為什么IoT安全性如此重要 以及如何處理它

是否市場比物聯網更熱?由于制造商的互聯網連接，從一切嬰兒監(jiān)視器，以汽車，經濟分析師，如貝恩和麥肯錫預測更加爆炸性的收入增長為物聯網產業(yè)。

所以有什么問題?對于初學者來說，當供應商爭奪他們在市場中的份額時，他們會偷工減料或完全忽視網絡安全，讓我們其他人暴露于身份盜竊，互聯網停機和隱私泄露。一些軍事網絡安全專家認為物聯網僵尸網絡可以用作武器，甚至可以引發(fā)分布式拒絕服務(DDoS)軍備競賽。

物聯網的極端價格敏感性加劇了這個問題。要將物聯網添加到公用事業(yè)儀表，自動售貨機和智能建筑傳感器，硬件必須盡可能便宜。這通常通過將足夠的內存和處理能力放入物聯網模塊來實現其任務來實現，而很少或根本沒有資源來支持傳統(tǒng)的網絡安全工具，如反惡意軟件。這種設計實現了引人注目的攻擊，例如2016年9月的攻擊，當時黑客將數百萬臺監(jiān)控攝像機，DVR和其他支持物聯網的設備聯合起來，以發(fā)動歷史上最大的DDoS攻擊。

物聯網經常將網絡和其他IT功能添加到傳統(tǒng)上沒有它們的設備這一事實進一步加劇了這個問題。現代汽車和卡車就是一個典型的例子，它現在在60個物聯網設備上平均有一百萬行代碼，控制從排放到信息娛樂的所有內容。他們的所有者現在必須定期更新這些設備中的固件以修補安全漏洞 - 假設他們甚至知道這個新的責任，更不用說認真對待了。

而且假設補丁和更新甚至存在。物聯網的低成本要求意味著薄利潤空間，這反過來意味著供應商不必為多年前銷售的產品開發(fā)補丁和更新的經濟激勵。汽車和公用事業(yè)儀表是通常至少使用十年的產品的兩個例子。當他們的供應商停止支持他們，破產或被收購時，他們的多少物聯網模塊將成為孤兒?

當這種情況發(fā)生時，這些模塊變得更加容易受到黑客的攻擊 - 不僅是特定模塊支持的應用程序，還包括它連接的所有其他系統(tǒng)。后者的一個例子是在卡車中使用孤立的物聯網模塊攻擊車隊所有者的路線和貨物數據庫，以便劫持高價值貨物。

失去人情味

自動物聯網的風險甚至更高，其中設備彼此直接通信，環(huán)路中沒有人?，F在有數千種現有的自主物聯網應用和數百萬種潛在應用。一個例子是自動駕駛的運載車輛，它們整天都沒有人在車輪后面，因為它們與智能道路中的傳感器相互作用以了解它們的行進路線。

當人們不監(jiān)控這些交互時，安全漏洞的風險就會增加。例如，傳感器可以自動收集有關電網中負載的信息，但由人來決定是否以及如何對該信息采取行動。將人類帶出循環(huán)，惡意軟件更容易被控制，例如導致停電或浪涌。

即使循環(huán)中存在人類，也存在獨特且意外的攻擊向量。一個例子是戴在手腕上的健身追蹤器的側通道攻擊。如果此人使用該手在另一臺設備上鍵入密碼或PIN，則黑客可以使用健身跟蹤器的動作來重新創(chuàng)建該信息。此場景也是物聯網如何為其他傳統(tǒng)IT系統(tǒng)創(chuàng)建后門的另一個示例。

無論特定的物聯網應用程序是否是自治的，關鍵是每個參與該應用程序的人 - 供應商，服務提供商和最終用戶 - 都要了解這些獨特的考慮因素并制定最大化安全性的策略。第一步是承認對非物聯網技術有效的實踐和政策 - 例如在服務器或筆記本電腦上安裝反惡意軟件 - 通常不適用于物聯網。

物聯網需要不同的安全方法。這就是為什么IEEE互聯網倡議最近發(fā)布了一份白皮書，其中包含一系列最佳實踐，任何人都可以使用它來提高物聯網應用的安全性。這些最佳實踐可從IEEE Internet Initiative免費下載，適用于任何物聯網應用，無論是行業(yè)還是自主。IEEE將于9月27日舉辦一場相關的網絡研討會，即“物聯網安全最佳實踐”，并在不久后提供錄音。

一個最佳實踐建議是限制每個物聯網應用程序可用的帶寬量：“大多數物聯網設備都是由商品組件組成，這些組件具有極大的功能，因為它們應該執(zhí)行的功能大大超過網絡功能，從而導致家庭網絡擁塞，并可能導致巨大的物聯網DDoS攻擊目標的成本。我們建議設備制造商應將IoT設備可以生成的網絡流量限制為執(zhí)行其功能所需的合理水平?；ヂ摼W連接的冰箱幾乎不需要以千兆位/秒的速度發(fā)送互聯網控制和管理協(xié)議(ICMP)消息。雖然有些冰箱配備了視頻屏幕，但它們很可能不需要具備高速上傳功能。“

同樣重要的是，這些最佳實踐以非專業(yè)術語描述，因此它們不僅僅是IT安全專家才能理解。這種可訪問性是關鍵，因為IT專家并不是唯一具有物聯網應用程序實踐角色的人。例如，建筑設施經理可以使用這些最佳實踐來確保最大化能效的物聯網設備不會產生安全和隱私風險。如果每個人 - 從制造商到最終用戶 - 都盡了自己的一份力量，黑客將有更少的機會破壞物聯網所帶來的光明未來。