應(yīng)用干貨-有效的物聯(lián)網(wǎng)安全需要企業(yè)協(xié)作和明確的因應(yīng)措施

物聯(lián)網(wǎng)為企業(yè)、政府和消費(fèi)者帶來諸多好處，但這些功能不應(yīng)犧牲用戶的安全或隱私為代價(jià)。如何達(dá)成有效的物聯(lián)網(wǎng)安全性呢?對此，Silicon Labs(亦稱“芯科科技”)首席安全官Sharon Hagi制作了一篇應(yīng)用文章來說明網(wǎng)絡(luò)安全當(dāng)前面臨的挑戰(zhàn)，以及可行的解決之道。

當(dāng)消防員到達(dá)燃燒的建筑物時(shí)，在壓力當(dāng)下必須保持冷靜以控制火勢及營救居民。隨著越來越多的物聯(lián)網(wǎng)設(shè)備在城市中部署，消防員可以使用實(shí)時(shí)數(shù)據(jù)來獲取更多相關(guān)環(huán)境的信息以協(xié)助受影響的民眾，從而挽救更多生命并減少財(cái)產(chǎn)損失。

在緊急情況下如有可用的在地物聯(lián)網(wǎng)設(shè)備，應(yīng)變?nèi)藛T可以利用收集的數(shù)據(jù)采取更有效且通常更成功的措施。應(yīng)變?nèi)藛T可以通過占用傳感器了解建筑物的使用情況，利用公用設(shè)施和交通燈傳感器了解周圍的基礎(chǔ)設(shè)施，并通過行動(dòng)穿戴設(shè)備了解受害者的健康狀況。這些以前無法獲得的實(shí)時(shí)洞察力可以幫助應(yīng)變?nèi)藛T更能夠因應(yīng)狀況，挽救更多生命。

特別是在大規(guī)模部署的情況下，此類救生應(yīng)用設(shè)施可以改變?yōu)碾y處理方式，但保護(hù)公共安全不應(yīng)以損害企業(yè)、政府機(jī)構(gòu)和公民的安全和隱私為代價(jià)。

物聯(lián)網(wǎng)設(shè)備的部署速度呈指數(shù)級(jí)增加，預(yù)計(jì)到2025年將達(dá)到270億個(gè)物聯(lián)網(wǎng)連接產(chǎn)品。然而，物聯(lián)網(wǎng)安全并沒有跟上迅猛的創(chuàng)新步伐。由于具有緩解生命危險(xiǎn)和拯救生命的潛在優(yōu)勢，物聯(lián)網(wǎng)設(shè)備的使用量越來越多，但激烈的網(wǎng)絡(luò)安全攻擊規(guī)模也持續(xù)增長。

為了防止安全漏洞，生產(chǎn)這些設(shè)備的公司有責(zé)任快速解決產(chǎn)品中的漏洞。廣泛采用物聯(lián)網(wǎng)的風(fēng)險(xiǎn)不應(yīng)超過社會(huì)效益。

容易遭黑客駭入

當(dāng)在城市和家庭中安裝新的智能設(shè)備時(shí)，人們通常認(rèn)為這些設(shè)備至少有一個(gè)基本的網(wǎng)絡(luò)安全水平。雖然行業(yè)聯(lián)盟和政府機(jī)構(gòu)已經(jīng)發(fā)布了各種指導(dǎo)方針和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以建立最低級(jí)別的安全性，但許多物聯(lián)網(wǎng)設(shè)備制造商和供應(yīng)商尚未采用或執(zhí)行其中任何一項(xiàng)措施。

許多以前無法聯(lián)網(wǎng)的設(shè)備—如冰箱、煤氣表、汽車和醫(yī)療設(shè)備—現(xiàn)在已經(jīng)連接起來，但通常沒有充分考慮安全框架。以前這些設(shè)備從未打算與未經(jīng)授權(quán)的遠(yuǎn)程用戶互動(dòng)，訪問控制和適合的憑證管理可能很弱甚至不存在，因此黑客可以毫不費(fèi)力地利用這些簡單的安全漏洞。由于系統(tǒng)過于容易訪問，因此妨害了私人用戶數(shù)據(jù)的機(jī)密性和完整性，從而影響設(shè)備的可用性。

例如，消防員可以使用物聯(lián)網(wǎng)設(shè)備和傳感器獲取有關(guān)建筑物狀態(tài)和居民的數(shù)據(jù)，但如果設(shè)備遭到黑客攻擊，收集的數(shù)據(jù)可能不精準(zhǔn)或有潛在的誤導(dǎo)性。消防員可能會(huì)花費(fèi)寶貴的時(shí)間和精力來定位一個(gè)人，而錯(cuò)誤的數(shù)據(jù)會(huì)將他們導(dǎo)向錯(cuò)誤的區(qū)域。這些設(shè)計(jì)為有用的裝置可能會(huì)成為另一種危害，阻礙消防隊(duì)員營救建筑物內(nèi)居民所作的努力。

網(wǎng)絡(luò)安全是每個(gè)人的責(zé)任

對物聯(lián)網(wǎng)設(shè)備安全的攻擊可能發(fā)生在生產(chǎn)過程的所有階段—從規(guī)范和設(shè)計(jì)階段;包括制造、包裝和測試、分銷和最終用戶產(chǎn)品的集成。芯片制造商、設(shè)備制造商和消費(fèi)者都在物聯(lián)網(wǎng)設(shè)備安全方面發(fā)揮著重要作用。

設(shè)備存在許多安全缺陷來自于有關(guān)由誰負(fù)責(zé)安全決策的不明確指導(dǎo)方針。在物聯(lián)網(wǎng)設(shè)備開發(fā)期間，一家公司可以負(fù)責(zé)設(shè)計(jì)設(shè)備，但會(huì)由另一家公司提供軟件，執(zhí)行支持設(shè)備的網(wǎng)絡(luò)以及設(shè)備的部署。

這種混亂導(dǎo)致各方無所作為，特別是因?yàn)闆]有足夠的誘因來充分保護(hù)產(chǎn)品。更重要的是，行業(yè)領(lǐng)導(dǎo)廠商應(yīng)采用物聯(lián)網(wǎng)安全協(xié)作標(biāo)準(zhǔn)，共同努力解決須改進(jìn)的關(guān)鍵領(lǐng)域。

多年來，物聯(lián)網(wǎng)行業(yè)并未積極自我監(jiān)管，因此，目前正在引入聯(lián)邦和州政府的政策來指導(dǎo)行業(yè)的安全監(jiān)管，內(nèi)容包括如下：

● 物聯(lián)網(wǎng)設(shè)備只能運(yùn)行經(jīng)驗(yàn)證的代碼。

● 調(diào)試和通信僅能使用安全接口。

● 必須具備安全的遠(yuǎn)程軟件更新功能。

● 所有設(shè)備必須具備唯一的驗(yàn)證碼。

● 須納入漏洞泄露防范計(jì)劃和產(chǎn)品事故因應(yīng)措施。

以上這些條件僅涵蓋基本需求，還須要求設(shè)備制造商和應(yīng)用程序開發(fā)人員徹底提高產(chǎn)品開發(fā)的安全級(jí)別。

消費(fèi)者同時(shí)須維護(hù)他們的設(shè)備，使設(shè)備在使用時(shí)能夠更新，也應(yīng)警戒網(wǎng)絡(luò)釣魚和黑客在社交工程上的襲擊。

解決物聯(lián)網(wǎng)安全問題的新政策

為了解決美國物聯(lián)網(wǎng)安全問題，新政策將要求在國內(nèi)銷售的設(shè)備中設(shè)置網(wǎng)絡(luò)安全保護(hù)基本要件。2021年5月，喬·拜登總統(tǒng)發(fā)布了“改善國家網(wǎng)絡(luò)安全的行政命令”，呼吁各機(jī)構(gòu)加強(qiáng)整體軟件和硬件供應(yīng)鏈的網(wǎng)絡(luò)安全準(zhǔn)則。

在立法規(guī)定所有要求之前，制造商現(xiàn)在可以開始實(shí)施安全標(biāo)準(zhǔn)，并與其他廠商合作創(chuàng)建一個(gè)通用的行業(yè)標(biāo)準(zhǔn)。NIST正與物聯(lián)網(wǎng)行業(yè)合作，進(jìn)行設(shè)計(jì)、標(biāo)準(zhǔn)化、測試并鼓勵(lì)采用通用方法來保護(hù)物聯(lián)網(wǎng)設(shè)備免受網(wǎng)絡(luò)安全漏洞的影響。

國土安全部(The Department of Homeland Security，DHS)正利用NIST的專業(yè)為美國境內(nèi)銷售的所有設(shè)備創(chuàng)建最佳的實(shí)踐和要求。國土安全部只能在一定程度上促使私營部門的行業(yè)采取行動(dòng)，而重要的是，行業(yè)領(lǐng)導(dǎo)廠商應(yīng)共同努力，為國內(nèi)銷售的設(shè)備創(chuàng)建和采用安全作業(yè)標(biāo)準(zhǔn)。

在歐盟，歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)定義了整個(gè)歐洲網(wǎng)絡(luò)安全性能的共同標(biāo)準(zhǔn)。自2017年以來，他們定義的最佳實(shí)踐模式已經(jīng)到位，規(guī)范了歐洲所有行業(yè)的物聯(lián)網(wǎng)安全基礎(chǔ)。

雖然政府和監(jiān)管機(jī)構(gòu)可以制定安全標(biāo)準(zhǔn)的基礎(chǔ)，但它們的主要角色是制定正確的激勵(lì)措施，鼓勵(lì)開發(fā)必要的工具和資源，以便公司和消費(fèi)者能夠做出明智的決策。一旦制定了政策，物聯(lián)網(wǎng)行業(yè)的領(lǐng)導(dǎo)廠商應(yīng)該已經(jīng)制定了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，有效保護(hù)消費(fèi)者的數(shù)據(jù)資料，促進(jìn)物聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展。

（SiliconLabs）