物聯網(IoT)技術在過去幾年中呈指數級增長，新的解決方案正在以前所未有的速度出現，并得到了采用。據Gartner報告分析2016年年底已經安裝超過40億個物聯網設備，到2020年這個數字將增加到200億。在物聯網市場，在過去僅僅一年中，企業中的連接設備支出超過了8,680億美元，物聯網采用的影響和風險已經變得明顯。

[[183165]]

▲Image: Thinkstock

盡管仍處于起步階段，但IoT似乎已經贏得了安全性差的頭銜。經過16年發生的DDoS攻擊DNS提供商Dyn一事，安全專家已經開始關注，如何更好地處理日益增長的不安全連接設備的接入。類似這樣的攻擊是供應商急于滿足智能設備的尖峰需求而導致的現象，而在產品推向市場之后，雖然消費者熱衷于物聯網產品，但他們基本上不知道它們帶來的相關安全風險。保護連接設備的負擔，以及在漏洞被利用時及時進行修復的責任，將完全落在產品制造商和軟件開發人員身上。對于開發物聯網技術的組織來說，確保其產品不會對最終用戶的安全或隱私構成風險，這一點至關重要。以下必須關注的這幾個方法，可以為您最大限度地降低用戶風險和提高安全性：

1. 物理安全

連接設備的物理安全至關重要。將防篡改措施集成到設備組件應該成為開發人員的首選，這可以確保設備不被解碼。另外，如果設備被破壞，則需要確保與認證識別碼和帳戶信息相關的設備數據被擦除，防止私人數據被惡意地使用。如果PII存儲在設備上，則應實現遠程擦除功能。

2. 不要留后門

如今構建一個帶有后門的設備很容易實現，以便在需要時用于監視。然而，這種做法會危及最終用戶的安全性。制造商應確保不會引入惡意代碼或后門，并且不會復制、監視或捕獲設備的UDID。這將有助于確保當設備在線注冊時，該過程不會被捕獲或易受到監聽、監控或非法監控。

3. 安全編碼

IoT開發人員應實施安全編碼實踐，并將其應用于設備作為軟件構建過程的一部分。關注作為開發生命周期一部分的QA和漏洞識別/補救，將簡化安全工作同時降低風險。

4. 設備身份認證

使用單個設備標識實現正確和安全的身份驗證，在設備本身與后端控制系統和管理控制臺之間建立安全連接。 如果每個設備都有自己的唯一標識，企業將知道設備通信確實是它聲稱的設備。這需要基于諸如PKI等解決方案的單獨設備識別。

5. 加密

在使用IoT解決方案時，企業必須加密設備和后端服務器之間的流量。確保命令加密，并通過簽名或強編碼查看命令完整性至關重要。物聯網設備收集的任何敏感用戶數據也應加密。

6. 簡化更新過程

簡化設備升級，以便以易于管理的方式部署錯誤和安全更新。如果固件沒有從一開始就正確配置，它的更新可能很棘手。不幸的是，制造商有時構建沒有固件更新能力的設備，選擇使用一次寫入存儲器。盡管這種方法在過去幾年中具有經濟意義——制造商認為它是一種更具成本效益的方法，可以更容易集成，同時幫助他們避免在設備上覆蓋或實現不同的操作系統——但是現在更重要的是他們要確保靈活的固件部署過程一致，允許開發人員創建新模型，同時跨產品線廣泛分發安全修復程序。

IoT將很快滲入到我們生活的每一個角落，隨著更多的IoT安全事件的發生，設備制造商將面臨越來越大的壓力，在未來會更注重加強他們產品的安全性。通過遵循以上步驟，連接技術提供商可以確保他們在日益擁擠的物聯網市場中保持競爭優勢，因為設備安全將會成為買家的首要考慮。