（圖片來源于網(wǎng)絡(luò)）

物聯(lián)網(wǎng)依舊呈快速增長態(tài)勢，但對安全的擔(dān)憂仍然是一個重要的障礙，這一點阻礙了物聯(lián)網(wǎng)設(shè)備的采用速度(見圖1)。

事實上,貝恩公司所做的研究發(fā)現(xiàn),如果企業(yè)客戶對網(wǎng)絡(luò)安全風(fēng)險的擔(dān)憂得到解決，他們愿意購買更多的物聯(lián)網(wǎng)設(shè)備--他們所購買的設(shè)備至少比在安全風(fēng)險擔(dān)憂未解決的情況下平均要高出70%(參見圖2)。另外,93%的受訪高管表示,他們會為安全性更高的設(shè)備平均支付逾22%的費用。綜合來看，貝恩估計，改善這些設(shè)備的安全解決方案可能會使物聯(lián)網(wǎng)網(wǎng)絡(luò)安全市場增加90億至110億美元。產(chǎn)生這種結(jié)果的一個原因可能是，歐盟(EU)《通用數(shù)據(jù)保護條例》(General Data Protection Regulation)等新法規(guī)加大了壓力，該法規(guī)對企業(yè)的安全問題(包括數(shù)據(jù)泄露)提出了嚴(yán)格的數(shù)據(jù)保護要求和懲罰。

這些是我們花費三年研究和調(diào)查工作的結(jié)果，包括與首席執(zhí)行官、首席運營官、首席信息官、首席信息安全官以及其他商業(yè)和技術(shù)領(lǐng)袖就物聯(lián)網(wǎng)安全和技術(shù)進行討論。值得注意的是，擁有最先進網(wǎng)絡(luò)安全能力公司的高管也是最關(guān)心安全風(fēng)險的。

對于物聯(lián)網(wǎng)設(shè)備供應(yīng)商——制造物聯(lián)網(wǎng)設(shè)備的公司以及提供相關(guān)解決方案的公司——傳達了一條很明確的信息：提高安全性以獲得競爭優(yōu)勢并擴大市場。

客戶如何看待網(wǎng)絡(luò)安全

我們調(diào)查的大多數(shù)高管(60%)表示，他們非常擔(dān)心物聯(lián)網(wǎng)設(shè)備給公司帶來的風(fēng)險——這并不奇怪，因為物聯(lián)網(wǎng)安全漏洞可能會給運營、收入和安全造成損害。如果保護不力，物聯(lián)網(wǎng)設(shè)備可以允許訪問企業(yè)系統(tǒng)，導(dǎo)致大量數(shù)據(jù)被泄露。

受病毒感染的設(shè)備也可以被操控對企業(yè)發(fā)起攻擊。2016年10月，Mirai惡意軟件攻擊破壞了數(shù)千個傳感器、攝像頭和其他設(shè)備，導(dǎo)致了一個龐大的僵尸網(wǎng)絡(luò)，發(fā)起了分布式拒絕服務(wù)攻擊，擾亂了包括GitHub、Netflix、Twitter和Airbnb在內(nèi)的熱門網(wǎng)站。在2018年1月，一種名為Okiru的Mirai病毒變體瞄準(zhǔn)了嵌入在數(shù)十億物聯(lián)網(wǎng)產(chǎn)品中的流行版本的弧形處理器。被操控的物聯(lián)網(wǎng)設(shè)備也可以進行點擊欺詐，每年給廣告商帶來數(shù)十億美元的損失。受損的設(shè)備也可以用來挖掘比特幣和莫奈羅(monero)等加密貨幣。

在制定防范此類攻擊的解決方案時，物聯(lián)網(wǎng)設(shè)備供應(yīng)商可以通過網(wǎng)絡(luò)安全能力成熟度級別對目標(biāo)客戶進行細分。這樣一個細分有助于根據(jù)客戶需求確定使用不同的方案,反映了現(xiàn)實企業(yè)客戶的能力不是靜態(tài)的,而是正在向更高級的水平發(fā)展(見圖3)。

在各個領(lǐng)域，幾乎所有的高管都表示，物聯(lián)網(wǎng)設(shè)備對他們的組織構(gòu)成了中度或重大風(fēng)險，而那些網(wǎng)絡(luò)安全級別較高的公司的高管認為，他們公司比那些網(wǎng)絡(luò)安全能力較低的公司面臨的風(fēng)險更大(參見圖4)。

我們的研究還表明，某些行業(yè)的高管認為自己面臨的風(fēng)險比其他行業(yè)的高管更大(見圖5)。耐用品，建筑和建造，能源和公用事業(yè)，金融服務(wù)和技術(shù)方面的高管的擔(dān)憂可能尤為嚴(yán)重。 這些擔(dān)憂反映了行業(yè)現(xiàn)實，而不僅僅是個別高管的看法。舉例來說，在能源領(lǐng)域，石油和天然氣生產(chǎn)商依靠數(shù)以萬計的物聯(lián)網(wǎng)傳感器和復(fù)雜的生產(chǎn)控制設(shè)備在他們的油井和鉆井平臺上進行工作。能源公司使用這些物聯(lián)網(wǎng)設(shè)備(這些設(shè)備平均每天可以超過1兆兆字節(jié))的數(shù)據(jù)，在接近實時的情況下，可以微調(diào)操作，同時保持嚴(yán)格的安全閾值。完整性的破壞或中斷數(shù)據(jù)流可能導(dǎo)致災(zāi)難性的破壞。

近一半的醫(yī)療行業(yè)高管認為存在重大風(fēng)險。醫(yī)院和診所越來越多地依賴從第三方采購組件的供應(yīng)商提供聯(lián)網(wǎng)診斷監(jiān)控和護理設(shè)備。核磁共振成像、機器人輔助手術(shù)設(shè)備和藥物輸送泵都為未經(jīng)授權(quán)的訪問者提供了誘人的機會——但對病人安全造成明顯威脅。2017年9月，美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組發(fā)現(xiàn)了無線注射泵的漏洞，并警告說，如果不加以防范，這些漏洞可能對患者構(gòu)成重大威脅。

制造商對物聯(lián)網(wǎng)的使用也給工業(yè)環(huán)境帶來了新的風(fēng)險。大型制造商可能部署數(shù)以千計的物聯(lián)網(wǎng)設(shè)備，包括從傳感器到復(fù)雜的半自主機器人。受損的傳感器可能會導(dǎo)致數(shù)據(jù)不準(zhǔn)確，從而影響管理層做出關(guān)鍵的營運決策，或造成庫存問題，對整個價值鏈造成嚴(yán)重破壞。更大的風(fēng)險可能會出現(xiàn)在工廠層面，在那里，一個受損的機器人設(shè)備可能會引發(fā)細微但危險的活動，或者對工人和其他設(shè)備造成更大的破壞和傷害。

客戶如何管理物聯(lián)網(wǎng)網(wǎng)絡(luò)安全

我們與管理網(wǎng)絡(luò)安全的高管進行的對話表明，客戶需要高效，易于集成和靈活部署的解決方案。公司根據(jù)其能力和供應(yīng)商提供的可用的市場解決方案，采取一系列措施來滿足其安全需求(參見圖6)。 目前使用的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全解決方案中，只有約三分之一來自物聯(lián)網(wǎng)設(shè)備供應(yīng)商，這表明供應(yīng)商要么無法提供滿足消費者需求的全面、高質(zhì)量的解決方案，要么供應(yīng)商不能很好地推廣這些解決方案。 我們的研究發(fā)現(xiàn)，擁有最先進網(wǎng)絡(luò)安全的公司更多地依賴于內(nèi)部開發(fā)的安全解決方案，這不僅是因為他們可能有更復(fù)雜的需求，并且是因為他們更有可能具備開發(fā)自己解決方案的人才和能力。

客戶需求的脫節(jié)

我們還研究了企業(yè)如何按安全層次部署解決方案，并為物聯(lián)網(wǎng)設(shè)備供應(yīng)商在每一安全層級創(chuàng)造充足的機會。

我們的調(diào)查發(fā)現(xiàn)，訪問接口層是需要保護的最高層級，無論是內(nèi)部開發(fā)的還是由制造商或第三方提供的(參見圖7)?？蛻魧?nèi)部解決方案的偏好可以通過考慮每一層級的具體條件來逐一進行解釋。

例如，數(shù)據(jù)安全解決方案通常需要比目前在基本物聯(lián)網(wǎng)設(shè)備上可用的計算和電力資源還要多。麻省理工學(xué)院的研究人員發(fā)明了一種新的芯片，可以在物聯(lián)網(wǎng)設(shè)備上使用1/400的功率和1/10的內(nèi)存進行加密，速度是當(dāng)前芯片的500倍。但在這項新技術(shù)被廣泛采用之前，制造商在權(quán)衡這些需求與物聯(lián)網(wǎng)設(shè)備的規(guī)模、成本和力量時，需要繼續(xù)進行設(shè)計和性能的權(quán)衡。

硬件安全解決方案必須解決物理接口(如USB或以太網(wǎng)端口)、設(shè)備操作系統(tǒng)和硬件上的漏洞。但是，很少有制造商在出廠前針對已知的漏洞對硬件進行充分的測試，而且缺乏特別多的設(shè)備對新的漏洞進行測試。

最后，IT安全操作必須管理和監(jiān)視他們的物聯(lián)網(wǎng)設(shè)備。雖然大多數(shù)企業(yè)希望擁有一套統(tǒng)一的工具和對設(shè)備安全狀況的統(tǒng)一概述，但很少有物聯(lián)網(wǎng)設(shè)備制造商能夠很好地理解客戶的需求，繼而提供這種解決方案。盡管如此，他們?nèi)匀豢梢耘c客戶合作，挑選值得信賴的第三方，作為開發(fā)全面安全解決方案的合作伙伴。

由于缺乏精心設(shè)計的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，客戶們正在設(shè)計自己的解決方案，完全放棄或不使用物聯(lián)網(wǎng)解決方案，直到供應(yīng)商能夠填補這一空白。

物聯(lián)網(wǎng)設(shè)備供應(yīng)商可以通過什么來獲得市場份額

為了提高物聯(lián)網(wǎng)設(shè)備的安全性而迅速采取行動的物聯(lián)網(wǎng)設(shè)備供應(yīng)商和生態(tài)系統(tǒng)參與者，不僅可以通過他們的能力獲得額外的收入，而且還能從擴大的市場中獲得回報。物聯(lián)網(wǎng)生態(tài)系統(tǒng)的一些領(lǐng)導(dǎo)者正在加緊應(yīng)對安全挑戰(zhàn)，抓住相關(guān)機遇。亞馬遜已經(jīng)創(chuàng)建了一個集成了物聯(lián)網(wǎng)解決方案的生態(tài)系統(tǒng)。它最近授權(quán)了一個名為FreeRTOS的開源操作系統(tǒng)，使得該系統(tǒng)能夠更容易開發(fā)、部署、管理和保護低耗能物聯(lián)網(wǎng)設(shè)備，并借助函數(shù)庫和工具對其進行加強，這些函數(shù)庫和工具有助于物聯(lián)網(wǎng)設(shè)備管理以及數(shù)據(jù)和網(wǎng)絡(luò)安全。同樣地，微軟的Azure IoT Hub以設(shè)備供應(yīng)、身份驗證和安全連接的形式提供設(shè)備管理和安全功能。另一個例子是工業(yè)物聯(lián)網(wǎng)設(shè)備制造商通用電氣(GE)，該公司將網(wǎng)絡(luò)安全視為一種競爭優(yōu)勢。通用電氣于2014年收購了Wurldtech，并最終將Achilles安全產(chǎn)品與Predix物聯(lián)網(wǎng)管理平臺集成在一起。從治理的角度來看，通用電氣將風(fēng)險管理和產(chǎn)品安全責(zé)任分配給其組織內(nèi)的專門領(lǐng)導(dǎo)者，確保將網(wǎng)絡(luò)安全放在首位。

這些努力取得了重要的進展，但僅憑它們本身不足以采用解決物聯(lián)網(wǎng)所面臨的更廣泛的安全問題。在設(shè)備的設(shè)計、開發(fā)和部署中，所有物聯(lián)網(wǎng)設(shè)備供應(yīng)商都需要更加關(guān)注安全性。四個步驟可以幫助主管們制定他們的任務(wù)。

首先，制造商需要了解客戶如何使用他們的設(shè)備。通過每12到18個月更新他們對客戶用例的理解來跟上客戶的需求，這將使他們能夠掌握不斷變化的安全需求，并幫助識別未滿足的需求。確定客戶的平均網(wǎng)絡(luò)安全成熟度水平將有助于制造商投資于適當(dāng)?shù)慕鉀Q方案。例如，臨時成熟度客戶傾向于尋找價值，而不是最新的、最好的解決方案。

第二，制造商應(yīng)在設(shè)備上提供網(wǎng)絡(luò)安全能力，并盡可能與值得信任的網(wǎng)絡(luò)安全供應(yīng)商合作，提供額外的解決方案。工程團隊?wèi)?yīng)該將安全開發(fā)實踐根植于設(shè)備的軟件和硬件組件中，并為訪問接口、應(yīng)用程序、數(shù)據(jù)和設(shè)備層提供固有的解決方案。大多數(shù)客戶將使用這些“開箱即用”的功能，而不管它們的網(wǎng)絡(luò)安全成熟度如何。采取這些措施可以減輕物聯(lián)網(wǎng)設(shè)備中常見的漏洞，如默認密碼或嵌入式密碼、憑證和網(wǎng)絡(luò)通信缺乏數(shù)據(jù)安全性，以及確保系統(tǒng)完整性的薄弱安全措施。制造商還可以投資與網(wǎng)絡(luò)安全供應(yīng)商的合作關(guān)系，在數(shù)據(jù)、網(wǎng)絡(luò)和操作層提供售后解決方案，選擇性地為某些細分市場的客戶集成這些解決方案。例如，具有一致性安全性的客戶往往傾向于集成解決方案，而最佳實踐購買者則尋找最佳的解決方案，而非集成解決方案。

第三，制造商還需要滿足質(zhì)量保證標(biāo)準(zhǔn)，并能夠證明他們的物聯(lián)網(wǎng)設(shè)備沒有已知的漏洞。對于那些有時安裝新設(shè)備卻沒有意識到其中包含漏洞的客戶來說，這將減輕他們的煩惱。部署一個更有條理的過程來識別和消除跨層級的漏洞，或者采用第三方漏洞掃描和滲透測試公司可以幫助制造商達到這一標(biāo)準(zhǔn)。定義一個具有明確義務(wù)的網(wǎng)絡(luò)安全保修期，可以告訴客戶該供應(yīng)商的責(zé)任和期限。

最后，制造商可以在保修期內(nèi)通過不斷測試新的漏洞、提供更新的軟件和固件、以及“開箱即用”和售后解決方案的功能來履行其義務(wù)。在整個保修期內(nèi)，更新硬件、操作系統(tǒng)和應(yīng)用程序以應(yīng)對新發(fā)現(xiàn)的安全漏洞應(yīng)該是首要任務(wù)。

這四個步驟只是一個開始，但并不是著手解決阻礙物聯(lián)網(wǎng)的安全問題的全部所在。雖然物聯(lián)網(wǎng)市場的增長似乎一定會繼續(xù)大步前進,許多企業(yè)客戶仍將繼續(xù)謹慎行事,直到他們能夠確保其數(shù)據(jù)以及日益依賴的設(shè)備、傳感器和物聯(lián)網(wǎng)的安全性。

本文來源前瞻網(wǎng)，轉(zhuǎn)載請注明來源?。▓D片來源互聯(lián)網(wǎng)，版權(quán)歸原作者所有）