为什么IoT安全性如此重要 以及如何处理它

是否市场比物联网更热?由于制造商的互联网连接，从一切婴儿监视器，以汽车，经济分析师，如贝恩和麦肯锡预测更加爆炸性的收入增长为物联网产业。

所以有什么问题?对于初学者来说，当供应商争夺他们在市场中的份额时，他们会偷工减料或完全忽视网络安全，让我们其他人暴露于身份盗窃，互联网停机和隐私泄露。一些军事网络安全专家认为物联网僵尸网络可以用作武器，甚至可以引发分布式拒绝服务(DDoS)军备竞赛。

物联网的极端价格敏感性加剧了这个问题。要将物联网添加到公用事业仪表，自动售货机和智能建筑传感器，硬件必须尽可能便宜。这通常通过将足够的内存和处理能力放入物联网模块来实现其任务来实现，而很少或根本没有资源来支持传统的网络安全工具，如反恶意软件。这种设计实现了引人注目的攻击，例如2016年9月的攻击，当时黑客将数百万台监控摄像机，DVR和其他支持物联网的设备联合起来，以发动历史上最大的DDoS攻击。

物联网经常将网络和其他IT功能添加到传统上没有它们的设备这一事实进一步加剧了这个问题。现代汽车和卡车就是一个典型的例子，它现在在60个物联网设备上平均有一百万行代码，控制从排放到信息娱乐的所有内容。他们的所有者现在必须定期更新这些设备中的固件以修补安全漏洞 - 假设他们甚至知道这个新的责任，更不用说认真对待了。

而且假设补丁和更新甚至存在。物联网的低成本要求意味着薄利润空间，这反过来意味着供应商不必为多年前销售的产品开发补丁和更新的经济激励。汽车和公用事业仪表是通常至少使用十年的产品的两个例子。当他们的供应商停止支持他们，破产或被收购时，他们的多少物联网模块将成为孤儿?

当这种情况发生时，这些模块变得更加容易受到黑客的攻击 - 不仅是特定模块支持的应用程序，还包括它连接的所有其他系统。后者的一个例子是在卡车中使用孤立的物联网模块攻击车队所有者的路线和货物数据库，以便劫持高价值货物。

失去人情味

自动物联网的风险甚至更高，其中设备彼此直接通信，环路中没有人。现在有数千种现有的自主物联网应用和数百万种潜在应用。一个例子是自动驾驶的运载车辆，它们整天都没有人在车轮后面，因为它们与智能道路中的传感器相互作用以了解它们的行进路线。

当人们不监控这些交互时，安全漏洞的风险就会增加。例如，传感器可以自动收集有关电网中负载的信息，但由人来决定是否以及如何对该信息采取行动。将人类带出循环，恶意软件更容易被控制，例如导致停电或浪涌。

即使循环中存在人类，也存在独特且意外的攻击向量。一个例子是戴在手腕上的健身追踪器的侧通道攻击。如果此人使用该手在另一台设备上键入密码或PIN，则黑客可以使用健身跟踪器的动作来重新创建该信息。此场景也是物联网如何为其他传统IT系统创建后门的另一个示例。

无论特定的物联网应用程序是否是自治的，关键是每个参与该应用程序的人 - 供应商，服务提供商和最终用户 - 都要了解这些独特的考虑因素并制定最大化安全性的策略。第一步是承认对非物联网技术有效的实践和政策 - 例如在服务器或笔记本电脑上安装反恶意软件 - 通常不适用于物联网。

物联网需要不同的安全方法。这就是为什么IEEE互联网倡议最近发布了一份白皮书，其中包含一系列最佳实践，任何人都可以使用它来提高物联网应用的安全性。这些最佳实践可从IEEE Internet Initiative免费下载，适用于任何物联网应用，无论是行业还是自主。IEEE将于9月27日举办一场相关的网络研讨会，即“物联网安全最佳实践”，并在不久后提供录音。

一个最佳实践建议是限制每个物联网应用程序可用的带宽量：“大多数物联网设备都是由商品组件组成，这些组件具有极大的功能，因为它们应该执行的功能大大超过网络功能，从而导致家庭网络拥塞，并可能导致巨大的物联网DDoS攻击目标的成本。我们建议设备制造商应将IoT设备可以生成的网络流量限制为执行其功能所需的合理水平。互联网连接的冰箱几乎不需要以千兆位/秒的速度发送互联网控制和管理协议(ICMP)消息。虽然有些冰箱配备了视频屏幕，但它们很可能不需要具备高速上传功能。“

同样重要的是，这些最佳实践以非专业术语描述，因此它们不仅仅是IT安全专家才能理解。这种可访问性是关键，因为IT专家并不是唯一具有物联网应用程序实践角色的人。例如，建筑设施经理可以使用这些最佳实践来确保最大化能效的物联网设备不会产生安全和隐私风险。如果每个人 - 从制造商到最终用户 - 都尽了自己的一份力量，黑客将有更少的机会破坏物联网所带来的光明未来。