高自己的運營效率和創新，安全都應該是一個至關重要的問題。