訪問(wèn)實(shí)時(shí)數(shù)據(jù)對(duì)商業(yè)智能具有巨大價(jià)值。想象一下，如果裝配線上的機(jī)械臂可以告訴您它正在使用多少能量，完成工作需要多長(zhǎng)時(shí)間，或者何時(shí)需要維護(hù)。

從心臟起搏器到自動(dòng)駕駛汽車，以前封閉的設(shè)備正在連接到互聯(lián)網(wǎng)。這為用戶提供了巨大的價(jià)值，甚至可以在醫(yī)療設(shè)備的情況下拯救生命。但隨著互聯(lián)性的增加，風(fēng)險(xiǎn)也隨之增加。

從理論上講，物聯(lián)網(wǎng)基礎(chǔ)設(shè)施甚至可以比服務(wù)器和工作站更安全，因?yàn)槭止ち鞒掏腔谠频幕A(chǔ)設(shè)施中最脆弱的部分。

但作為一項(xiàng)面臨爆炸性增長(zhǎng)的新技術(shù)，隨著新技術(shù)、新法規(guī)、新用例和新威脅的出現(xiàn)，物聯(lián)網(wǎng)設(shè)備安全可能成為一個(gè)移動(dòng)的目標(biāo)。由于醫(yī)療設(shè)備、軍事設(shè)備、個(gè)人車輛或主要公共設(shè)施數(shù)據(jù)泄露的潛在后果可能危及生命，因此風(fēng)險(xiǎn)很高。

物聯(lián)網(wǎng)是傳統(tǒng)IT和網(wǎng)絡(luò)安全人員的新世界。他們目前的專業(yè)知識(shí)可以通過(guò)多種方式應(yīng)用于這場(chǎng)新的物聯(lián)網(wǎng)革命，但他們也必須面對(duì)一些新的挑戰(zhàn)。

挑戰(zhàn)一：滿足規(guī)模需求

制造機(jī)械通常每周要生產(chǎn)數(shù)十萬(wàn)臺(tái)機(jī)器，每臺(tái)機(jī)器都有自己的證書和身份。證書必須在產(chǎn)品從裝配線下線時(shí)就發(fā)出。簡(jiǎn)單地維護(hù)所有已頒發(fā)證書的清單是一項(xiàng)重大任務(wù)，更不用說(shuō)監(jiān)控和更新它們了，特別是對(duì)于生命周期較短的證書。42%的企業(yè)仍然使用電子表格手工跟蹤數(shù)字證書，57%的企業(yè)沒(méi)有準(zhǔn)確的SSH密鑰清單。因此，高達(dá)40%的機(jī)器身份沒(méi)有被跟蹤。

挑戰(zhàn)二：零信任

汽車電子控制單元用于控制車內(nèi)安全系統(tǒng)、傳動(dòng)系統(tǒng)和信息娛樂(lè)系統(tǒng)，其生產(chǎn)過(guò)程是一個(gè)龐大的供應(yīng)鏈，有多個(gè)入口，可能會(huì)被威脅者利用。

該供應(yīng)鏈的產(chǎn)品被部署到可能采用，數(shù)十年歷史的安全控制的未知環(huán)境中。制造商不能讓其產(chǎn)品安全依賴于最終用戶，因?yàn)榕c產(chǎn)品相關(guān)的數(shù)據(jù)泄露可能會(huì)損害制造商的聲譽(yù)，即使該泄露最終是用戶的過(guò)錯(cuò)。

物聯(lián)網(wǎng)技術(shù)必須采取一種零信任的方法來(lái)確保人類和機(jī)器身份的安全。這種方法默認(rèn)拒絕訪問(wèn)，并且只根據(jù)嚴(yán)格的標(biāo)準(zhǔn)授予訪問(wèn)權(quán)，它不僅將安全性作為一種特性，它還將其作為整個(gè)產(chǎn)品生命周期的設(shè)計(jì)元素。

此外，該設(shè)備必須與大量相鄰系統(tǒng)集成，其中一些系統(tǒng)可能不遵守同樣嚴(yán)格的安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)領(lǐng)域的法規(guī)和行業(yè)標(biāo)準(zhǔn)仍在形成中，因此制造商面臨著這些系統(tǒng)之間工具差異的挑戰(zhàn)。保護(hù)產(chǎn)品，同時(shí)使它們具有互操作性可能是一項(xiàng)艱巨的任務(wù)。

挑戰(zhàn)三：平臺(tái)局限性

安全性幾乎從來(lái)不是物聯(lián)網(wǎng)設(shè)備的賣點(diǎn)。在市場(chǎng)上，重要的是產(chǎn)品的性能、能源效率、成本等。物聯(lián)網(wǎng)產(chǎn)品賣家不能通過(guò)將安全性作為價(jià)值主張而向客戶收取更多的費(fèi)用。因此，制造商必須注意安全措施不會(huì)對(duì)可用性和效率產(chǎn)生負(fù)面影響。

安全考慮必須貫穿于產(chǎn)品開(kāi)發(fā)和制造過(guò)程，以便它們不會(huì)成為笨拙的附加組件。如果安全性從一開(kāi)始就是工作流程的一部分，即“設(shè)計(jì)安全”，那么它將在產(chǎn)品發(fā)布周期中產(chǎn)生更少的摩擦，并減少對(duì)利潤(rùn)率的侵蝕。

挑戰(zhàn)四：平衡安全性和功能性

在制造設(shè)備的設(shè)計(jì)過(guò)程中，安全通常不是第一要?jiǎng)?wù)?？蛻糁饕P(guān)心的是產(chǎn)品的工作性能如何，它是否具備他們所需的所有功能，以及成本是多少。賦予商業(yè)領(lǐng)袖能夠監(jiān)督整個(gè)互聯(lián)網(wǎng)的運(yùn)營(yíng)是一個(gè)巨大的價(jià)值驅(qū)動(dòng)因素，但設(shè)備連接的一切都帶來(lái)了新的風(fēng)險(xiǎn)。產(chǎn)品設(shè)計(jì)師必須考慮如何平衡安全性和互聯(lián)性，以防止?jié)撛诘臄?shù)據(jù)泄露可能對(duì)公司聲譽(yù)造成的損害。

這種平衡可能是困難的，尤其是當(dāng)設(shè)計(jì)階段傾向于敏捷或DevOps模型時(shí)。設(shè)計(jì)師在變化和創(chuàng)新中茁壯成長(zhǎng)，而安全人員在停滯和可預(yù)測(cè)性中找到穩(wěn)定，而安全主管可能沒(méi)有足夠的靈活性來(lái)妥協(xié)。

挑戰(zhàn)五：滿足法規(guī)標(biāo)準(zhǔn)

在未來(lái)幾年，物聯(lián)網(wǎng)將會(huì)有大量的發(fā)展。新的用例、技術(shù)和威脅將催生新的法規(guī)。但如果安全性不是物聯(lián)網(wǎng)開(kāi)發(fā)人員的首要任務(wù)，那么合規(guī)性將永遠(yuǎn)是一個(gè)難題。

目前，圍繞物聯(lián)網(wǎng)安全的監(jiān)管環(huán)境脫節(jié)。NIST為美國(guó)的法規(guī)提供信息，但其他國(guó)家有自己的制裁機(jī)構(gòu)和標(biāo)準(zhǔn)。電動(dòng)汽車法規(guī)包括PKI，但這些法規(guī)因地區(qū)而異。像IEC62443這樣的標(biāo)準(zhǔn)經(jīng)常與其他安全標(biāo)準(zhǔn)相比較。加州的SB:327法是美國(guó)第一部專門針對(duì)物聯(lián)網(wǎng)的法律。

在全球范圍內(nèi)發(fā)布產(chǎn)品的企業(yè)必須以符合多個(gè)監(jiān)管環(huán)境的安全性來(lái)生產(chǎn)該產(chǎn)品，例如，歐洲的GDPR、中國(guó)的PIPL、巴西的LGPD。這些隱私法規(guī)正在擴(kuò)展到包括物聯(lián)網(wǎng)設(shè)備，一些企業(yè)可能會(huì)受益于熟悉所有標(biāo)準(zhǔn)的專業(yè)顧問(wèn)。

事后考慮物聯(lián)網(wǎng)安全的風(fēng)險(xiǎn)

對(duì)于大多數(shù)物聯(lián)網(wǎng)制造商來(lái)說(shuō)，安全并不是主要價(jià)值，但買家認(rèn)為產(chǎn)品是安全的，設(shè)備層面的漏洞會(huì)降低客戶對(duì)品牌的信心，并導(dǎo)致聲譽(yù)損害。例如，泄露的安全攝像頭使黑客可以訪問(wèn)特斯拉工廠以及監(jiān)獄、警察部門和醫(yī)院的視頻源。

在更大的范圍內(nèi)，Stuxnet病毒改變了伊朗核離心機(jī)的速度，其影響之微小，人類察覺(jué)不到，使伊朗的核計(jì)劃陷入癱瘓。

但受到影響的不只是政府和企業(yè)，從車輛在高速公路上行駛時(shí)被黑客攻擊，到家庭安全攝像頭被入侵，再到物聯(lián)網(wǎng)心臟起搏器的漏洞，對(duì)一些物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊可能直接危及生命，并引發(fā)部分恐懼的消費(fèi)者。

因此，不安全的設(shè)備可能會(huì)被政府監(jiān)管機(jī)構(gòu)處以巨額罰款。2015年，美國(guó)衛(wèi)生與公眾服務(wù)部民權(quán)辦公室宣布了第一起涉及醫(yī)院環(huán)境中的醫(yī)療設(shè)備泄露數(shù)據(jù)的解決方案。600份記錄被曝光，勒西醫(yī)院和醫(yī)療中心以85萬(wàn)美元和解。有人可能會(huì)說(shuō)，OCR是在傳遞一個(gè)信息，即將設(shè)備和系統(tǒng)置于HIPAA合規(guī)保護(hù)傘下。

市場(chǎng)正在擴(kuò)大

物聯(lián)網(wǎng)行業(yè)將在多個(gè)垂直領(lǐng)域爆發(fā)。根據(jù)數(shù)據(jù)顯示，全球物聯(lián)網(wǎng)市場(chǎng)在2021年增長(zhǎng)了22%以上，預(yù)計(jì)在2027年之前將繼續(xù)以相同的復(fù)合年增長(zhǎng)率增長(zhǎng)。

在這個(gè)相對(duì)較新的行業(yè)中，有很多成長(zhǎng)的煩惱，而且在安全方面，公司不確定誰(shuí)負(fù)責(zé)什么。當(dāng)設(shè)計(jì)、運(yùn)營(yíng)和安全主管認(rèn)識(shí)到他們都與物聯(lián)網(wǎng)設(shè)備安全息息相關(guān)時(shí)，才能實(shí)現(xiàn)最佳的安全態(tài)勢(shì)。最好的物聯(lián)網(wǎng)產(chǎn)品將由從一開(kāi)始就將安全性和合規(guī)性考慮納入設(shè)備設(shè)計(jì)的制造商制造。