應用干貨-有效的物聯(lián)網(wǎng)安全需要企業(yè)協(xié)作和明確的因應措施

物聯(lián)網(wǎng)為企業(yè)、政府和消費者帶來諸多好處，但這些功能不應犧牲用戶的安全或隱私為代價。如何達成有效的物聯(lián)網(wǎng)安全性呢?對此，Silicon Labs(亦稱“芯科科技”)首席安全官Sharon Hagi制作了一篇應用文章來說明網(wǎng)絡(luò)安全當前面臨的挑戰(zhàn)，以及可行的解決之道。

當消防員到達燃燒的建筑物時，在壓力當下必須保持冷靜以控制火勢及營救居民。隨著越來越多的物聯(lián)網(wǎng)設(shè)備在城市中部署，消防員可以使用實時數(shù)據(jù)來獲取更多相關(guān)環(huán)境的信息以協(xié)助受影響的民眾，從而挽救更多生命并減少財產(chǎn)損失。

在緊急情況下如有可用的在地物聯(lián)網(wǎng)設(shè)備，應變?nèi)藛T可以利用收集的數(shù)據(jù)采取更有效且通常更成功的措施。應變?nèi)藛T可以通過占用傳感器了解建筑物的使用情況，利用公用設(shè)施和交通燈傳感器了解周圍的基礎(chǔ)設(shè)施，并通過行動穿戴設(shè)備了解受害者的健康狀況。這些以前無法獲得的實時洞察力可以幫助應變?nèi)藛T更能夠因應狀況，挽救更多生命。

特別是在大規(guī)模部署的情況下，此類救生應用設(shè)施可以改變?yōu)碾y處理方式，但保護公共安全不應以損害企業(yè)、政府機構(gòu)和公民的安全和隱私為代價。

物聯(lián)網(wǎng)設(shè)備的部署速度呈指數(shù)級增加，預計到2025年將達到270億個物聯(lián)網(wǎng)連接產(chǎn)品。然而，物聯(lián)網(wǎng)安全并沒有跟上迅猛的創(chuàng)新步伐。由于具有緩解生命危險和拯救生命的潛在優(yōu)勢，物聯(lián)網(wǎng)設(shè)備的使用量越來越多，但激烈的網(wǎng)絡(luò)安全攻擊規(guī)模也持續(xù)增長。

為了防止安全漏洞，生產(chǎn)這些設(shè)備的公司有責任快速解決產(chǎn)品中的漏洞。廣泛采用物聯(lián)網(wǎng)的風險不應超過社會效益。

容易遭黑客駭入

當在城市和家庭中安裝新的智能設(shè)備時，人們通常認為這些設(shè)備至少有一個基本的網(wǎng)絡(luò)安全水平。雖然行業(yè)聯(lián)盟和政府機構(gòu)已經(jīng)發(fā)布了各種指導方針和網(wǎng)絡(luò)安全標準，以建立最低級別的安全性，但許多物聯(lián)網(wǎng)設(shè)備制造商和供應商尚未采用或執(zhí)行其中任何一項措施。

許多以前無法聯(lián)網(wǎng)的設(shè)備—如冰箱、煤氣表、汽車和醫(yī)療設(shè)備—現(xiàn)在已經(jīng)連接起來，但通常沒有充分考慮安全框架。以前這些設(shè)備從未打算與未經(jīng)授權(quán)的遠程用戶互動，訪問控制和適合的憑證管理可能很弱甚至不存在，因此黑客可以毫不費力地利用這些簡單的安全漏洞。由于系統(tǒng)過于容易訪問，因此妨害了私人用戶數(shù)據(jù)的機密性和完整性，從而影響設(shè)備的可用性。

例如，消防員可以使用物聯(lián)網(wǎng)設(shè)備和傳感器獲取有關(guān)建筑物狀態(tài)和居民的數(shù)據(jù)，但如果設(shè)備遭到黑客攻擊，收集的數(shù)據(jù)可能不精準或有潛在的誤導性。消防員可能會花費寶貴的時間和精力來定位一個人，而錯誤的數(shù)據(jù)會將他們導向錯誤的區(qū)域。這些設(shè)計為有用的裝置可能會成為另一種危害，阻礙消防隊員營救建筑物內(nèi)居民所作的努力。

網(wǎng)絡(luò)安全是每個人的責任

對物聯(lián)網(wǎng)設(shè)備安全的攻擊可能發(fā)生在生產(chǎn)過程的所有階段—從規(guī)范和設(shè)計階段;包括制造、包裝和測試、分銷和最終用戶產(chǎn)品的集成。芯片制造商、設(shè)備制造商和消費者都在物聯(lián)網(wǎng)設(shè)備安全方面發(fā)揮著重要作用。

設(shè)備存在許多安全缺陷來自于有關(guān)由誰負責安全決策的不明確指導方針。在物聯(lián)網(wǎng)設(shè)備開發(fā)期間，一家公司可以負責設(shè)計設(shè)備，但會由另一家公司提供軟件，執(zhí)行支持設(shè)備的網(wǎng)絡(luò)以及設(shè)備的部署。

這種混亂導致各方無所作為，特別是因為沒有足夠的誘因來充分保護產(chǎn)品。更重要的是，行業(yè)領(lǐng)導廠商應采用物聯(lián)網(wǎng)安全協(xié)作標準，共同努力解決須改進的關(guān)鍵領(lǐng)域。

多年來，物聯(lián)網(wǎng)行業(yè)并未積極自我監(jiān)管，因此，目前正在引入聯(lián)邦和州政府的政策來指導行業(yè)的安全監(jiān)管，內(nèi)容包括如下：

● 物聯(lián)網(wǎng)設(shè)備只能運行經(jīng)驗證的代碼。

● 調(diào)試和通信僅能使用安全接口。

● 必須具備安全的遠程軟件更新功能。

● 所有設(shè)備必須具備唯一的驗證碼。

● 須納入漏洞泄露防范計劃和產(chǎn)品事故因應措施。

以上這些條件僅涵蓋基本需求，還須要求設(shè)備制造商和應用程序開發(fā)人員徹底提高產(chǎn)品開發(fā)的安全級別。

消費者同時須維護他們的設(shè)備，使設(shè)備在使用時能夠更新，也應警戒網(wǎng)絡(luò)釣魚和黑客在社交工程上的襲擊。

解決物聯(lián)網(wǎng)安全問題的新政策

為了解決美國物聯(lián)網(wǎng)安全問題，新政策將要求在國內(nèi)銷售的設(shè)備中設(shè)置網(wǎng)絡(luò)安全保護基本要件。2021年5月，喬·拜登總統(tǒng)發(fā)布了“改善國家網(wǎng)絡(luò)安全的行政命令”，呼吁各機構(gòu)加強整體軟件和硬件供應鏈的網(wǎng)絡(luò)安全準則。

在立法規(guī)定所有要求之前，制造商現(xiàn)在可以開始實施安全標準，并與其他廠商合作創(chuàng)建一個通用的行業(yè)標準。NIST正與物聯(lián)網(wǎng)行業(yè)合作，進行設(shè)計、標準化、測試并鼓勵采用通用方法來保護物聯(lián)網(wǎng)設(shè)備免受網(wǎng)絡(luò)安全漏洞的影響。

國土安全部(The Department of Homeland Security，DHS)正利用NIST的專業(yè)為美國境內(nèi)銷售的所有設(shè)備創(chuàng)建最佳的實踐和要求。國土安全部只能在一定程度上促使私營部門的行業(yè)采取行動，而重要的是，行業(yè)領(lǐng)導廠商應共同努力，為國內(nèi)銷售的設(shè)備創(chuàng)建和采用安全作業(yè)標準。

在歐盟，歐盟網(wǎng)絡(luò)安全機構(gòu)定義了整個歐洲網(wǎng)絡(luò)安全性能的共同標準。自2017年以來，他們定義的最佳實踐模式已經(jīng)到位，規(guī)范了歐洲所有行業(yè)的物聯(lián)網(wǎng)安全基礎(chǔ)。

雖然政府和監(jiān)管機構(gòu)可以制定安全標準的基礎(chǔ)，但它們的主要角色是制定正確的激勵措施，鼓勵開發(fā)必要的工具和資源，以便公司和消費者能夠做出明智的決策。一旦制定了政策，物聯(lián)網(wǎng)行業(yè)的領(lǐng)導廠商應該已經(jīng)制定了網(wǎng)絡(luò)安全標準，有效保護消費者的數(shù)據(jù)資料，促進物聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展。

（SiliconLabs）